Tenable Research: Vulnerabilidades críticas en América Latina tardan más de 200 días en ser corregidas

La explotación de vulnerabilidades como vector inicial de acceso aumentó al 20 % de las filtraciones, un incremento anual del 34 %, y ahora compite con el principal vector de acceso inicial (abuso de credenciales), según el recientemente publicado Informe de Investigaciones sobre Filtraciones de Datos 2025 (DBIR) de Verizon.

El crecimiento se debe en parte a la explotación de vulnerabilidades de día cero en VPNs y dispositivos perimetrales, áreas donde las soluciones tradicionales de detección y respuesta de endpoint (EDR) enfrentan limitaciones. El DBIR pone especial atención en 17 CVE que afectan a estos dispositivos perimetrales, que continúan siendo objetivos valiosos para los atacantes.

Para profundizar en este riesgo, Tenable Research analizó más de 160 millones de datos de telemetría y contribuyó con datos enriquecidos sobre las vulnerabilidades más explotadas para el DBIR de Verizon. Además, publicó un análisis complementario en profundidad segmentado por industria y región.

Algunos de los hallazgos claves de Tenable Research incluyen:

Las malas noticias: Las vulnerabilidades críticas en objetivos de alto valor siguen sin corregirse durante más de 100 días:

● El tiempo promedio de remediación a nivel mundial para estos 17 CVE es de 209 días.

En América Latina, el promedio es de 203 días.

● Vulnerabilidades de Citrix CVE-2023-6548 y CVE-2023-6549: Incluso las tres industrias

más rápidas tardaron más de 160 días en aplicar parches; la industria mas lenta

Promedió 288 días. En América latina el promedio es 196 días.

● Vulnerabilidades de Ivanti CVE-2023-46805 y CVE-2024-21887: A pesar de la

explotación activa mediante ejecución remota de código (RCE), en algunas industrias la

remediación prometió hasta 294 días.

Las noticias buenas: Las industrias pueden movilizarse rápidamente:

● Vulnerabilidad de Fortinet CVE-2024-47575 (FortiJump), una vulnerabilidad de falta de autenticación en FortiManager: En promedio, las organizaciones de diversas industrias resolvieron este error crítico en entre 2 y 7 días. En América latina el promedio fue de 8

días.

● Vulnerabilidad de SonicWall CVE-2024-40766: Utilizada por grupos de ransomware para obtener acceso inicial, esta vulnerabilidad tuvo bajas tasas de remediación en general: el sector de ingeniería la resolvió en sólo 6 días, mientras que el de consultoría tardó 52 días. En América latina el promedio fue de 31 días.