El Momento Crucial según Gartner
El pasado 13 de mayo, Gartner publicaba un documento muy interesante sobre el momento de incertidumbre que estamos viviendo, especialmente desde la irrupción de Mythos. En Cefiros, que llevamos más de 3 años hablando de este tipo de problemática, no podemos estar más de acuerdo.
Desde Cefiros recomendamos usar herramientas de Pentesting Autónomo Continuo —no todos los productos del mercado lo son, aunque lo parezca— que nos permitan priorizar las vulnerabilidades por su impacto real en nuestros entornos, tanto a nivel interno como externo, considerando que ese análisis es necesario en entornos IT, entornos OT e incluso entornos de desarrollo.
Contar con herramientas de análisis de ciberinteligencia que nos permitan conocer posibles problemas que se tienen en la actualidad para poder anticiparnos en la medida de lo posible.
Además, contar con herramientas de gestión de vulnerabilidades que nos permitan resolver esas vulnerabilidades de manera lo más automatizada posible, o aplicar parcheos virtuales que nos permitan ganar el tiempo suficiente para realizar los parcheos definitivos que, por la complejidad del entorno o de los propios sistemas, tienen más implicaciones.
Todo esto nos permitirá saber cuáles de esas vulnerabilidades son realmente críticas y explotables, y reducir drásticamente el tiempo necesario para resolverlas.
Y, obviamente, sin olvidar las tecnologías de microsegmentación, que nos darán visibilidad completa de las infraestructuras de red que tenemos —es decir, la capacidad de ver y controlar el tráfico que entra y sale (norte-sur) y el que se mueve lateralmente entre sistemas internos (este-oeste)—, así como la capacidad de aislar a nivel de IP cualquier equipo que lo requiera, para contener la propagación de una posible infección.
Gartner lo ha denominado: “Momento Crucial”
Momento Crucial: Capitalice el auge de Mythos para corregir su gestión de exposición y vulnerabilidades
13 de mayo de 2026 — Por Dhivya Poole, Jonathan Nunez y 2 autores más
El descubrimiento y la explotación de vulnerabilidades impulsados por IA, como Mythos, están exponiendo brechas —incluso muy antiguas— que las empresas deberían resolver. Este es el momento de impulsar un cambio hacia la reducción del riesgo basada en el tiempo, la responsabilidad operativa y la disminución medible de las ventanas de exposición en relación con la velocidad del atacante.
Perspectivas de un vistazo
La creciente atención en torno al ciberriesgo impulsado por IA marca un momento crucial para la gestión de vulnerabilidades y exposición. El reciente enfoque en Claude Mythos Preview de Anthropic, OpenAI GPT-5.5-cyber y el debate general sobre atacantes autónomos y el mal uso de la IA generativa ha elevado las discusiones sobre ciberriesgo mucho más allá de los equipos de seguridad, llevándolas a las conversaciones de ejecutivos y juntas directivas.
Parte de este discurso saca a la luz, de manera acertada, una realidad histórica pero poco valorada: los plazos de los atacantes siempre han sido más rápidos de lo que pueden responder los modelos de gestión de vulnerabilidades centrados en humanos. Esta convergencia entre percepción y realidad crea una oportunidad única. Los líderes de ciberseguridad deben aprovechar este momento para ir más allá de las evaluaciones reactivas y rediseñar la gestión de exposición en torno al tiempo, la escala y la velocidad de decisión: los factores reales que determinan la ventaja defensiva.
Hallazgos clave
• Las narrativas de amenazas de IA amplían la concienciación, pero principalmente exponen las debilidades existentes en los modelos operativos tradicionales de gestión de exposición.
• Las ventajas de los atacantes siempre han provenido principalmente de la velocidad y la escala, no de técnicas de explotación fundamentalmente nuevas.
• Los programas tradicionales de gestión de vulnerabilidades (VM) aún evalúan las vulnerabilidades de forma individual sin integrar el impacto que puedan tener realmente.
• El cuello de botella más significativo para los defensores es el punto de estancamiento organizacional debido a la participación de múltiples equipos.
• Solo el 48% de las organizaciones priorizan las exposiciones en función de la probabilidad y el impacto real, lo que deja expuestos los activos críticos para el negocio durante más tiempo del necesario.
Recomendaciones
• Aproveche el momento actual para establecer como prioridad resolver de forma continua las vulnerabilidades que pueden tener impacto real en sus infraestructuras, utilizando el descubrimiento de vulnerabilidades y la creación de exploits mediante LLM para restablecer las prioridades de gestión de exposición.
• Defina acuerdos de nivel de servicio (SLA) de remediación más cortos que aborden eficazmente un nuevo equilibrio entre la velocidad del ataque, las capacidades defensivas y los riesgos operativos, especialmente para los activos críticos.
• Analice las vulnerabilidades, las superficies de ataque y los dominios de control para identificar los vectores de ataque posibles y reales en su organización.
• Cambie la priorización para guiar explícitamente las acciones: qué remediar de inmediato y qué posponer según el contexto del riesgo.
• Implemente y pruebe procesos de automatización de análisis de vulnerabilidades y remediación para garantizar la calidad y la consistencia a escala.
Momento crucial
El aumento en la explotación de vulnerabilidades como vector de acceso inicial comenzó hace unos años. Múltiples factores explican este lento giro inicial, con una ola de vulnerabilidades dirigidas a la infraestructura expuesta a internet, incluidos firewalls y redes VPN. El progreso reciente en la divulgación de vulnerabilidades impulsada por LLM está amplificando esta tendencia. Esto expone una debilidad estructural en los programas actuales de VM/EM (Gestión de Vulnerabilidades / Gestión de Exposición):
• El descubrimiento y la explotación de amenazas operan a la velocidad de las máquinas.
• Las decisiones de remediación siguen limitadas por modelos de análisis estáticos, aprobaciones manuales y la falta de responsabilidad clara sobre los activos.
Como resultado, muchos equipos de ciberseguridad se enfrentan a un riesgo operativo principal: la asimetría de velocidad y decisión entre atacantes y defensores amplía la brecha de seguridad, donde la exposición persiste el tiempo suficiente para que los atacantes actúen, incluso cuando las vulnerabilidades son bien conocidas.
¿Por qué ahora?
• Con más de 50 días de media, el tiempo para remediar vulnerabilidades sigue siendo muy superior al tiempo que les llevaría a los atacantes explotarlas mediante ataques automatizados.
• La mayoría de las organizaciones no utilizan análisis de impacto para priorizar las remediaciones; las vulnerabilidades altamente explotables tardan un promedio de 134 días en remediarse.
• Las credenciales robadas y el phishing siguen siendo vectores de ataque de acceso inicial importantes. Sin embargo, la mayor sofisticación de las herramientas ofensivas orquestadas por LLM facilita la explotación de vulnerabilidades de una organización de forma automática.
Los líderes de ciberseguridad deben enfocarse en reducir el tiempo que los activos críticos permanecen explotables, asignar una prioridad clara para solucionarlos y medir el éxito según la rapidez con la que se eliminan las exposiciones.
Lograr una remediación autónoma requiere más que tecnología; se debe cambiar la forma en que trabajan los equipos, asignar responsabilidades e integrar la remediación en las operaciones diarias.
Plan de acción
Acción ejecutiva: Convierta el momento impulsado por LLM en un cambio real
El enfoque actual en el ciberriesgo impulsado por LLM no es, por sí mismo, la disrupción. Es la fuerza que pone en evidencia una realidad que venía siendo ignorada: las organizaciones llevan años operando por detrás de los tiempos de acción de los atacantes. No es un problema nuevo, pero ahora ya no es posible ignorarlo.
Este momento no debe usarse para justificar inversiones tecnológicas aisladas. Su valor real es desbloquear los cambios necesarios y pendientes en los modelos operativos de gestión de exposición.
Los ejecutivos deben tratar esto como un punto de decisión para restablecer las expectativas, el financiamiento y la rendición de cuentas en torno a la reducción del riesgo basada en el tiempo. Lograr este resultado requiere más que herramientas más rápidas o mejoras de procesos puntuales.
Los líderes de ciberseguridad deben tratar la gestión de exposición como una disciplina operativa basada en el tiempo. Esto significa pasar de preguntar “¿Qué vulnerabilidades son más graves?” a “¿Dónde persiste la exposición explotable el tiempo suficiente para que los atacantes actúen?”.
Responder a la disrupción de la IA consiste en abordar las limitaciones estructurales y operativas que siempre han acotado los objetivos de la gestión de exposición. Los líderes de ciberseguridad deben modernizar su modelo operativo rediseñando la gestión de exposición: pasando de evaluaciones y priorizaciones estáticas a una disciplina accionable, basada en contexto correlacionado y gobernable a través de una toma de decisiones sólida y defendible.
Restablecer la narrativa ejecutiva
Los líderes de ciberseguridad deben encabezar un cambio en la forma en que se discute y se entiende el ciberriesgo en los niveles más altos. La conversación debe estructurarse en torno a tres ejes:
1. Hacer explícita la brecha: Mostrar cuánto tiempo permanecen explotables los activos críticos en comparación con la rapidez con la que pueden actuar los atacantes. Enfocar la discusión en el tiempo, no en el volumen.
2. Aclarar qué cambia con la IA: La IA reduce el esfuerzo requerido para explotar las debilidades existentes, en lugar de introducir amenazas fundamentalmente nuevas.
3. Redefinir el éxito: Medir la rapidez con la que se identifican y solucionan las exposiciones explotables.
Aprovechar el momento para justificar la inversión estructural
La ola actual de atención sobre las divulgaciones de vulnerabilidades impulsadas por LLM crea una ventana para abogar por un cambio estructural más profundo. Los líderes de ciberseguridad deben utilizar esta oportunidad para resaltar los retrasos persistentes en la exposición, reorientar el financiamiento hacia su solución y alinear a los ejecutivos en la reducción del tiempo de remediación.
Reducir la exposición a la velocidad del atacante requiere cambios en la propiedad, los flujos de trabajo y la medición:
• Asignar propiedad: Designar la responsabilidad a nivel de activo, establecer SLA de remediación y realizar un seguimiento de la exposición por equipo responsable. Los equipos de producto y plataforma corrigen las exposiciones en sus propios sistemas, mientras que los equipos de seguridad guían la priorización y supervisan el cumplimiento.
• Integrar en los flujos de trabajo: Rastrear y corregir las exposiciones a través de los procesos de ingeniería y TI existentes, integrándolas dentro de sus colas de trabajo. Administrar automáticamente los flujos de trabajo de extremo a extremo mediante la creación de tickets y el direccionamiento a los propietarios correctos.
• Medir la velocidad: Enfocarse en cuánto tiempo permanecen explotables los activos y hacer responsables a los equipos de reducir ese tiempo.
Iniciar una estrategia de modernización
Los líderes de ciberseguridad deben poner en marcha una estrategia de modernización centrada en resultados medibles, mejora continua e integración operativa. Los siguientes cuatro cambios son críticos para alinearse con los tiempos de acción del atacante:
• Transición a métricas basadas en el tiempo: Evaluar el éxito rastreando cuánto tiempo permanecen explotables las vulnerabilidades, las malas configuraciones y los riesgos de identidad. El éxito se mide reduciendo la “ventana de exposición”: el tiempo que los activos permanecen vulnerables y explotables.
• Priorizar rutas de ataque validadas: Enfocarse en las exposiciones que se cruzan para formar rutas de ataque viables dentro de la infraestructura. Emplear pruebas adversarias y validación continua para confirmar que se están abordando las rutas que los atacantes tienen más probabilidad de explotar.
• Impulsar una respuesta basada en decisiones: Reemplazar la puntuación genérica con una guía accionable y basada en el riesgo. Definir claramente qué exposiciones requieren acción inmediata y cuáles pueden posponerse, en función del impacto real, la explotabilidad y la viabilidad del ataque.
• Operativizar y automatizar la reducción de la exposición: Integrar las acciones de respuesta directamente en los flujos de trabajo de ingeniería, DevOps y TI. Automatizar siempre que sea posible para garantizar que las exposiciones se corrijan rápidamente y a escala, verificando que las acciones estén completas y capturando lecciones aprendidas para mejorar continuamente el proceso.
Fuentes
Gartner: Momento Crucial — Gestión de Exposición y Vulnerabilidades