Los posibles atacantes pasaron 2025 nadando en un mar de más de 40.000 vulnerabilidades recientemente publicadas, dijo VulnCheck en un informe publicado el miércolespero sólo el 1% de esos defectos, apenas 422, fueron explotados en la naturaleza.

A medida que la avalancha de vulnerabilidades crece cada año y las calificaciones CVSS pierden importancia para la priorización de la gestión de vulnerabilidades, algunos defensores están recurriendo a la investigación de vulnerabilidades explotadas conocidas para limitar su alcance de trabajo y poner más énfasis en los riesgos verificados.

«El crecimiento en el volumen de CVE es ridículo, no necesariamente infundado, pero es grande. Los defensores no saben a qué prestar atención», dijo a CyberScoop Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck. «La priorización sigue siendo un gran problema».

Demasiados defensores e investigadores están prestando atención a defectos y conceptos de explotación sin fundamento que no merecen su tiempo, añadió Condon. “Los indicadores de riesgo que antes eran semiconfiables, ahora ya no lo son”.

Las tecnologías explotadas por los atacantes son desarrolladas y vendidas por muchos reincidentes. Algunos de los proveedores que figuran en la lista de VulnCheck de las vulnerabilidades más habituales disfrutan de grandes cuotas de mercado.

Otros proveedores, especialmente aquellos en el espacio de dispositivos de borde de red, se han visto inundados de actividad maliciosa durante años y siguen siendo el punto de intrusión preferido para todos los ataques.

Los dispositivos de borde de red fueron responsables de 191 de los 672 productos afectados por nuevas vulnerabilidades explotadas conocidas el año pasado, lo que representa el 28% de las principales tecnologías atacadas en 2025, según VulnCheck.

«Cualquier cosa que esté en esa posición de estar en el borde de la red, protegiendo el acceso a las redes corporativas, a menudo en un lugar privilegiado para una comunicación segura», es naturalmente un gran objetivo, dijo Condon.

Este problema se ve exacerbado por el hecho de que muchos dispositivos de red funcionan con bases de código que no han cambiado radicalmente en aproximadamente una década. Mientras tanto, los atacantes tienen copias de ese software y utilizan canales de análisis totalmente automatizados para identificar rápidamente nuevas vulnerabilidades.

«Los actores de amenazas están mucho más organizados actualmente que todos nosotros colectivamente en defensa», dijo Condon. Los defensores tienen que asumir que habrá un nuevo día cero en cualquier dispositivo de red en cualquier momento, y los parches se revertirán para el desarrollo de exploits en poco tiempo, añadió.

cada uno de los 50 vulnerabilidades principales VulnCheck señalado en su informe fueron explotados libremente el año pasado con al menos 20 exploits públicos funcionales, ataques originados por al menos dos grupos de amenazas de delitos cibernéticos o patrocinados por el estado. Las principales vulnerabilidades explotadas también estaban vinculadas a al menos una variante de ransomware y aparecieron en al menos dos casos de actividad de botnet conocida.

Cuatro de las 10 vulnerabilidades más atacadas de forma rutinaria el año pasado: CVE-2025-53770 y CVE-2025-53771que son variantes de vulnerabilidades previamente reveladas CVE-2025-49706 y CVE-2025-49704 – estaban contenidos en Microsoft SharePoint. Las cuatro vulnerabilidades de día cero fueron explotadas en masa e inicialmente comprometieron a más de 400 organizaciones, incluidos los Departamentos de Energía, Seguridad Nacional y Salud y Servicios Humanos.

VulnCheck confirmó un total combinado de 69 exploits conocidos para el cuarteto de vulnerabilidades de SharePoint. Los investigadores atribuyeron las vulnerabilidades explotadas a un total de 29 grupos de amenazas y 18 variantes de ransomware; sin embargo, los atacantes involucrados probablemente apuntaron a más de uno de los días cero, lo que resultó en cierta superposición.

Microsoft encabezó la lista con nueve de las 50 vulnerabilidades atacadas habitualmente que aparecieron en sus productos el año pasado. Ivanti fue responsable de cinco, o el 10% de las vulnerabilidades más atacadas el año pasado. Fortinet ocupó el tercer lugar en la lista de VulnCheck con cuatro vulnerabilidades, seguido de VMware con tres, mientras que SonicWall y Oracle ocuparon cada uno un lugar destacado en la lista con dos defectos explotados.

La vulnerabilidad más atacada de 2025 pertenece a React2Shell, un defecto de máxima gravedad en los componentes del servidor React que acumuló 236 exploits públicos válidos antes de fin de año, menos de un mes después de que Meta y React lo revelaran públicamente.

Más de 200 de esos exploits públicos fueron validados por VulnCheck a mediados de diciembre, cuando la Unidad 42 de Palo Alto Networks confirmó que más de 60 organizaciones se vieron afectadas por una ola inicial de ataques.

La investigación de VulnCheck subraya que la tecnología, en última instancia, en todas sus formas, es el problema.

«Estamos en un punto en el que no estamos hablando de un solo proveedor o tecnología. Estamos hablando de grandes cosas, estamos siendo derrotados. Tenemos que comenzar a evaluar despiadadamente e inmediatamente cómo la tecnología necesita evolucionar para ser más resistente a estos ataques en el largo plazo», dijo Condon.

«Necesitamos empezar a ser mucho más realistas sobre el estado de nuestra tecnología y lo que eso significa para la ciberseguridad».