“Cuando la seguridad se mide por su impacto financiero, en reputación y en disponibilidad de servicios, cambia la perspectiva y deja de ser un costo en productos de prevención o detección y pasa a ser gestión del riesgo, algo que es cuantificable y estratégico para la organización”, comentó Javier Fernández, nuevo Territory Manager para la región norte de BeyondTrust, al presentar la 13ª edición de su Informe anual sobre vulnerabilidades de Microsoft.
El ejecutivo enfatizó en la importancia de cambiar el discurso, centrado solo en tecnología, a enfocarse en el negocio, y mencionó que datos como los que presenta el informe, ayudan a entender las tendencias y argumentar las inversiones.
El informe revela que aunque el volumen total de vulnerabilidades parece estar estabilizándose, las críticas aumentaron de forma significativa, lo que indica que la gravedad y la capacidad de explotación de las vulnerabilidades están creciendo rápidamente.
El reporte, que ofrece un análisis en profundidad de los datos de los boletines de seguridad de Microsoft publicados a lo largo de 2025, destaca un perfil de riesgo cambiante impulsado por el descubrimiento de vulnerabilidades acelerado por la IA, la creciente adopción de la nube y las estrategias cada vez más sofisticadas de los atacantes dirigidas a la identidad y los privilegios.
“No debemos dejarnos llevar por la reducción en el número total de vulnerabilidades. Las de carácter crítico se han duplicado, lo que evidencia que el riesgo no está disminuyendo, sino concentrándose, especialmente en torno a los privilegios. Este año, las de elevación de privilegios volvieron a representar el 40% del total, ya que son precisamente las que los atacantes necesitan para acceder a sistemas críticos”, comentó Fernández.
Aspectos destacados del informe
- Microsoft informó de un total de 1.273 vulnerabilidades, lo que supone un descenso del 6 % con respecto a las 1.360 registradas en 2024. A primera vista, este descenso sugiere una mejora, lo que podría reflejar que la inversión continua de Microsoft en seguridad está manteniendo el control, a pesar de una superficie de ataque en rápida expansión. Sin embargo, también puede indicar que el seguimiento tradicional de vulnerabilidades ya no ofrece una visión completa, especialmente ahora que los sistemas impulsados por IA, las identidades no humanas (NHIs, Non-Human Identities) y las complejas arquitecturas en la nube introducen riesgos que no siempre se corresponden claramente con los CVE (Common Vulnerabilities and Exposures)
Al mismo tiempo:
- Las vulnerabilidades críticas se duplicaron con respecto al año anterior, pasando de 78 a 157, lo que invirtió una tendencia a la baja que se prolongaba desde hacía varios años.
- Las vulnerabilidades de Elevación de Privilegios (EoP) representaron el 40 % (509) de todas las vulnerabilidades notificadas, lo que refuerza su papel como la vía más directa para que los atacantes escalen el acceso, se desplacen lateralmente y comprometan sistemas críticos, y subraya la importancia que siguen teniendo la identidad y los privilegios en las cadenas de ataque modernas.
Plataformas en la nube y empresariales impulsan el aumento de los riesgos críticos
El informe reveló un fuerte incremento de las vulnerabilidades críticas en plataformas clave de Microsoft en las que anteriormente se había observado una disminución
- Microsoft Azure y Dynamics 365 registraron un aumento de nueve veces en las vulnerabilidades críticas, pasando de 4 a 37.
- Las vulnerabilidades de Microsoft Office se dispararon hasta alcanzar las 157, más del triple que el año anterior.
- Las vulnerabilidades críticas en Office se multiplicaron por diez, lo que indica un mayor riesgo en herramientas de productividad de uso generalizado.
Aunque el riesgo crítico se disparó en las plataformas en la nube y empresariales, otras áreas mostraron signos de mejora:
- Las vulnerabilidades de Microsoft Edge se redujeron significativamente hasta alcanzar las 50 en 2025, lo que supone una disminución interanual del 83%.
En este sentido, el ejecutivo analizó: “El aumento de nueve veces en las vulnerabilidades críticas de Azure y Dynamics 365 muestra dónde se está produciendo esa concentración. Si a esto le sumamos la creciente oleada de ataques de suplantación de identidad que aprovechan los privilegios permanentes, la aplicación de parches por sí sola no bastará para cerrar esta brecha. Las organizaciones que mejor enfrentarán este escenario serán aquellas que traten cada vulnerabilidad e identidad, humana o no humana, como un posible camino hacia el privilegio en sus sistemas más críticos, y reduzcan esos caminos antes de que un atacante los alcance”.
Conclusiones
- La IA está cambiando el panorama de las vulnerabilidades: por un lado, acelera la detección para los defensores; por otro, permite a los atacantes analizar parches, realizar ingeniería inversa en las correcciones y poner en práctica los exploits más rápido que nunca. Esto crea una brecha cada vez mayor entre la divulgación de vulnerabilidades y su explotación, lo que puede dejar a las organizaciones expuestas antes de que las defensas tradicionales puedan reaccionar.
- Los conteos de CVE ya no cuentan toda la realidad: los riesgos emergentes, como los agentes de IA con privilegios excesivos, credenciales de máquina de larga duración y configuraciones erróneas de identidad a menudo no aparecen en los conteos CVE, pese a su alto impacto. Esto significa que los métodos tradicionales de seguimiento ya no ofrecen una visión completa del riesgo.
Prioridades clave para las organizaciones:
- Aplicar parches con mayor rapidez, pero asumiendo que sigue existiendo la posibilidad de sufrir una intrusión.
- Aplicar el principio del “privilegio mínimo” para limitar el alcance de un ataque y crear oportunidades de detección y respuesta.
- Adoptar estrategias de seguridad centradas en la identidad que protejan todas las identidades, tanto humanas como no humanas.
- Centrarse en las vías de acceso a los privilegios, y no solo en las vulnerabilidades individuales.