La velocidad a la que los atacantes están explotando nuevas vulnerabilidades no da tregua. Esto es lo que se desprende del informe State of Exploitation 2026 elaborado por VulnCheck, que identificó 884 vulnerabilidades KEV (Known Exploited Vulnerabilities); el 28,96 % de estas vulnerabilidades ya se estaban explotando el mismo día o incluso antes de que se publicara su CVE, frente al 23,6 % registrado el año anterior.
El estudio toma como referencia la fecha de publicación del CVE como el momento en el que, habitualmente, los equipos defensivos toman conciencia del fallo. Desde esa perspectiva, los datos reflejan un problema estructural: los atacantes llegan antes y obligan a las organizaciones a reducir al mínimo los tiempos de reacción, sin dejar de lado la gestión de vulnerabilidades antiguas que siguen siendo explotadas.
El análisis confirma que los dispositivos de borde de red —firewalls, VPN y proxies— fueron las tecnologías más atacadas en 2025, seguidas de los sistemas de gestión de contenidos, especialmente el ecosistema WordPress, y del software de código abierto.
Más allá de estas categorías, VulnCheck advierte de una explotación cada vez más transversal, que alcanza a cientos de fabricantes y productos, desde sistemas operativos y herramientas de desarrollo hasta plataformas de copia de seguridad, soluciones de identidad, entornos OT e incluso tecnologías emergentes como la IA.
Más visibilidad… antes que los catálogos oficiales
Otro de los mensajes clave del informe es la importancia de la inteligencia temprana. A lo largo de 2025, 118 organizaciones distintas —investigadores, fabricantes y proveedores de ciberseguridad— fueron las primeras en hacer pública evidencia de explotación, con Shadowserver como principal fuente inicial. En la mayoría de los casos, VulnCheck identificó explotación real días, meses e incluso años antes de que esas vulnerabilidades fueran incorporadas al catálogo KEV de CISA.
Pese al aumento del volumen y la diversidad de tecnologías afectadas, los tiempos de explotación se mantienen estables respecto a 2024, lo que apunta a un comportamiento sostenido por parte de los atacantes. También se observa que la atribución a campañas de ransomware suele llegar más tarde, por lo que es previsible que durante 2026 sigan apareciendo nuevas vinculaciones entre vulnerabilidades ya explotadas y grupos de ransomware activos.
En conjunto, el informe de VulnCheck dibuja un escenario claro: la explotación rápida es ya un rasgo estructural del panorama de amenazas. Mantener visibilidad sobre qué vulnerabilidades están siendo realmente explotadas, priorizar la corrección en función de ese riesgo y no depender de una única fuente de referencia se consolida como una de las claves para reducir la exposición en 2026.
