Los ataques cibernéticos con IA ya llegan antes que los parches: el tiempo de explotación ha caído de 700 días a negativo

En 2020, cuando un investigador de seguridad publicaba una vulnerabilidad, los atacantes tardaban de media más de 700 días en desarrollar un exploit y usarlo en ataques reales. Era tiempo suficiente para que los equipos de seguridad aplicaran parches, actualizaran sistemas y contuvieran el daño antes de que llegara la amenaza.

Ese modelo ya no existe.

El número que lo cambia todo

El informe M-Trends 2026 de Mandiant encontró que el tiempo hasta el exploit ha llegado efectivamente a negativo: los exploits están llegando rutinariamente antes que los parches, con el 28,3% de los CVEs explotados dentro de las 24 horas posteriores a su divulgación. Skyvia

Para entender la magnitud del cambio: en 2020, el tiempo medio desde la publicación de una vulnerabilidad hasta su explotación en ataques reales era de más de 700 días. En 2025 era de 44 días. En 2026, el 28% de las vulnerabilidades ya están siendo explotadas antes de que exista un parche disponible.

La IA ha comprimido el tiempo hasta el exploit: el número ha caído de más de 700 días en 2020 a solo 44 días en 2025, lo que significa que los atacantes están desarrollando exploits para vulnerabilidades conocidas en menos de dos meses, en lugar de casi dos años. Skyvia

El ciclo de respuesta tradicional a incidentes asume que hay tiempo para detectar, analizar, priorizar y parchear. Con el 28% de vulnerabilidades ya explotadas en las primeras 24 horas de su publicación, ese ciclo ha dejado de ser un plan de respuesta para convertirse en una nota de condolencias.

Por qué la IA ha cambiado el lado del ataque más que el de la defensa

A lo largo de 2024, 2025 y principios de 2026, el rendimiento de los modelos frontier como ChatGPT, Claude y Gemini en benchmarks como SWE-bench, una prueba de capacidad de desarrollo de software, se disparó. Los mismos modelos que ayudan a los desarrolladores a escribir código más rápido también están ayudando a los atacantes a encontrar y explotar vulnerabilidades más rápido. The Register

La asimetría está en los incentivos y en el tiempo. Un equipo de seguridad tiene que defender todos los sistemas, todos los días. Un atacante solo tiene que encontrar un punto de entrada. La IA no ha cambiado esa asimetría fundamental, pero sí ha acelerado dramáticamente la velocidad a la que el atacante puede recorrerla.

El diagrama de Venn de «dispuesto a hacer ataques» y «tiene capacidad técnica para hacer ataques» solía ser una fracción pequeña. Ese solapamiento está creciendo cada mes. La barrera técnica para desarrollar un exploit funcional ha caído. La barrera ética para usarlo nunca fue alta para quienes deciden cruzarla. La combinación de ambas es lo que ha cambiado el panorama de amenazas de forma estructural. The Register

El problema de los parches que nunca llegan

Más allá de la velocidad de explotación, hay un segundo problema que los datos de 2026 confirman con claridad.

El tiempo medio para remediar un CVE de severidad alta o crítica es ahora de 74 días, según el Informe de Estadísticas de Vulnerabilidad 2025 de Edgescan. Además, el 45% de las vulnerabilidades en sistemas mantenidos por grandes empresas (más de 1.000 empleados) nunca se remedian. The Register

El 45% que nunca se parchea no es descuido. Es una realidad operacional. Las organizaciones tienen más sistemas, más software, más dependencias de terceros y más superficie de ataque que en ningún momento anterior. Los equipos de seguridad no han crecido en proporción. La deuda técnica de vulnerabilidades no parcheadas se acumula más rápido de lo que se puede gestionar con los modelos tradicionales de priorización.

El ataque a npm que anticipó lo que viene

El caso más ilustrativo de cómo estos vectores se combinan ocurrió en septiembre de 2025.

En septiembre de 2025, el ataque Shai-Hulud que apuntaba al ecosistema npm comprometió más de 500 paquetes. Más de 487 organizaciones tuvieron secretos comprometidos, y 8,5 millones de dólares fueron robados de Trust Wallet después de que los atacantes usaran credenciales expuestas para envenenar su extensión de Chrome. Muchas organizaciones instituyeron congelaciones de código tras el ataque. The Register

El ataque a npm es el modelo que los expertos esperan que se replique con mayor frecuencia en 2026. La cadena de suministro de software —los paquetes, librerías y dependencias que todo el mundo usa sin pensar mucho en quién las mantiene— es el vector de ataque más eficiente disponible porque compromete miles de objetivos a través de un solo punto de entrada. La semana pasada ya cubrimos el ataque norcoreano a Axios que comprometió las apps de macOS de OpenAI. Es el mismo patrón.

Lo que los datos dicen sobre hacia dónde va la amenaza

La lección de 2025 es que no puedes superar en velocidad a estos ataques. La ventana de exploit se está encogiendo más rápido de lo que los ciclos de parches pueden comprimirse, y el malware generado por IA está escapando de las herramientas de detección en las que las organizaciones han confiado durante décadas. Al mismo tiempo, se está construyendo más software, más rápido. The Register

Si los ataques a la cadena de suministro ya llegan rápido en 2026, ¿cómo será 2027 con las capacidades de los modelos llevadas a diez? Pensar en términos de velocidad y superar los ataques solo llevará a los equipos hasta cierto punto en el entorno actual. The Register

El cambio de paradigma que los expertos en seguridad están describiendo en 2026 no es «parchea más rápido». Es «elimina categorías enteras de vulnerabilidad». Reducir la superficie de ataque estructuralmente —menos dependencias de terceros sin verificar, menos credenciales expuestas en repositorios, menos software legacy sin soporte— es la única respuesta que escala frente a atacantes que operan a velocidad de IA.

El problema es que esa transformación se mide en años. El ciclo de ataque se mide en horas. Y esa brecha, documentada en los datos de Mandiant este año, es el problema de ciberseguridad más importante de 2026.