El Apocalipsis del Patching ya comenzó, del tipo operativo, donde el volumen y la velocidad de vulnerabilidades públicas con parches disponibles están a punto de superar la capacidad de respuesta de la mayoría de los equipos de IT y ciberseguridad
El detonante llegó el 7 de abril, cuando Anthropic anunció que su modelo de IA Claude Mythos Preview había identificado de manera autónoma miles de vulnerabilidades críticas y de día cero en los principales sistemas operativos y navegadores del mercado. Más del 99% permanecían sin parchear al momento de su divulgación.
Dos semanas después, el 21 de abril, Mozilla confirmó que utilizó el mismo modelo para encontrar y corregir 271 vulnerabilidades en la última versión de Firefox. Su evaluación fue directa: “Hasta ahora no hemos encontrado ninguna categoría o complejidad de vulnerabilidad que los humanos puedan detectar y que este modelo no pueda”.
Para Chris Goetti, Vicepresidente de Gestión de Producto para soluciones de seguridad en Ivanti, lo que está ocurriendo ya tiene nombre dentro de la industria: un “apocalipsis del patching”, del tipo operativo, donde el volumen y la velocidad de vulnerabilidades públicas con parches disponibles están a punto de superar la capacidad de respuesta de la mayoría de los equipos de IT y seguridad.
NIST ya lo está sintiendo
El Reporte Global de Amenazas 2026 de CrowdStrike ya había documentado un aumento interanual del 89% en ataques habilitados por IA durante 2025, incluso antes de que modelos como Mythos entraran en escena.
Al mismo tiempo, NIST, la agencia del gobierno de Estados Unidos que administra la base de datos global de vulnerabilidades conocidas, anunció que ya no puede procesar todo lo que recibe. Las presentaciones crecieron un 263% y la agencia tomó una decisión sin precedentes: de ahora en adelante, solo analizará en detalle las vulnerabilidades que cumplan criterios de alto riesgo. El resto quedará sin evaluación oficial. Es la primera vez que el sistema diseñado para mantener el registro global de amenazas admite que el volumen ha superado su capacidad.
Lo que muchas organizaciones asumen que está resuelto
Muchas organizaciones creen que ya están cubiertas: tienen un escáner de vulnerabilidades, un proceso de aprobación y herramientas de gestión de dispositivos. El problema es que ninguna de esas piezas cierra el ciclo por sí sola. Los escáneres detectan y enumeran, pero no despliegan ni verifican. Los procesos de aprobación basados en tickets, diseñados para otra velocidad, crean cuellos de botella que ahora pueden extenderse durante semanas. Y las herramientas de gestión de dispositivos tienen limitaciones de cobertura que dejan fuera servidores, endpoints de terceros y aplicaciones fuera de su ecosistema. Con ventanas de explotación medidas ahora en horas, esas brechas ya no son detalles operativos: son riesgo acumulado.
Lo que necesitan cambiar ahora los equipos de IT
La respuesta no es reemplazar lo que ya existe, sino conectarlo mediante automatización que cierre esas brechas. En la práctica, eso significa tres cosas:
1. Prioridad basada en riesgo, no en calendario.
Las vulnerabilidades explotadas activamente no pueden esperar al ciclo mensual. Navegadores, aplicaciones de comunicación y sistemas de usuario final deben ir primero. Todo lo demás sigue el calendario regular.
2. Despliegue escalonado con rollback automático.
Comience con un grupo pequeño, expándalo a uno más amplio y luego despliegue a todos. Cuando existe una vulnerabilidad activa, ese proceso debe comprimirse de semanas a días. Y si algo falla, el sistema debe revertirse automáticamente.
3. Un parche no cuenta hasta que se confirme instalado.
La mayoría de los equipos cierran el caso cuando el parche es aprobado. El riesgo termina únicamente cuando se verifica que llegó a todos los dispositivos. Sin esa confirmación, la evidencia de cumplimiento se convierte en una crisis antes de cada auditoría.
La pregunta que ahora deben hacerse los equipos de seguridad
Si un zero-day crítico aparece el próximo viernes por la tarde, ¿su equipo podría remediarlo completamente antes del lunes?
Mídalo desde el momento en que se publica la alerta hasta el instante en que el último dispositivo queda protegido. Si eso toma semanas, el apocalipsis del patching ya lo encontró.
DERECHOS DE AUTOR
Esta información pertenece a su autor original y se encuentra en el sitio https://boletin.mx/2026/05/25/el-apocalipsis-en-ciberseguridad-de-la-mano-de-la-ia/
