Informe DBIR 2026 de Verizon: Las vulnerabilidades de software superan a las contraseñas como principal vector de entrada en las brechas

Durante casi dos décadas, las contraseñas robadas o débiles ostentaron el dudoso título de la forma más común en que los atacantes irrumpían en los sistemas. Esa era terminó oficialmente. El Informe de Investigaciones de Brechas de Datos (DBIR) 2026 de Verizon revela que la explotación de vulnerabilidades representa ahora el 31% de las brechas, superando por primera vez en la historia del informe el uso de credenciales robadas. El ransomware, por su parte, aparece ya en el 48% de todos los incidentes de brecha. Estas conclusiones tienen implicaciones reales para cualquiera que confíe en una única herramienta de seguridad, incluida una VPN, para mantener sus datos a salvo.

Lo que realmente encontró el DBIR 2026

La cifra principal es contundente: el 31% de las brechas comienzan ahora con atacantes que explotan una vulnerabilidad de software, frente a aproximadamente el 20% en el informe del año anterior. Se trata de un salto significativo en un solo año. El abuso de credenciales, que ocupó el primer puesto durante años, ha quedado relegado a un segundo lugar.

El hallazgo sobre el ransomware es igualmente relevante. Casi la mitad de todos los incidentes de brecha involucran ahora ransomware, lo que indica que los atacantes no solo están entrando a través de fallos de software, sino que utilizan cada vez más esos puntos de entrada para desplegar cargas dañinas con fines de lucro. La combinación de software sin parchear y ransomware crea un círculo especialmente peligroso: un parche omitido se convierte en una puerta abierta, y esa puerta abierta conduce a archivos cifrados y exigencias de rescate.

El informe también señala que la inteligencia artificial está empezando a acelerar la vertiente ofensiva de esta ecuación, ayudando a los adversarios a identificar fallos explotables más rápido de lo que muchas organizaciones pueden responder.

Por qué la aplicación de parches se queda atrás y quién paga el precio

Uno de los detalles más aleccionadores que circulan junto al DBIR 2026 es que solo una fracción de las vulnerabilidades críticas llega a parchearse de manera oportuna. Las organizaciones relegan habitualmente las actualizaciones porque aplicar parches requiere tiempo de inactividad, pruebas y coordinación entre equipos. Los atacantes han aprendido a explotar precisamente esa brecha.

Esto no es un problema exclusivo de las grandes empresas. Las pequeñas y medianas empresas a menudo operan con equipos de TI reducidos, lo que significa que un único servidor sin parchear o una aplicación obsoleta pueden permanecer expuestos durante semanas o meses. Los datos del DBIR 2026 sugieren que esa ventana de exposición se está convirtiendo en un arma más agresiva que nunca.

El cambio también importa en la forma en que pensamos sobre la identidad y el acceso. El phishing móvil ha surgido como otro vector de brecha en aumento en el mismo ciclo del informe, y cuando el phishing recolecta credenciales con éxito, esas credenciales se combinan cada vez más con la explotación de sistemas sin parchear para moverse lateralmente dentro de la red. Ambas amenazas se refuerzan mutuamente.

Por qué las VPN por sí solas no son suficientes

Una VPN cifra el tráfico de internet y oculta tu dirección IP, algo realmente útil para proteger los datos en tránsito, sobre todo en redes no confiables. Pero una VPN no hace nada para parchear una aplicación vulnerable. Si un atacante identifica un fallo sin corregir en el software que se ejecuta en un servidor, puede explotarlo independientemente de si ese servidor está detrás de una conexión VPN.

Esta es la lección fundamental que subyace en las cifras del DBIR 2026: las herramientas de seguridad funcionan por capas, y ninguna capa cubre por sí sola todas las amenazas. Las conexiones cifradas protegen los datos que se mueven entre puntos. Las contraseñas fuertes y únicas (respaldadas por un gestor de contraseñas) reducen la exposición de credenciales. La autenticación multifactor eleva el coste de los ataques basados en credenciales. Y la aplicación oportuna de parches cierra las puertas de las que depende la explotación de vulnerabilidades.

El ransomware no distingue entre organizaciones con VPN y sin ella. Sigue el camino de menor resistencia que le brinden un sistema sin parchear o una credencial comprometida.

Qué significa esto para ti

El DBIR 2026 es una útil dosis de realidad tanto para individuos como para organizaciones. Estos son los pasos prácticos que vale la pena dar en respuesta a lo que muestran los datos:

  • Prioriza la aplicación de parches. Habilita las actualizaciones automáticas siempre que sea posible para sistemas operativos, navegadores, complementos y aplicaciones. En las organizaciones, establece una ventana de parcheo definida y cúmplela.
  • Audita tu inventario de software. No puedes parchear lo que no sabes que estás ejecutando. Un simple inventario de aplicaciones y sus versiones actuales es un punto de partida.
  • Aplica defensas por capas. Utiliza una VPN para conexiones cifradas, un gestor de contraseñas para credenciales fuertes y únicas, y autenticación multifactor en todas las cuentas que lo permitan.
  • Toma en serio el ransomware a nivel de copias de seguridad. Las copias de seguridad fuera de línea o inmutables son una de las contramedidas más eficaces contra el ransomware; no previenen un ataque, pero limitan la ventaja que tiene el atacante.
  • No asumas que las herramientas de perímetro cubren las vulnerabilidades internas. Los cortafuegos y las VPN protegen el perímetro. Las vulnerabilidades dentro de tu red siguen necesitando atención directa.

El DBIR 2026 no describe una amenaza futura; describe lo que ya está ocurriendo a gran escala. Las organizaciones y las personas que tratan la seguridad como un conjunto de hábitos complementarios en lugar de como la compra de un único producto son quienes están en mejor posición para evitar formar parte de las estadísticas del próximo año.