Christian Ibiri, CEO de Cloud Legion, analiza cómo la IA aporta velocidad, contexto y precisión y rompe las limitaciones de métodos tradicionales.
24.01.2026 • 00:01hs • COLUMNA
COLUMNA
Cómo la IA mejora la efectividad de las estrategias de priorización de vulnerabilidades
:quality(75):max_bytes(102400)/https://assets.iproup.com/assets/jpg/2026/01/45819.jpg)
La sensación de vivir continuamente bajo amenaza no cede. Sólo en 2025 se publicaron más de 20.000 nuevas CVE (common vulnerabilities and exposures) lo que, traducido al lenguaje corriente, significa que las vulnerabilidades crecen a un ritmo exponencial. La velocidad a la que avanza el cibercrimen hace que las metodologías históricas para priorizarlas sufran limitaciones o, directamente, queden en la obsolescencia.
En este escenario, la IA nos acerca un salvavidas para evolucionar al mismo ritmo al que lo hacen los atacantes.
La gran innovación está en cómo la IA aporta contexto explicable: cada puntaje incluye metadatos detallados sobre qué factores impulsan la criticidad (explotación activa, impacto sobre confidencialidad, integridad y disponibilidad, menciones en noticias, observaciones de malware, etc.). Esto transforma la priorización en un proceso mucho más estratégico y menos reactivo.
Un breve contexto histórico
Durante mucho tiempo, CVSS (common vulnerability scoring system) fue el estándar de facto para priorizar vulnerabilidades. Asigna un puntaje (0-10) basado en la gravedad técnica y la facilidad de explotación.
Su valor radica en la estandarización, pero tiene un problema central: es un snapshot estático. El puntaje no evoluciona con el tiempo ni incorpora el contexto de cada organización. Una falencia importante cuando el contexto resulta tan vertiginoso.
Para añadir dinamismo con machine learning y predicciones sobre la probabilidad de explotación en 30 días, surge EPSS (exploit prediction scoring system). Más flexible y predictivo que el anterior, aún así carece de contexto organizacional y suele reaccionar con retraso, porque depende de datos de explotación en la vida real que se acumulan con el tiempo.
A estos se suma CISA KEV (known exploited vulnerabilities) un listado curado por la agencia estadounidense CISA con vulnerabilidades confirmadas como explotadas. Su ventaja es la urgencia: si aparece en la lista, la organización debe actuar de inmediato. Sin embargo, su alcance es limitado y no cubre todo el espectro de amenazas potenciales.
Inteligencia de amenazas
El paso evolutivo fue VPR (vulnerability priority rating), que integraba inteligencia de amenazas, contexto de negocio y factores dinámicos.
Sin embargo, este año, una versión potenciada por IA (Enhanced VPR), incorpora fuentes de datos ampliadas (inteligencia curada por analistas, artículos de prensa, redes sociales técnicas como Github o Mastodon, e incluso señales de IA generativa) y utiliza algoritmos que ajustan el riesgo en tiempo real.
El resultado: una precisión que permite a las organizaciones enfocarse en el 1,6% de las vulnerabilidades con mayor probabilidad de ser explotadas, sin perder cobertura. En pruebas comparativas, Enhanced VPR duplica la eficiencia de métodos tradicionales y reduce el tiempo de respuesta a amenazas emergentes de semanas a apenas 2,2 días.
La priorización de vulnerabilidades pasó de métricas estáticas a modelos predictivos y se adentra en una nueva era impulsada por la IA. El desafío va mucho más allá de identificar qué es crítico. Mientras las amenazas se mueven y evolucionan a toda velocidad, es esencial actuar antes de que sea demasiado tarde.
*Por Christian Ibiri, CEO de Cloud Legion
