La gestión de vulnerabilidades es un pilar fundamental para la supervivencia de cualquier negocio, especialmente este 2025. Con más de 52,000 nuevas CVEs (Common Vulnerabilities and Exposures) detectadas a final del 2024, estas ciberamenazas han incrementado un 520% desde el 2016. Es por ello que, desde el entorno empresarial, es de vital importancia adoptar un enfoque proactivo para poder defenderse de sus devastadoras consecuencias.
Con más de 100 nuevas CVEs detectadas a diario y con el 20% de las brechas de seguridad siendo fruto de vulnerabilidades ya conocidas, la situación se está volviendo crítica. Pero… ¿Qué está haciendo tu negocio para prevenir estos riesgos? Para darte una imagen más clara del panorama actual de ciberseguridad, en el artículo de hoy vamos a ofrecerte las principales estadísticas de gestión de vulnerabilidades de este 2025. Y es que ya seas propietario de un negocio, un profesional de TI o un CISO, necesitarás tener en cuenta estos datos para proteger tus activos digitales.
Principales estadísticas de gestión de vulnerabilidades (2025)
- Se han detectado un total de 52,000 nuevas vulnerabilidades en 2024. (Statista)
- El número de CVE’s ha incrementado un 560% desde el 2016. (YesWeHack)
- El 20% de las brechas de seguridad son fruto de vulnerabilidades conocidas. (Verizon)
- Únicamente un 54% de las vulnerabilidades críticas detectadas en 2024 fueron solucionadas a lo largo del año. (Verizon)
- Sólo un 7% de las PYMEs consideran suficiente su presupuesto en ciberseguridad. (Crowdstrike)
- Adoptar una solución de gestión de vulnerabilidades genera un ROI del 600%. (CrowdStrike)
- El 90% de las empresas planea invertir en gestión de vulnerabilidades. (Greenbone)
Estadísticas generales del mercado de la gestión de vulnerabilidades
El súbito incremento de CVEs viene acompañado de un crecimiento sostenido de la industria global de la gestión de las vulnerabilidades. A continuación os dejamos las estadísticas más relevantes acerca de la evolución de este mercado debido a su papel crucial en la seguridad digital de las empresas.
El mercado de la gestión de vulnerabilidades está valorado en 17.24 billones USD
El mercado de la gestión de vulnerabilidades está creciendo a un ritmo agigantado. Así lo demuestra el reciente informe de ResearchAndMarkets, donde podemos ver como éste fue valorado en 14.94 billones de dólares en el 2024 y se espera que alcance los 24.08 en el 2030. Esto se traduce en una tasa de crecimiento anual compuesta (CAGR) del 8%.
Estos datos concuerdan con el estudio realizado por MordorIntelligence, en el cual se estima que el mercado de la gestión de vulnerabilidades llegue a los 17.24 billones de dólares a finales de este 2025 y alcance los 23.5 en el 2030. En este caso, se calcula una tasa de crecimiento del 7.5 CAGR.
Tenable, Qualys y Rapid7 acaparan más del 60% del mercado de la gestión de vulnerabilidades
Tal y como recoge el informe Worldwide Device Vulnerability Management Market Shares de IDC, hay tres jugadores clave dentro del mercado de gestión de vulnerabilidades: Tenable, Qualys y Rapid7. De hecho, entre los tres acaparan un 61.6% del sector.
A continuación detallamos los resultados de este estudio:
- Tenable: 29%
- Qualys: 18.9%
- Rapid7: 13.7%
- Trend Micro: 3.5%
- Crowdstrike: 2.5%
- ServiceNow: 2.5%
- Tanium: 1.6%
- Otros: 28.3%
Estadísticas de riesgos y vulnerabilidades
Para entender la importancia de implementar un sistema de gestión de vulnerabilidades, primero es necesario tener una imagen clara de los riesgos a los que las empresas se enfrentan año tras año. Bajo estas líneas os dejamos algunos de los datos más relevantes acerca de los riesgos y vulnerabilidades de este 2025
El número de CVEs ha aumentado un 560% desde el 2016
A fecha de hoy (mediados del 2025), se han detectado 21.599 vulnerabilidades que todavía esperan ser solventadas. Claramente la tendencia está a la alza si lo comparamos con el año anterior, donde durante todo el periodo se detectaron 39.980 según CVE.ICO o 52.000 según Statista.
Tal y como indican medios como YesWeHack, la situación es preocupante, pues si comparamos estos datos con los del 2016, el número de vulnerabilidades ha incrementado un 560% en menos de una década.
Fuentes como CVE.ICU han documentado año tras año el número de vulnerabilidades detectadas. A continuación os ofrecemos los resultados de los últimos 10 años:
- 2015: 6.494 nuevas vulnerabilidades.
- 2016: 6.449 nuevas vulnerabilidades.
- 2017: 14.642 nuevas vulnerabilidades.
- 2018:16.510 nuevas vulnerabilidades.
- 2019: 17.305 nuevas vulnerabilidades.
- 2020: 18.322 nuevas vulnerabilidades.
- 2021: 20.150 nuevas vulnerabilidades.
- 2022: 25.074 nuevas vulnerabilidades.
- 2023: 28.818 nuevas vulnerabilidades.
- 2024: 39.980 nuevas vulnerabilidades.
- 2025*: 21.599 nuevas vulnerabilidades.
(*datos parciales hasta el mes de junio)
Sólo la mitad de las vulnerabilidades críticas detectadas en 2024 fueron solucionadas durante ese mismo año
Como bien muestra el gráfico del punto anterior, 2024 marcó un máximo histórico en el número de CVEs detectadas. Sin embargo, no todas estas vulnerabilidades fueron parcheadas durante ese mismo año. Tal y como apunta el informe de Verizon 2025 Data Breach, solamente un 54% de las vulnerabilidades detectadas durante este año fueron solucionadas a lo largo de este. El resultado de ello fue un número mayor de brechas de datos y, en consecuencia, pérdidas cuantiosas para las compañías.
El 20% de las brechas de seguridad se producen a partir de vulnerabilidades ya conocidas
Tal y como ya os hemos adelantado, cada año aparecen una media de 25.000 nuevas vulnerabilidades pero… ¿Significa esto que aquellas ya detectadas no comportan ningún problema? Desgraciadamente este no es el caso.
Un reciente estudio de Verizon muestra cómo el 20% de las brechas de seguridad detectadas en el 2024 fueron fruto de alguna vulnerabilidad ya conocida. Este dato subraya la importancia de contar con una solución de gestión de vulnerabilidades.
Un 32% de los ciberataques empiezan con una vulnerabilidad que no ha sido parcheada
Ciberataques como el ransomware han incrementado drásticamente a lo largo del año. De hecho, solo en el 2024 se multiplicaron por 5 el número de pérdidas monetarias que las empresas dedicaron a rescatar sus activos encriptados. Pero esto no es todo, tal y como apunta Sophos en su informe The State of Ransomware, el 32% de los ciberataques han empezado con una vulnerabilidad que todavía no ha sido parcheada.
El 25% de las nuevas vulnerabilidades se explotan en el mismo día que aparecen
Los puntos anteriores nos dejan un claro mensaje: es de vital importancia para una empresa actuar lo más rápido posible ante cualquier vulnerabilidad. Un reciente estudio hecho por Turfin subraya este hecho, señalando que 1 de cada 4 es explotada durante el mismo día en que aparece y el 75% restante durante los primeros 19 días.
ROI de la gestión de vulnerabilidades (2025)
Adoptar un software de gestión de vulnerabilidades supone una i nversión importante para cualquier empresa, pero ésta es capaz de brindar cuantiosas ventajas tanto financieras como a la hora de mantener un negocio activo. A continuación vamos a ofreceros los datos más importantes del retorno de la inversión (ROI) de adoptar una plataforma de gestión de vulnerabilidades.
Una plataforma de gestión de vulnerabilidades genera un retorno de la inversión de 6:1
Según un reciente estudio realizado por CrowdStrike, incorporar una plataforma de gestión de vulnerabilidades como CrowdStrike Falcon XDR genera un retorno de la inversión de 6 dólares por cada dólar invertido en solo 5 meses. Esto se traduce en un ROI del 600%.
Un software de gestión de vulnerabilidades reduce hasta un 25.5% los gastos anuales de una empresa.
Un reciente estudio publicado por la Universidad de Cornell demuestra que aquellas empresas que han aplicado un sistema de gestión de vulnerabilidades basado en riesgos reduce hasta un 25.5% sus gastos anuales. ¿Qué diferencia tiene con el sistema clásico de identificar vulnerabilidades por gravedad técnica (CVSS)? Hablaremos de ello en la sección de tendencias sobre gestión de vulnerabilidades.
Tendencias y adopción de la gestión de vulnerabilidades
En un panorama donde las vulnerabilidades y vectores de ataque están en constante evolución, no es de extrañar que los sistemas de prevención de estos ciberataques experimenten cambios ininterrumpidos. En esta sección vamos a repasar las principales tendencias en gestión de vulnerabilidades de este 2025.
Paso de una priorización basada en gravedad técnica a una priorización basada en riesgos
Tal y como hemos apuntado en los datos recopilados en este artículo, el 2024 se considera el peor año en cuanto a CVEs hasta la fecha. De las casi 40.000 vulnerabilidades detectadas durante ese año, solo el 2% fueron explotadas durante el mismo. Aún así, Cloud Security Alliance señala que estas nuevas vulnerabilidades han incrementado un 180% el número de brechas de seguridad hasta la fecha. ¿La razón? Una mala gestión de estas vulnerabilidades.
Una de las mayores tendencias en gestión de vulnerabilidades hasta la fecha es que ya no basta con clasificar estas amenazas por gravedad técnica (CVSS) sino que es necesario basarse en los riesgos. Esto ayudará a identificar las probabilidades de un exploit así como los efectos en un negocio, creando parches críticos para las empresas en lugar de centrarse en aquellos cuyos efectos sean menos destructivos.
Incremento de la monitorización de vulnerabilidades
El número de escaneos en busca de vulnerabilidades ha incrementado exponencialmente en los últimos 3 años. De hecho, la inversión en evaluar las vulnerabilidades de un negocio se ha duplicado, pasando del 13% en el 2023 al 26% en el 2024. De hacer escaneos regulares durante cada trimestre se ha pasado a realizar una monitorización contínua. Esto se debe a la disminución del TTE o Time-to-Exploit, el tiempo promedio en que un hacker hace uso de alguna vulnerabilidad para realizar un ciberataque. Este ha pasado de los 32 días en el 2022 a sólo 5 en 2025.
Uso de automatización, Inteligencia Artificial y metodología DevSecOps
Según un reciente informe realizado por CrowdStrike, un 79% de las amenazas detectadas durante el 2024 no están vinculadas a ningún tipo de malware, es decir, han sido fileless o sin archivos. Este tipo de ataques difícilmente son detectables de forma eficiente por un humano, especialmente si aparecen en grandes volúmenes. Es por ello que, a día de hoy, la mayoría de plataformas de gestión de vulnerabilidades optan por unir la automatización con la Inteligencia Artificial y el Machine Learning. Con ello es posible defender un negocio de forma proactiva, manejando gran número de alertas y pudiendo verificar parches de forma automática.
Lo mismo sucede en la adopción de la metodología DevSecOps. Según Veritis, una empresa que haya implementado un DevSecOps avanzado disminuirá hasta un 20% su vulnerabilidad. Y es que, muy unido al punto anterior, el 80% de estas iniciativas incluye escaneo automatizado de vulnerabilidades, disminuyendo así la carga manual y error humano.
El 90% de las empresas planea invertir en gestión de vulnerabilidades
El fuerte incremento en el número de vulnerabilidades experimentado en el 2024 conlleva fuertes repercusiones a nivel empresarial. El aumento de pérdidas derivadas de las CVEs ha hecho que 9 de cada 10 PYMEs planee invertir en gestión de vulnerabilidades durante el 2025.
Conclusión
Adoptar un sistema de gestión de vulnerabilidades se ha convertido en una necesidad empresarial de este 2025. Con más de 52.000 vulnerabilidades detectadas sólo en el 2024 y el 25% de ellas siendo explotadas en menos de 24 horas, el panorama resulta preocupante. Sin embargo, nuevos estudios y adelantos tanto en automatización como en Inteligencia Artificial han cambiado el enfoque en la que se abordan estos riesgos. Aunque todavía en un estado de adopción insuficiente, el 90% de las PYMEs plantean adoptar un sistema de gestión de riesgos este 2025. ¿Está tu empresa entre ellas?