00:00:00El año pasado batió récords en ciberseguridad, y no precisamente para bien.
00:00:04Se publicaron más de 48 000 CVE y es, oficialmente, la mayor cantidad
00:00:10de vulnerabilidades descubiertas en un solo año.
00:00:13Y todo apunta a que las cosas no serán más fáciles de aquí en adelante.
00:00:17En este video, analizaremos las estadísticas para entender por qué está aumentando
00:00:22el número de vulnerabilidades y qué podemos hacer al respecto.
00:00:29Las vulnerabilidades aumentaron un 18 % el año pasado, lo que supone una media de 130 nuevos
00:00:35fallos de seguridad descubiertos cada día del año.
00:00:39Lo más alarmante es que, a principios de 2025, cerca del 28 % de los exploits detectados se lanzaron
00:00:46en menos de 24 horas tras la divulgación de la vulnerabilidad.
00:00:49Esto significa que, para cuando los desarrolladores lanzaban un parche, los atacantes ya estaban
00:00:54explotando y atacando sistemas activamente.
00:00:57Y no hace falta decir que la programación con IA ha facilitado las cosas en ambos bandos.
00:01:01Con el auge del "vibe coding", surgen vulnerabilidades invisibles en nuevos sistemas debido a
00:01:07medidas de seguridad más débiles implementadas por los agentes de programación de IA.
00:01:11Y por el lado de los atacantes, nunca ha sido tan fácil y rápido escanear un sistema en busca de fallos críticos
00:01:17y generar rápidamente un script que pueda explotar activamente estas nuevas vulnerabilidades.
00:01:22Pero al observar los tipos de exploits, curiosamente, el Cross-Site Scripting
00:01:27y la inyección SQL siguen siendo de los vectores de ataque más populares.
00:01:32Así que implementar una correcta desinfección de entradas en tus apps o sistemas es una de las
00:01:38cosas más sencillas que puedes hacer para protegerte.
00:01:40Si hablamos de frameworks web específicos, WordPress sigue siendo la mayor fuente
00:01:45de nuevas CVE, con unas 7000 vulnerabilidades descubiertas solo en esta plataforma.
00:01:52Por eso, recomendaría evitar el uso de WordPress.
00:01:55Pero si planeas usarlo en tus próximos proyectos, asegúrate de utilizar el menor número
00:02:00de plugins posible, ya que la gran mayoría (el 90 %) de los fallos relacionados con WordPress provienen de plugins
00:02:07de terceros, otro 6 % de los temas y solo el 4 % del propio núcleo de software de WordPress.
00:02:15El núcleo de WordPress es relativamente seguro, pero los plugins suelen estar mal mantenidos y
00:02:21algunos problemas pueden pasarse por alto.
00:02:23Esto nos lleva a un punto interesante.
00:02:25¿Qué lenguajes y qué frameworks son relativamente seguros?
00:02:28Los datos muestran que, de media, los lenguajes con memoria segura como Rust, Java, Go, C#, Python
00:02:36o Swift se consideran más seguros que los lenguajes con memoria no segura como C, C++ o ensamblador,
00:02:43ya que estos últimos permiten la manipulación directa de punteros.
00:02:47Las investigaciones indican que aproximadamente el 70 % de todas las vulnerabilidades graves en grandes
00:02:52bases de código, como las de Microsoft y Google, se deben a problemas de seguridad de memoria.
00:02:59Un cambio importante en 2025 ha sido la presión agresiva de organizaciones como la CISA, la NSA y
00:03:06la Casa Blanca para que los desarrolladores abandonen los lenguajes con memoria no segura.
00:03:11También conviene analizar la densidad de código al evaluar el riesgo de vulnerabilidad,
00:03:16ya que los datos de Google de 2025 indican que el código Rust tiene una densidad de 0,2 vulnerabilidades por
00:03:26millón de líneas de código, frente a casi 1000 en el código histórico de C o C++.
00:03:32Esto tiene todo el sentido, ya que C y C++ existen desde los años 70 y tienen
00:03:37mucho código antiguo que aún arrastra posibles vulnerabilidades sin parchear.
00:03:42Si dudabas entre elegir C o Rust para tu próximo proyecto, este dato por sí solo
00:03:47podría inclinar la balanza hacia Rust solo desde el punto de vista de la seguridad.
00:03:52En cuanto a los sistemas operativos, el más vulnerable con diferencia es
00:03:58el kernel de Linux.
00:03:59Y no es de extrañar, ya que el kernel de Linux es omnipresente.
00:04:04Hace funcionar servidores, Android, dispositivos IoT, entre muchas otras cosas.
00:04:09Y ha sido analizado minuciosamente por investigadores.
00:04:12Por lo tanto, se han encontrado y divulgado muchísimos fallos.
00:04:15Además, cualquier proyecto de código abierto atraerá más la atención de posibles atacantes.
00:04:20Al adentrarnos en 2026, la pregunta es: ¿qué podemos hacer para prepararnos mejor y proteger
00:04:25nuestros sistemas de las próximas amenazas?
00:04:28La realidad es que ya no solo luchamos contra hackers humanos.
00:04:32Estamos entrando en una era de guerra de máquina contra máquina.
00:04:36Aquí tienes tres pilares de seguridad en los que deberías centrarte este año.
00:04:40Primero, prioriza la seguridad de la memoria.
00:04:43Para todo nuevo desarrollo, prioriza lenguajes seguros como Rust, Go, Swift u otros.
00:04:49Abandonar C y C++ es la forma más eficaz de reducir la densidad de vulnerabilidades.
00:04:55Segundo, implementa una monitorización impulsada por IA.
00:04:58Dado que los atacantes usan IA para lanzar exploits en menos de 24 horas tras la divulgación, la supervisión
00:05:05manual ya no es suficiente.
00:05:06Deberías desplegar sistemas de detección automatizados que utilicen análisis de comportamiento
00:05:12para identificar anomalías en tiempo real.
00:05:13Y una excelente herramienta de monitorización para este tipo de detecciones es Better Stack.
00:05:17Better Stack ahora cuenta con seguimiento de errores nativo por IA e incluso incluye un SRE de IA
00:05:24que puede alertarte en cualquier momento si algo falla en tu sistema.
00:05:28Tercero, minimiza la superficie de la cadena de suministro.
00:05:32Esta lección se aplica a todo desarrollo moderno.
00:05:35Reduce las dependencias.
00:05:37La mayoría de las vulnerabilidades provienen de librerías y plugins de terceros.
00:05:41Esto fue especialmente evidente con el feroz exploit React to Shell el año pasado, sobre el cual
00:05:46James hizo un excelente análisis profundo que puedes ver justo aquí.
00:05:49Y finalmente, lo cuarto que deberías hacer es suscribirte a nuestro canal para no
00:05:54perderte ninguna actualización sobre nuevas vulnerabilidades críticas.
00:05:58En el canal de Better Stack, nos esforzamos por mantenerte al día con las últimas novedades,
00:06:03incluyendo el análisis de las vulnerabilidades que se van descubriendo.
00:06:06Espero que este video te haya sido útil; si es así, asegúrate de hacérnoslo saber
00:06:10dándole un buen "me gusta" justo debajo del video.
00:06:13Soy Andrés, de Better Stack, y nos vemos en los próximos videos.