En las semanas previas a que los proveedores de tecnología revelen nuevas vulnerabilidades de software, los piratas informáticos a veces se topan con las fallas y comienzan a explotarlas antes de que los clientes sepan que hay un problema.
En un informe publicado el lunesla firma de inteligencia de Internet GreyNoise reveló que aproximadamente la mitad de los aumentos repentinos de la actividad de escaneo y explotación que rastreó entre mediados de diciembre de 2025 y finales de marzo de 2026 fueron seguidos, dentro de las siguientes tres semanas, por revelaciones de vulnerabilidades de los proveedores objetivo.
Según el informe, casi dos tercios de los aumentos de actividad dieron lugar a revelaciones de vulnerabilidades en un plazo de seis semanas.
«La actividad de escaneo y explotación dirigida a proveedores específicos aumentó constantemente antes de que esos mismos proveedores revelaran nuevos CVE», dijo GreyNoise.
Hubo un aumento de la explotación de una grave vulnerabilidad de Cisco – uno que provocó una directiva de emergencia poco común de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), tan pronto como 39 días antes de que Cisco revelara la falla, según el informe. Una vulnerabilidad de VMware igualmente crítica vio explotación 36 días antes de la divulgación, y una importante vulnerabilidad de MikroTik vio explotación 24 días antes de la divulgación. GreyNoise también descubrió una explotación temprana similar de otras fallas de alta gravedad de Juniper, SonicWall e Ivanti.
En el caso de la falla de Cisco, GreyNoise experimentó cinco aumentos repentinos de explotación durante el último período de 18 días anterior a la divulgación, con el número de direcciones IP cayendo en picado entre los aumentos, incluso cuando el número de sesiones aumentó, un fenómeno que, según GreyNoise, era «consistente con un cambio de un reconocimiento amplio a operadores dedicados que atacan objetivos específicos».
Un posible punto positivo surgió de los datos: “Las amenazas de mayor gravedad tienden a generar una actividad de investigación sustancial y plazos de entrega significativos”, según el informe.
GreyNoise recopiló sus datos analizando escaneos, intentos de inicio de sesión por fuerza bruta, sondeos de ejecución remota de código y otros ataques contra productos de 18 dispositivo de borde y proveedores de infraestructura de red durante un período de 103 días. La firma de seguridad evaluó tanto el volumen (en términos de sesiones únicas) como la amplitud (en términos de direcciones IP únicas) de la actividad. Cada período de varios días de actividad superior al promedio dirigida a un producto específico constituía un «evento de pico».
Una alerta temprana
La cantidad de tiempo promedio entre un aumento repentino de la explotación y la divulgación de una vulnerabilidad fue de 11 días, lo que GreyNoise señaló que podría ser una «ventaja inicial» significativa para las empresas que se enteraron del aumento. (GreyNoise vende inteligencia sobre amenazas que incluye información sobre dicha actividad). “Once días es tiempo suficiente para informar a los líderes, preparar un parche y reforzar los sistemas expuestos antes de que el resto del mundo se entere de que existe la vulnerabilidad”, dijo la compañía.
No toda la actividad es igualmente predictiva
El informe de GreyNoise desglosa el tipo de actividad que observó en cada aumento y con qué frecuencia el proveedor objetivo reveló posteriormente una vulnerabilidad. La empresa vio 42 casos de escaneo, y el 57% de ellos condujeron a revelaciones de vulnerabilidades; 18 intentos de fuerza bruta, de los cuales el 56% condujeron a revelaciones; y 12 intentos de ejecutar código remoto, de los cuales el 42 % condujeron a revelaciones.
Las técnicas se asociaron con diferentes tiempos de entrega: el escaneo generalmente se realizaba más atrás de la divulgación de la vulnerabilidad que los intentos de fuerza bruta y ejecución remota de código, lo que GreyNoise señaló que era «consistente con la actividad en etapas posteriores, donde los atacantes ya han identificado sus objetivos y están tratando de entrar».
También era más probable que el escaneo estuviera ampliamente disperso entre direcciones IP, siendo cada una responsable de solo unas pocas sesiones, mientras que la actividad de la etapa posterior estaba más concentrada, con una pequeña cantidad de direcciones IP, cada una de las cuales registraba una gran cantidad de sesiones.
Fuente