Durante 2024, se reportaron mil 360 vulnerabilidades en los sistemas de Microsoft, lo que se considera como un récord histórico, con un aumento del 11 por ciento respecto a la cifra más alta que se había registrado en 2022, donde las vulnerabilidades en elevación de privilegios representaron el 40 por ciento del total.
El 12º Informe de vulnerabilidades de Microsoft 2025, elaborado por la empresa de ciberseguridad BeyondTrust, detalló que “las vulnerabilidades por omisión de funciones de seguridad aumentanon 60 por ciento, al pasar de 56 en 2023 a 90 en 2024”. No obstante, las vulnerabilidades críticas de todo Microsoft, considerado como ecosistema en conjunto, disminuyeron el año pasado.
Aún así, Microsoft Edge presentó un 17 por ciento de incremento en la vulnerabilidad, en tanto Microsoft Azure y Dynamics 365 se mantuvieron estables y Windows reportó 587 vulnerabilidades en 2024, de las cuales 33 se consideraron críticas.
En Windows Server se presentaron 648 vulnerabilidades (43 de ellas críticas) Microsoft Office llegó a 62 vulnerabilidades en 2024, cifra que casi duplicó lo detectado en 2023.
“Aunque el número total de vulnerabilidades ha aumentado, la tendencia a largo plazo muestra que el ritmo de crecimiento parece estar estabilizándose. Esto, junto con la continua tendencia a la baja en vulnerabilidades críticas, sugiere que las iniciativas de seguridad de Microsoft y las mejoras en la arquitectura de seguridad de los sistemas operativos modernos están dando resultados”, indicó el informe.
No obstante, en el documento también se resaltó la complejidad de asegurar los ecosistemas vastos y diversos de hoy en día, donde las tecnologías en evolución, nuevas funcionalidades y las interdependencias continúan introduciendo riesgos.
En este contexto, se destacó que los sistemas sin parches siguen siendo un blanco fácil; la expansión del ecosistema tecnológico de Microsoft, incluyendo servicios en la nube e inteligencia artificial, continuará introduciendo nuevas superficies de ataque y surgirán nuevas vulnerabilidades en la medida que “los atacantes encuentren formas nuevas y creativas de eludir las defensas”.
Además, los parches por sí solos no son suficientes: pueden fallar o introducir riesgos de estabilidad; los actores de amenazas están cambiando de táctica, enfocándose cada vez más en identidades y privilegios en lugar de exploits tradicionales y por lo tanto se recomiendan estrategias de profundidad que combinan prevención, detección y respuesta.
C$T-GM
