India eleva el estándar: parchar vulnerabilidades críticas en 12 horas ante ataques asistidos por IA
La IA está automatizando la búsqueda de fallas en sistemas expuestos a internet. El tiempo entre que se publica una vulnerabilidad y el primer ataque se está reduciendo de días a horas. Una empresa sin proceso definido para aplicar parches críticos rápidamente opera con una ventana de riesgo que ya no es aceptable — y que los seguros cibernéticos están empezando a medir.
Contexto
El CERT-In de India emitió directrices que exigen parchear vulnerabilidades críticas en sistemas expuestos a internet en un máximo de 12 horas cuando sea posible. La justificación: los grupos de ataque están usando IA y modelos de lenguaje para automatizar la identificación y explotación de vulnerabilidades publicadas. Lo que antes tomaba días de trabajo manual ahora se hace en minutos.
Impacto potencial
Un servidor sin parchear durante 48 horas después de publicada una falla crítica puede ser suficiente ventana para un ataque automatizado.
El costo de responder a una brecha — análisis forense, contención, notificación — suele superar entre 10 y 50 veces el costo de haber aplicado el parche.
El riesgo regulatorio también es concreto: las pólizas de seguro cibernético están empezando a excluir cobertura si la empresa no mantiene un programa de actualización mínimo. Si hay datos de clientes comprometidos en una brecha evitable, puede activarse la obligación de notificación.
Recomendaciones
- Solicitar a TI un inventario completo de los sistemas expuestos a internet propios — incluyendo los que administran terceros a nombre de la empresa.
- ¿Existe hoy un proceso documentado para aplicar parches críticos en menos de 48 horas? ¿Quién autoriza la ventana de mantenimiento de emergencia?
- Revisar si el contrato con el proveedor de hosting o servicios administrados incluye compromisos de tiempo de respuesta para actualizaciones de seguridad.