BeyondTrust reporta récord en vulnerabilidades de Microsoft en 2024
mayo 14, 2025
BeyondTrust publicó su Informe Anual de Vulnerabilidades de Microsoft, en el que reportó un número récord de vulnerabilidades en 2024. A pesar de los avances en seguridad, los atacantes explotaron debilidades relacionadas con la escalada de privilegios y la ejecución remota de código. El informe 2025 presentó un análisis de los datos extraídos de los boletines de seguridad de Microsoft, conocidos como Patch Tuesday, para identificar las tendencias en vulnerabilidades y la evolución del panorama de amenazas.
El informe detalló un total de 1,360 vulnerabilidades reportadas en 2024, lo que representó un incremento del 11 % respecto al récord anterior de 1,292 vulnerabilidades en 2022. Dentro de esta cifra, las vulnerabilidades de Elevación de Privilegios (EoP) destacaron con un 40 % del total, alcanzando las 554 vulnerabilidades. BeyondTrust resaltó que estas debilidades permiten a los atacantes obtener mayores niveles de acceso dentro de los sistemas afectados.
Además, el documento señaló un aumento significativo en las vulnerabilidades por Omisión de Funciones de Seguridad, que pasaron de 56 en 2023 a 90 en 2024, reflejando un incremento del 60 %. Estas vulnerabilidades comprometen la capacidad de los sistemas para defenderse de ataques, aumentando la presión para fortalecer la codificación segura y el modelado de amenazas desde la etapa de diseño.
En cuanto a las plataformas específicas, el navegador Microsoft Edge experimentó un aumento del 17 % en vulnerabilidades, alcanzando un total de 292 en 2024, de las cuales nueve fueron críticas. Este crecimiento contrastó con los datos de 2022, cuando no se reportaron vulnerabilidades críticas para este navegador. Sin embargo, las vulnerabilidades en Microsoft Azure y Dynamics 365 se mantuvieron estables, sin cambios significativos en el número de incidentes.
El análisis también destacó la situación en Windows, donde se identificaron 587 vulnerabilidades durante 2024, de las cuales 33 fueron catalogadas como críticas. Por su parte, Windows Server reportó 684 vulnerabilidades en 2023, de las cuales 43 fueron críticas, lo que muestra un panorama constante en cuanto a los riesgos identificados en esta plataforma.
Microsoft Office también mostró un incremento notable en su número de vulnerabilidades, casi duplicando los incidentes respecto a 2023 al alcanzar las 62 vulnerabilidades en 2024. BeyondTrust subrayó que este aumento refleja la necesidad de un enfoque más riguroso en la protección de aplicaciones de oficina, dado su uso extendido en entornos corporativos.
A pesar del aumento en el número total de vulnerabilidades, el informe señaló que el ritmo de crecimiento ha comenzado a estabilizarse. Esta tendencia, junto con la reducción en el número de vulnerabilidades críticas, sugiere que las iniciativas de seguridad de Microsoft y las mejoras en la arquitectura de seguridad de los sistemas operativos han tenido un impacto positivo.
BeyondTrust advirtió que los sistemas sin parches continúan siendo un objetivo fácil para los atacantes, lo que facilita su explotación. La expansión del ecosistema tecnológico de Microsoft, que incluye servicios en la nube e inteligencia artificial, representa una nueva superficie de ataque que podría generar vulnerabilidades emergentes en el corto plazo.
El informe también destacó un cambio en las tácticas de los actores de amenazas, quienes ahora se enfocan más en identidades y privilegios en lugar de explotaciones tradicionales. Según BeyondTrust, este cambio subraya la importancia de proteger los Paths to Privilege, evitando accesos no autorizados que comprometan los sistemas críticos de las organizaciones.
Finalmente, BeyondTrust resaltó que el principio de mínimo privilegio sigue siendo una de las estrategias más efectivas para mitigar los riesgos. Las organizaciones deben enfocarse en limitar los accesos y fortalecer sus políticas de seguridad para reducir la superficie de ataque en sus entornos digitales.
