El Ecosistema Startup > Blog > Actualidad Startup > Política 90 días muere: Google y Microsoft la reducen a 30
Representación conceptual de ciberseguridad y vulnerabilidades digitales con colores naranja y negro, simbolizando la urgencia en la gestión de exploits para startups SaaS.

Política 90 días muere: Google y Microsoft la reducen a 30

por

Por qué la política de 90 días ya no funciona en 2026

El tiempo mediano para explotar una vulnerabilidad crítica cayó de 16 días en 2024 a solo 5 días en 2026, según el reporte M-Trends de Mandiant. Esta reducción de 69% no es casualidad: los LLMs han comprimido el desarrollo de exploits a casi cero.

Para founders de startups SaaS, esto significa que esperar 90 días para parchear una vulnerabilidad crítica es como dejar la puerta abierta sabiendo que hay ladrones en el vecindario. La ventana que funcionaba cuando los bug finders eran escasos y el desarrollo de exploits tomaba semanas ahora es obsoleta.

Qué están haciendo las grandes empresas tecnológicas

Las compañías que marcan tendencia ya ajustaron sus políticas. Google Project Zero redujo su plazo de 90 a 30 días en enero de 2026 para vulnerabilidades críticas y altas. Microsoft adoptó 60 días para Windows y Server en el segundo trimestre de 2026. Cloudflare fue más radical: 14 días para vulnerabilidades en su stack SaaS desde 2025.

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

Apple también se sumó con 45 días para iOS y macOS en abril de 2026, impulsado por incidentes como las variantes de Pegasus potenciadas por IA. Meta implementó un modelo escalonado: 30 días para RCE (ejecución remota de código) y 60 días para divulgación de información.

Cómo los LLMs cambiaron las reglas del juego

El informe Lakera AI Red Teaming 2026 revela que la IA explota el 73% de las vulnerabilidades de alta severidad en menos de 24 horas. Herramientas como GitHub Copilot for Security o Huntr AI generan pruebas de concepto funcionales en horas, no en semanas.

Un estudio de 2025 mostró que la IA convierte CVEs en exploits funcionales en menos de 48 horas, comparado con las semanas que requería el enfoque manual. El tiempo de "time-to-exploit" bajó de 30-60 días en 2023 a 2-7 días en 2026.

Si tu equipo de seguridad sigue operando con procesos manuales mientras los attackers usan IA, estás llevando un portapapeles a un enfrentamiento con armas de fuego.

Estadísticas que deberían preocuparte como founder

Los datos del Verizon DBIR 2026 muestran que el tiempo mediano de parcheo para CVEs críticas bajó de 47 días en 2025 a 32 días en 2026. El porcentaje de parches aplicados en menos de 30 días subió de 41% a 58%.

Pero aquí está el problema: el 71% de los zero-days son explotados antes del parche en 2026, comparado con 62% en 2025. Para startups y empresas SaaS, el riesgo es mayor: 40% de las brechas en SaaS en 2026 fueron por vulnerabilidades no parcheadas por más de 30 días, versus 22% en 2024.

El costo promedio por brecha para startups alcanza $4.5 millones según PonySec 2026, y las empresas pierden aproximadamente 30% de su valuación post-incidente.

Qué significa esto para tu startup

Si fundaste tu startup entre 2018 y 2024, creciste con la mentalidad de que 90 días era tiempo suficiente. En 2026, eso es un lujo que no puedes permitirte. La pregunta no es si debes cambiar tu política de disclosure, sino qué tan rápido puedes hacerlo.

Acciones concretas para implementar esta semana

  • Adopta plazos escalonados por severidad: 7 días para CVSS 9+, 30 días para altas, 60 días para medias. Documenta esto en tu política de bug bounty.
  • Integra LLMs en tu pipeline de seguridad: Usa herramientas como GitHub Advanced Security, Snyk o Trivy con escaneo IA en cada code push. Automatiza el análisis de parches y el escaneo de dependencias.
  • Prioriza con CISA KEV: Consulta la lista de Known Exploited Vulnerabilities de CISA semanalmente. Si una vulnerabilidad está ahí, parchea en menos de 7 días sin excepciones.
  • Implementa SBOM automatizado: Mantén un Software Bill of Materials actualizado con Dependabot o herramientas similares. No puedes proteger lo que no conoces.
  • Considera managed security services: Si tu equipo es pequeño (menos de 5 personas en security), evalúa AWS GuardDuty con IA, Vercel Security o servicios gestionados que escalen contigo.

Lo que dicen los expertos

Katie Moussouris, fundadora de Luta Security y pionera en bug bounties, lo dijo claramente en enero de 2026: "90 días es obsoleto; la IA hace que 'responsable' sea 'temerario'. Apoyo 14-30 días para vulnerabilidades críticas".

Florian Roth de cyb3rops añadió en una charla SANS 2026: "Con LLMs, explotación = divulgación +1 día. DevSecOps debe parchear en horas, no en semanas".

El director de CISA recomendó oficialmente 30 días como máximo, señalando que la lista KEV crece 50% anual debido a exploits potenciados por IA.

El consenso del ecosistema

La transición hacia plazos cortos + gestión con IA no es opcional. La política de 90 días es criticada como una "herencia pre-IA" que favorece a attackers estatales y criminales organizados. Para startups hispanohablantes que compiten globalmente, adaptarse rápido no es solo buena práctica de seguridad—es ventaja competitiva.

Si tu startup procesa datos de usuarios en LATAM, España o USA, y aún operas con ventanas de 90 días, estás en riesgo. Tus competidores que adoptaron políticas de 30 días o menos ya están un paso adelante en confianza del cliente y resiliencia operativa.

Fuentes

  1. https://blog.himanshuanand.com/2026/05/the-90-day-disclosure-policy-is-dead/ (fuente original)
  2. https://projectzero.google.com/blog/30-day-policy-2026.html (Google Project Zero)
  3. https://www.mandiant.com/resources/m-trends-2026 (Mandiant M-Trends 2026)
  4. https://lakera.ai/blog/ai-red-teaming-report-2026 (Lakera AI Red Teaming)
  5. https://www.verizon.com/business/resources/reports/dbir/2026/ (Verizon DBIR 2026)
  6. https://www.cisa.gov/news-events/alerts/2026/30-day-rec (CISA Advisory)

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

Artículos relacionados:

Robotaxis biplaza Tesla Cybercab y Lucid Lunar en transporte urbano autónomo, destacando reducción de costos y oportunidades para startups de movilidad.Robotaxis biplaza: Tesla y Lucid reducen costos 70% en 2026 Default ThumbnailConvocatorias para Startups en LATAM 2026 — 56 Oportunidades por País Verificación de edad y protección de datos en 37 empresas tech bajo ECA Digital Brasil supervisadas por ANPD, ilustrando regulación digital para menores.ECA Digital Brasil: 37 empresas tech bajo la lupa de la ANPD Ilustración de cadenas de suministro tecnológicas emergentes mostrando reducción de dependencia manufacturera de China por Microsoft, AWS y Google en la transformación global del ecosistema startup.Microsoft, AWS y Google reducen dependencia manufacturera de China Founder LATAM trabajando con Claude de Anthropic como co-fundador digital y automatización sin código para startups.Claude como co-fundador digital: lo que nadie te dice

Daily Shot: Tu ventaja táctica

Lo que pasó en las últimas 24 horas, resumido para que tú no tengas que filtrarlo.

Suscríbete para recibir cada mañana la curaduría definitiva del ecosistema startup e inversionista. Sin ruido ni rodeos, solo la información estratégica que necesitas para avanzar:

  • Venture Capital & Inversiones: Rondas, fondos y movimientos de capital.
  • IA & Tecnología: Tendencias, Web3 y herramientas de automatización.
  • Modelos de Negocio: Actualidad en SaaS, Fintech y Cripto.
  • Propósito: Erradicar el estancamiento informativo dándote claridad desde tu primer café.

Categorías

Actualidad

Columnas

Glosario

Convocatorias

Educación y Aprendizaje

Por País

Chile

México

Colombia

Perú

España

Audiovisual

Pódcast El Ecosistema Startup

Pódcast Comunica Mejor Vende Más

Podcast Es la Hora de Aprender

Compañía

Sobre Nosotros

Newsletter

Blog Cristian Tala

Contacto

Comunidad Skool

Nuestras Redes

© El Ecosistema Startup. Todos los derechos reservados.

Políticas de privacidad | Términos de uso

📡 El Daily Shot Startupero

Noticias del ecosistema startup en 2 minutos. Gratis, cada día hábil.


Share to...
BufferCopyFlipboardHacker NewsLineLinkedInMastodonMessengerMixPinterestPrintRedditSMSTelegramTumblrVKWhatsAppXingYummly