Mais alarmante ainda é o facto de 9% destas vulnerabilidades permanecerem sem resolução a longo prazo, o que se traduz em cerca de 47 milhões de instâncias expostas sem uma via clara de correção nos atuais modelos operacionais.

O volume de ameaças cresceu de forma exponencial, multiplicando-se quase oito vezes nos últimos quatro anos. O número total de vulnerabilidades associadas ao KEV disparou de 68,7 milhões para 527,3 milhões de instâncias. O relatório descreve este fenómeno como "uma passadeira que não para de acelerar", onde as equipas de segurança trabalham mais arduamente do que nunca, mas o volume de exposição cresce a um ritmo impossível de acompanhar por processos que dependem de validação humana e janelas de manutenção restritas.

Curiosamente, a deterioração destes resultados não está ligada a uma perda de eficiência das equipas tecnológicas. O tempo médio entre a deteção e a correção de uma vulnerabilidade manteve-se estável nos 9 dias. O problema é puramente estrutural. Mesmo as organizações que adotam estratégias proativas debatem-se com o volume: em 2025 foram corrigidas proactivamente 63,7 milhões de falhas antes de entrarem no KEV (um aumento de 30%), mas a taxa de eficácia global caiu de 16,6% para 12,1% devido a um aumento de 78% na carga total de trabalho.

Face a este cenário de rutura da capacidade humana, Sergio Pedroche, Country Manager da Qualys Iberia, defende a necessidade urgente de uma mudança arquitetónica profunda nas empresas. A solução proposta passa pela adoção de modelos de remediação autónoma e automatizada, materializados na criação de um Risk Operations Center (ROC). Este modelo é concebido para encaminhar automaticamente as exposições validadas para os respetivos processos de correção, eliminando o estrangulamento provocado pela intervenção manual constante.