Las vulnerabilidades zero-day representan la amenaza más temida en ciberseguridad. Son fallos de seguridad desconocidos para el fabricante del software que son explotados activamente antes de que exista un parche. En el primer semestre de 2025, VulnCheck identificó 432 CVEs con explotación activa, y el 32,1% fueron explotados el mismo día o antes de su divulgación pública. La ventana entre descubrimiento y weaponización se ha colapsado a cuestión de horas.
Este artículo analiza el ecosistema de las vulnerabilidades zero-day, quién las descubre, cómo se explotan y qué pueden hacer las organizaciones para protegerse.
Anatomía de una Vulnerabilidad Zero-Day
Una vulnerabilidad zero-day recibe su nombre porque el fabricante tiene cero días para corregirla antes de que sea explotada. El ciclo de vida típico comienza con el descubrimiento, cuando un investigador, atacante o agencia de inteligencia identifica un fallo en el software. Sigue la explotación, donde se desarrolla un exploit funcional que aprovecha la vulnerabilidad. Luego viene la divulgación, cuando la vulnerabilidad se hace pública, ya sea por el descubridor, por detección de explotación activa o por análisis de malware. El fabricante entonces desarrolla un parche durante la fase de corrección. Finalmente, los usuarios aplican el parche en la fase de mitigación, aunque este proceso puede tardar semanas o meses.
El problema es que el tiempo entre las fases de explotación y mitigación se ha ampliado dramáticamente. Los atacantes cuentan con semanas o meses de ventaja mientras las organizaciones luchan por aplicar parches en infraestructuras cada vez más complejas.
El Mercado de Zero-Days
Las vulnerabilidades zero-day tienen un valor económico significativo, y existe un mercado complejo con múltiples actores.
Mercado Legítimo
Los programas de bug bounty y las empresas de investigación de vulnerabilidades como ZDI (Zero Day Initiative) de Trend Micro compran vulnerabilidades para reportarlas responsablemente a los fabricantes. Las recompensas pueden alcanzar cientos de miles de dólares para vulnerabilidades críticas en software ampliamente utilizado.
Mercado Gris
Empresas como los antiguos Zerodium o los actuales brokers de exploits compran zero-days y los venden a agencias gubernamentales y fuerzas del orden. Los precios pueden superar los 2,5 millones de dólares para un exploit de ejecución remota de código en iOS sin interacción del usuario.
Mercado Negro
Los grupos criminales y actores estatales compran y venden exploits en foros clandestinos y canales de comunicación cifrados. Este mercado es opaco, pero se estima que mueve cientos de millones de dólares anuales.
Los Zero-Days Más Impactantes de 2025
El año 2025 fue especialmente prolífico en zero-days críticos:
- CVE-2025-0282 (Ivanti Connect Secure): Un desbordamiento de buffer basado en pila que permitía ejecución remota de código sin autenticación en gateways VPN. Fue explotado activamente por grupos APT antes de su divulgación, comprometiendo redes gubernamentales y corporativas.
- CVE-2025-24813 (Apache Tomcat): Una vulnerabilidad de deserialización que permitía ejecución remota de código. Dado el uso masivo de Tomcat en aplicaciones empresariales, el impacto potencial fue enorme.
- CVE-2025-31324 (SAP NetWeaver): Con puntuación CVSS de 10.0, esta vulnerabilidad permitía subir archivos maliciosos sin autenticación a sistemas SAP, afectando potencialmente a miles de organizaciones que dependen de SAP para sus procesos críticos.
- CVE-2025-29824 (Windows CLFS): Una vulnerabilidad de escalada de privilegios en el driver del Common Log File System de Windows que fue explotada por grupos de ransomware para obtener privilegios de SYSTEM en sistemas Windows.
Tendencias en la Explotación de Zero-Days
Varias tendencias definen el panorama actual de zero-days:
- Dispositivos perimetrales como objetivo principal: VPNs, firewalls y gateways de correo se han convertido en los objetivos favoritos porque proporcionan acceso directo a redes internas y frecuentemente carecen de capacidades EDR.
- IA para descubrimiento de vulnerabilidades: Los atacantes utilizan IA para analizar código, identificar patrones vulnerables y generar exploits automáticamente. Google Project Zero demostró en 2024 que la IA puede descubrir vulnerabilidades reales en software de producción.
- Explotación before disclosure: El porcentaje de vulnerabilidades explotadas antes o el mismo día de su divulgación pública ha aumentado del 23,6% al 28,96%, indicando que los atacantes son más rápidos que nunca.
- Cadenas de exploits: Los atacantes combinan múltiples vulnerabilidades de menor gravedad para lograr un impacto crítico, evadiendo las defensas que se centran en vulnerabilidades individuales.
Estrategias de Protección
Aunque por definición no se puede parchear un zero-day antes de que se conozca, existen estrategias efectivas para minimizar el riesgo y el impacto:
Reducción de la Superficie de Ataque
Minimizar los servicios expuestos a internet reduce la probabilidad de ser objetivo de un zero-day. Cada servicio público es un punto de entrada potencial. La microsegmentación limita el daño si un zero-day es explotado exitosamente, conteniendo al atacante en un segmento aislado.
Detección Basada en Comportamiento
Las soluciones EDR y XDR modernas no dependen únicamente de firmas de malware conocido. Analizan el comportamiento de procesos y usuarios para detectar actividad anómala que podría indicar la explotación de una vulnerabilidad desconocida. Comportamientos como la creación de shells inversas, la inyección en procesos legítimos o la descarga de herramientas sospechosas se detectan independientemente de la vulnerabilidad utilizada.
Virtual Patching
Los Web Application Firewalls (WAF) e Intrusion Prevention Systems (IPS) pueden implementar reglas de protección para vulnerabilidades conocidas antes de que se aplique el parche oficial. Estas reglas, conocidas como virtual patches, proporcionan una capa de protección temporal mientras el parche se prueba y despliega.
Gestión de Vulnerabilidades Proactiva
Un programa de gestión de vulnerabilidades maduro incluye escaneo continuo y priorización basada en riesgo real. Inventario actualizado de todos los activos y su software. Procesos de parcheo ágiles con SLAs definidos. Monitorización de fuentes de inteligencia de amenazas para alertas tempranas sobre zero-days activos.
El Papel de la Inteligencia de Amenazas
Las organizaciones que consumen inteligencia de amenazas de calidad pueden responder más rápidamente a zero-days. Las fuentes incluyen feeds comerciales de empresas como Mandiant, Recorded Future y CrowdStrike, fuentes comunitarias como MISP y AlienVault OTX, alertas de fabricantes y CERTs nacionales, y análisis de malware y campañas activas compartidos por la comunidad de investigación.
Conclusión
Las vulnerabilidades zero-day son inevitables. Lo que no es inevitable es su impacto. Las organizaciones que combinan una superficie de ataque mínima, detección avanzada, segmentación robusta y capacidad de respuesta rápida pueden sobrevivir incluso a los zero-days más críticos. La clave no está en prevenir lo impredecible, sino en ser resiliente cuando lo impredecible ocurra.
Sobre el Autor
Miguel Ángel Herrera – Analista de vulnerabilidades y arquitecto de seguridad. Certificado GIAC y OSCP con especialización en gestión de vulnerabilidades y respuesta a incidentes.
Última actualización: 2026 | Contenido verificado por expertos en ciberseguridad
Los zero-days son una realidad con la que tenemos que convivir. La clave está en reducir la superficie de ataque y tener planes de respuestá sólidos.
Analizando muestras de zero-days recientes, la tendencia es usar técnicas living-off-the-land. Los antivirus tradicionales ya no son suficientes.