Las vulnerabilidades de día cero son vulnerabilidades de protocolos, software y aplicaciones que aún no son conocidas por el público en general ni por los desarrolladores del producto en el que existe la vulnerabilidad. Dado que una vulnerabilidad de día cero es desconocida para el público o los desarrolladores, los parches no están disponibles. El exploit de día cero es una amenaza emergente de ciberseguridad en la que los hackers explotan vulnerabilidades in the wild antes de que sean conocidas por los creadores o el público. Antes de que los hackers de sombrero blanco se pongan manos a la obra para resolver el problema, los atacantes violan los datos y penetran en sistemas y redes con fines maliciosos.
Según la investigación de GPZ, la mitad de las 18 vulnerabilidades de día cero explotadas por hackers en la primer semestre de 2022 antes de que se pusiera a disposición una actualización de software podrían haberse evitado si los proveedores de software hubieran realizado pruebas más exhaustivas y creado parches más completos. Sorprendentemente, al menos cuatro de las vulnerabilidades de día cero de este año eran variaciones de 2021. Además, el número de exploits de día cero en 2021 creció más del 100% en comparación con el récord anterior establecido en 2019, lo que indica que casi el 40% del total de exploits de día cero se produjo solo en 2021. El Informe de Seguridad en Internet de WatchGuard para el cuarto trimestre de 2021 también reveló que el malware de día cero comprendió dos tercios de todas las amenazas durante ese período.
Pero, ¿qué es exactamente una vulnerabilidad de día cero? Eso es lo que aprenderás en esta guía. Pero para entender completamente la definición, primero debemos definir algunas otras cosas.
Puntos clave
- Las vulnerabilidades de día cero son fallos desconocidos y sin parches explotados por los atacantes antes de que los proveedores puedan solucionarlos.
- Los ataques siguen un ciclo de vida, desde el descubrimiento de la vulnerabilidad y el desarrollo del exploit hasta su distribución y ejecución.
- La detección requiere diversos métodos, como la exploración de vulnerabilidades, la supervisión del rendimiento y los informes de usuarios.
- Los objetivos de alto valor, como las organizaciones gubernamentales, financieras y de TI, son atacados con frecuencia, pero cualquier entidad que posea datos valiosos está en peligro.
- La prevención implica la aplicación oportuna de parches, un software de seguridad robusto, controles de acceso de los usuarios y la caza proactiva de amenazas.
¿Qué es un exploit de día cero?
Un exploit de día cero es una vulnerabilidad de seguridad que no se ha divulgado ni corregido públicamente. El término se refiere tanto al exploit en sí como al paquete de código que incluye el exploit y las herramientas relacionadas. También se le llama sinónimamente ataques de día cero o exploits de día cero. El término día cero indica la intensidad del problema y el hecho de que los desarrolladores disponen de cero días para solucionar el error antes de que se convierta en un problema urgente.
Los atacantes suelen utilizar exploits de día cero para desplegar malware en sistemas y redes que no han sido parcheados. Los defensores también pueden utilizarlos para realizar pruebas de penetración con el fin de detectar vulnerabilidades de la red. El malware es uno de esos exploits de día cero que se propagan para atacar a organismos gubernamentales, empresas de TI, instituciones financieras, etc. Los malwares y ransomwares que se propagan a través de correos electrónicos falsos pueden mitigarse utilizando protocolos de seguridad de correo electrónico como DMARC.
Es posible que escuche los términos "vulnerabilidades de día cero", "explotaciones de día cero" o "ataques de día cero" al conocer los exploits de día cero. Estos términos tienen una diferencia crucial:
- La forma que emplean los hackers para atacar el software se conoce como "zero-day exploit".
- El defecto en su sistema se conoce como "vulnerabilidad de día cero".
- Los "ataques de día cero" son lo que hacen los hackers cuando aprovechan una vulnerabilidad para infiltrarse en su sistema.
Cuando se habla de vulnerabilidades de día cero, la palabra "sin descubrir" es esencial, ya que para ser llamada "vulnerabilidad de día cero", un fallo debe ser desconocido por los diseñadores del sistema. Cuando se descubre un fallo de seguridad y se pone a disposición una solución, deja de ser una "vulnerabilidad de día cero".
Los atacantes pueden utilizar los exploits de día cero de varias maneras, entre ellas:
- Aprovechar los sistemas sin parches (es decir, sin aplicar las actualizaciones de seguridad) para instalar malware o tomar el control de los ordenadores de forma remota;
- Realizar campañas de phishing (es decir, enviar correos electrónicos intentando engañar a los destinatarios para que hagan clic en enlaces o archivos adjuntos) utilizando archivos adjuntos maliciosos o enlaces que conducen a exploits de alojamiento de sitios web.
- Para realizar ataques de denegación de servicio (es decir, inundar los servidores con peticiones para que las peticiones legítimas no puedan pasar).
Vida útil de un exploit de día cero
La vida útil habitual de un exploit de día cero se divide en 7 etapas. Veamos cuáles son.
Fase 1: Introducción de la vulnerabilidad
Al crear y probar software, el desarrollador ve una señal verde. Esto significa que el software tiene un código vulnerable sin saberlo.
Etapa 2: Explotación liberada
Un actor de amenazas descubre la vulnerabilidad antes de que el proveedor o desarrollador la conozca y tenga la oportunidad de solucionarla. El hacker escribe y despliega códigos explotados con fines maliciosos.
Etapa 3: Vulnerabilidad descubierta
En esta fase, los vendedores son conscientes de los fallos, pero el parche aún no se ha creado ni publicado.
Etapa 4: Vulnerabilidad revelada
El proveedor o los investigadores de seguridad reconocen públicamente la vulnerabilidad. Se informa a los usuarios de los riesgos potenciales asociados al software.
Fase 5: Firma antivirus liberada
Se publica una firma antivirus para que, si los dispositivos de los usuarios son atacados para lanzar un exploit de día cero, los proveedores de antivirus puedan identificar su firma y ofrecer protección. Pero el sistema puede ser vulnerable a tales riesgos si los malos actores tienen otras formas de explotar la vulnerabilidad.
Fase 6: Publicación del parche de seguridad
Los desarrolladores crean y difunden un parche de seguridad para solucionar la vulnerabilidad. El tiempo necesario para su creación depende de la complejidad de la vulnerabilidad y de su prioridad en el proceso de desarrollo.
Fase 7: Despliegue de parches de seguridad completado
En la última etapa, se completa con éxito la instalación del parche de seguridad. La instalación es necesaria ya que la publicación de un parche de seguridad no se comporta como una solución inmediata porque los usuarios tardan en implantarlo. Así, las empresas y particulares que lo utilizan reciben una notificación sobre la versión actualizada.
¡Evite las vulnerabilidades de día cero con PowerDMARC!
¿Qué características únicas de los exploits de día cero los hacen tan peligrosos?
Existen dos categorías de vulnerabilidades de día cero:
Sin descubrir: El proveedor del software aún no ha descubierto el fallo. Este tipo es extremadamente raro porque la mayoría de las grandes empresas tienen equipos dedicados que trabajan a tiempo completo para encontrar y corregir los fallos de su software antes de que los hackers o usuarios malintencionados los descubran.
No se ha detectado: El fallo ha sido encontrado y corregido por el desarrollador del software - pero nadie lo ha reportado todavía porque no han notado nada malo en su sistema. Esta vulnerabilidad puede ser muy valiosa si quieres lanzar un ataque contra el sistema de otra persona y no quieres que sepan lo que está pasando hasta después de haberlo hecho.
Los exploits de día cero son especialmente arriesgados porque tienen más posibilidades de éxito que los ataques a fallos conocidos. Cuando una vulnerabilidad se hace pública en el día cero, las empresas aún tienen que parchearla, lo que hace concebible un ataque. Los programas son propensos a las vulnerabilidades, y no es práctico para los desarrolladores detectarlo todo. Por eso crean y publican parches en cuanto conocen los fallos. Sin embargo, si los hackers los descubren antes que los desarrolladores, es más probable que los aprovechen para penetrar en los sistemas. Además, los hackers suelen hacer ataques lo suficientemente específicos como para lanzar con éxito un exploit de día cero. Estas adaptaciones dificultan contrarrestar sus movimientos maliciosos. A menudo, el bando de la víctima acaba conjurando soluciones sobre la marcha, ya que de otro modo es menos probable que se encuentre con este tipo de situaciones. Dado que la vulnerabilidad es desconocida, a menudo no se dispone de defensa o protección; la lucha contra el problema y sus repercusiones comienza cuando se conoce su existencia.
El hecho de que ciertas organizaciones sofisticadas de ciberdelincuentes desplieguen exploits de día cero de forma estratégica las hace mucho más arriesgadas. Estas empresas reservan los exploits de día cero para objetivos de gran valor. Los piratas informáticos pueden utilizar vulnerabilidades de día cero para explotar sistemas sin tener que desarrollar exploits para ellos, lo que les permite entrar en los sistemas y robar datos o causar daños sin apenas previo aviso. Esto puede dar lugar a brechas de seguridad, pérdida de datos, pérdidas financieras y daños a la reputación. Las organizaciones necesitan entornos informáticos seguros, pero si una organización no conoce una vulnerabilidad de día cero antes de que los hackers la exploten, no puede protegerse de tales ataques.
Los usuarios deben seguir actualizando sus sistemas incluso después de que se haya creado un parche. Si no lo hacen, hasta que el sistema esté parcheado, los atacantes pueden seguir utilizando un exploit de día cero. Además, los usuarios a menudo no siguen una buena higiene en Internet y pasan correos electrónicos, descargan archivos, hacen clic en enlaces o siguen instrucciones sin escudriñar la autenticidad del remitente, lo que puede conducir a una explotación exitosa.
Objetivos comunes de un exploit de día cero
Un exploit de día cero puede dirigirse a cualquier individuo u organización que pueda reportarle beneficios. Los objetivos comunes incluyen:
- Objetivos de alto valor, como organismos gubernamentales, instituciones financieras e instalaciones sanitarias.
- Empresas con ciberseguridad deficiente.
- Empresas que registran datos de los usuarios como nombres, datos de contacto, datos financieros, direcciones, números de la seguridad social, datos médicos, etc.
- Empresas que manejan datos confidenciales.
- Empresas que desarrollan software y hardware para sus clientes.
- Empresas que trabajan para el sector de defensa.
Esta orientación estratégica puede alargar la duración del ataque y disminuir la probabilidad de que la víctima encuentre una vulnerabilidad. Por ejemplo, el gigante de la computación en nube Rackspace hizo público que los piratas informáticos habían accedido a los datos personales de 27 clientes durante un ataque de ransomware que aprovechó un exploit de día cero.
Anatomía de un ataque de día cero
Los ataques de día cero son complejos y sofisticados, pero todos siguen un patrón similar. Cuando se descubre una vulnerabilidad, los atacantes pueden aprovecharse de ella antes de que nadie haya encontrado el fallo. Este proceso se denomina "explotación". Los pasos siguientes le ayudarán a entender cómo funciona:
Identificación de la vulnerabilidad
Este paso puede parecer obvio, pero es importante tener en cuenta que no todas las vulnerabilidades son iguales. Algunas vulnerabilidades son más fáciles de encontrar que otras; algunas requieren más habilidad para explotarlas, y algunas tienen un mayor impacto en los usuarios cuando son explotadas.
Desarrollo de la explotación
Una vez que un atacante ha identificado una vulnerabilidad, debe desarrollar un exploit, es decir, un programa que se aproveche de ella. En general, los exploits permiten el acceso no autorizado a sistemas o redes aprovechando agujeros de seguridad o fallos en el software o el hardware. Este acceso suele permitir a los atacantes robar información confidencial o instalar malware en los ordenadores de las víctimas.
Entrega del exploit
Para que el exploit funcione, el atacante debe introducirlo en el ordenador de la víctima. Este método de entrega puede realizarse a través de correos electrónicos de phishing con archivos adjuntos maliciosos o enlaces a sitios web que alojan descargas de malware (también conocidas como drive-by downloads).
Ejecución del exploit
El atacante utiliza una vulnerabilidad desconocida en el producto de software objetivo para lanzar el exploit. Para ejecutar con éxito este paso, el atacante debe conocer esta vulnerabilidad, que aún no se ha dado a conocer públicamente.
Establecimiento de la persistencia
Tras ejecutar un exploit, la atacante debe asegurarse de que puede acceder de nuevo al sistema de su víctima para ejecutar más ataques. Esto se consigue instalando software malicioso en el sistema de la víctima, que se ejecutará al iniciarse y no será detectado por el software de seguridad.
Exfiltración de datos
El atacante puede ahora utilizar credenciales comprometidas o malware instalado en el sistema de la víctima para extraer datos de su red (por ejemplo, contraseñas, números de tarjetas de crédito, etc.).
Limpiar y tapar
Para evitar ser detectados, los atacantes limpian su rastro una vez que han finalizado sus actividades maliciosas en el ordenador de la víctima borrando los archivos que crearon o eliminando las claves de registro que crearon durante su ataque. También pueden desactivar herramientas de vigilancia como programas antivirus o cortafuegos.
¿Cómo identificar y detectar una vulnerabilidad de día cero?
Identificar las vulnerabilidades de día cero antes de que sean explotadas es un reto debido a su naturaleza desconocida. Sin embargo, existen varios métodos y técnicas que pueden ayudar a detectar posibles actividades de día cero o fallos no descubiertos:
- Exploración de vulnerabilidades: Mientras que los escáneres tradicionales utilizan principalmente firmas para detectar vulnerabilidades conocidas, algunos escáneres avanzados emplean análisis heurísticos o detección de anomalías para identificar patrones sospechosos que podrían indicar un fallo desconocido. La exploración periódica ayuda a detectar vulnerabilidades conocidas que podrían combinarse con días cero.
- Ingeniería inversa: El análisis de binarios de software (archivos ejecutables) puede descubrir fallos ocultos. Este método requiere importantes conocimientos técnicos, pero puede revelar vulnerabilidades desconocidas para los vendedores.
- Supervisión del comportamiento del sistema y de la red: El comportamiento inesperado del sistema, el tráfico de red inusual (por ejemplo, la comunicación con servidores desconocidos), el aumento del consumo de recursos o los cambios inexplicables en el rendimiento del software pueden indicar un compromiso, potencialmente a través de un exploit de día cero. Observe una desviación en la velocidad de la red o una degradación del rendimiento del software.
- Análisis de los informes de los usuarios: Los usuarios del sistema suelen interactuar con el software con más frecuencia que los desarrolladores y pueden ser los primeros en detectar anomalías o comportamientos inesperados. Fomentar y analizar los informes de los usuarios puede conducir a un descubrimiento temprano.
- Supervisión del rendimiento del sitio web: En el caso de las aplicaciones web, controle problemas como el inicio de sesión, cambios visuales, redireccionamientos inesperados, desvíos de tráfico o advertencias del navegador ("Este sitio puede estar pirateado").
- Caza retroactiva: Consiste en buscar de forma proactiva registros históricos y datos del sistema en busca de indicadores de peligro (IoC) asociados a ataques de día cero descubiertos recientemente. Al comparar la actividad pasada con la nueva información sobre amenazas, las organizaciones pueden encontrar infracciones no detectadas anteriormente. Compruebe las notificaciones de seguridad de los proveedores y manténgase al día de las noticias sobre ciberseguridad.
Ejemplos de vulnerabilidades de día cero
Algunos ejemplos de vulnerabilidades de día cero son:
Heartbleed - Esta vulnerabilidad, descubierta en 2014, permitía a los atacantes extraer información de los servidores que utilizan las bibliotecas de cifrado OpenSSL. La vulnerabilidad se introdujo en 2011, pero no se descubrió hasta dos años más tarde, cuando los investigadores descubrieron que ciertas versiones de OpenSSL eran susceptibles a los latidos enviados por los atacantes. Los hackers podían entonces obtener las claves privadas de los servidores que utilizaban esta biblioteca de cifrado, lo que les permitía descifrar los datos que transmitían los usuarios.
Shellshock - Esta vulnerabilidad fue descubierta en 2014 y permitía a los atacantes obtener acceso a los sistemas que ejecutaban un sistema operativo vulnerable a los ataques a través del entorno de shell Bash. Shellshock afecta a todas las distribuciones de Linux y a Mac OS X 10.4 y versiones anteriores. Aunque se han publicado parches para estos sistemas operativos, algunos dispositivos aún no han sido parcheados contra este exploit.
Filtración de datos de Equifax - La filtración de datos de Equifax fue un importante ciberataque en 2017. El ataque fue perpetrado por un grupo desconocido de piratas informáticos que aprovecharon una vulnerabilidad en el marco de aplicaciones web Apache Struts para vulnerar el sitio web de Equifax y robar aproximadamente 145 millones de datos personales de clientes, incluidos números de la Seguridad Social y fechas de nacimiento.
El ransomware WannaCry - WannaCry es un virus ransomware dirigido a sistemas operativos Microsoft Windows; cifra los archivos de los usuarios y exige el pago de un rescate a través de Bitcoin para descifrarlos. Se propaga a través de redes utilizando EternalBlue. Un exploit para Windows (aprovechando una vulnerabilidad SMB) se filtró desde la NSA en abril de 2017. El gusano ha afectado a más de 300.000 ordenadores en todo el mundo desde su lanzamiento el 12 de mayo de 2017.
Ataques de malware a hospitales - Los ataques con programas maliciosos son cada vez más frecuentes en los últimos años, ya que los piratas informáticos atacan a las organizaciones sanitarias en beneficio propio o por motivos políticos. En uno de estos ataques, los piratas informáticos accedieron a los historiales de los pacientes del Hollywood Presbyterian Medical Center a través de correos electrónicos de phishing enviados desde la administración del hospital. Aunque a menudo se inician a través de phishing, los exploits de día cero subyacentes pueden facilitar un compromiso más profundo del sistema.
Cómo evitar los exploits de día cero
Aunque es imposible prevenir por completo los ataques de día cero debido a su naturaleza, varias buenas prácticas pueden reducir significativamente el riesgo y el impacto:
- Mantenga actualizados el software y los sistemas: Aplique los parches y actualizaciones con prontitud. Aunque esto no impide los ataques de día cero (ya que el parche aún no existe), cierra vulnerabilidades conocidas que los atacantes podrían encadenar con un exploit de día cero. Las versiones actualizadas también corrigen errores menores que podrían aprovecharse.
- Utilice software de seguridad integral: Emplee soluciones de seguridad multicapa, incluidos antivirus de nueva generación (NGAV), detección y respuesta de puntos finales (EDR), cortafuegos y sistemas de prevención de intrusiones (IPS). Estas herramientas suelen utilizar detección basada en el comportamiento y heurística que a veces puede identificar o bloquear la actividad de los exploits de día cero incluso sin una firma específica.
- Restringir el acceso y los privilegios de los usuarios: Aplique el principio del mínimo privilegio. Limitar los permisos de usuario garantiza que, incluso si una cuenta se ve comprometida mediante un exploit de día cero, el acceso del atacante y el daño potencial están restringidos. Utilice listas de permisos o listas de bloqueos para controlar la ejecución de aplicaciones.
- Segmentación de la red: Divida su red en segmentos más pequeños y aislados. Esto puede contener la propagación de malware introducido a través de un exploit de día cero, limitando el alcance del ataque.
- Cortafuegos de aplicaciones web (WAF): Para las aplicaciones orientadas a la Web, los WAF pueden filtrar, supervisar y bloquear el tráfico HTTP/S malicioso, mitigando potencialmente los exploits de día cero basados en la Web.
- Copias de seguridad periódicas: Mantenga copias de seguridad periódicas y comprobadas de los datos críticos. Esto no evitará un ataque, pero es crucial para la recuperación, especialmente de ransomware desplegado a través de exploits de día cero.
- Formación sobre seguridad: Eduque a los usuarios sobre el phishing, la ingeniería social y los hábitos de navegación segura para reducir las posibilidades de que se envíen exploits.
Palabras finales
Una vulnerabilidad de día cero es un fallo de software que ha sido identificado pero que aún no ha sido revelado al proveedor de software. Está a "cero días" de ser conocida, al menos por el público. En otras palabras, se trata de una vulnerabilidad en la naturaleza de la que nadie sabe nada, excepto quien la descubrió e informó primero o, peor aún, los atacantes que la explotan. El mundo se está convirtiendo en un lugar cada vez más peligroso, y estas amenazas deberían animar a organizaciones y particulares a adoptar estrategias de seguridad sólidas y de múltiples capas. Aunque las vulnerabilidades de día cero plantean un reto importante, comprender su ciclo de vida, su impacto potencial y las técnicas de mitigación es crucial para mejorar la postura de ciberseguridad.
- Vendor Email Compromise (VEC): Cómo detener los ataques de proveedores de confianza - 3 de julio de 2025
- Los correos electrónicos de marketing no llegan a las bandejas de entrada de los clientes - 2 de julio de 2025
- Caso práctico de DMARC MSP: Cómo S-IT automatizó la gestión de la autenticación del correo electrónico con PowerDMARC - 29 de junio de 2025