Cómo funcionan los exploits de día cero y por qué cuestan millones
Los exploits de día cero se dirigen a fallos de software desconocidos para los proveedores, sin dejar tiempo para parchear. Este artículo explica cómo se descubren, se convierten en armas, se comercializan en mercados turbios y, en última instancia, cómo se defienden contra ellos.
El fallo que nadie conoce
Todo software se distribuye con errores. La mayoría son inofensivos. Pero ocasionalmente existe un fallo que permite a un atacante eludir la seguridad, robar datos o tomar el control de un sistema completo, y nadie en el bando defensor sabe que está ahí. Ese fallo se denomina vulnerabilidad de día cero, y el código escrito para explotarlo es un exploit de día cero. El nombre se refiere al hecho de que el proveedor del software ha tenido cero días para solucionar el problema porque aún no sabe que existe.
Los días cero se sitúan en la cima de la jerarquía de amenazas de ciberseguridad. A diferencia de las vulnerabilidades conocidas, que pueden parchearse, un día cero ofrece a los atacantes una ventana de oportunidad sin defensa inmediata. Según el Grupo de Inteligencia de Amenazas de Google, 90 vulnerabilidades de día cero fueron explotadas en la naturaleza solo en 2025, frente a las 78 del año anterior.
Cómo nace un día cero
El ciclo de vida comienza durante el desarrollo del software, cuando un error de codificación, un fallo de diseño o una omisión crea una debilidad explotable. La vulnerabilidad puede permanecer latente durante meses o años hasta que alguien la descubre. Ese alguien puede ser un investigador de seguridad, una herramienta de escaneo automatizada o un hacker malicioso.
Lo que sucede a continuación depende de quién lo encuentre primero. El ciclo de vida se desarrolla en seis etapas:
- Introducción: un fallo se codifica inadvertidamente en el software.
- Descubrimiento: un investigador o atacante identifica la debilidad.
- Explotación: si los atacantes lo encuentran primero, construyen y despliegan un exploit antes de que nadie más lo sepa.
- Divulgación: el fallo se informa al proveedor (divulgación responsable) o se expone públicamente.
- Lanzamiento del parche: el proveedor desarrolla y publica una actualización de seguridad.
- Adopción del parche: las organizaciones prueban e implementan la solución en sus sistemas.
La brecha entre la introducción y el parcheo generalizado, conocida como la ventana de vulnerabilidad, promedia aproximadamente 312 días, según investigaciones de seguridad de Oligo. Incluso después de que se lanza un parche, las organizaciones suelen tardar entre 60 y 150 días en implementarlo, lo que deja una larga cola de exposición.
Quién compra y vende días cero
Existe un mercado próspero para los exploits de día cero, que abarca intermediarios legítimos, gobiernos y foros clandestinos criminales. Los precios reflejan el valor del objetivo y la fiabilidad del exploit. Un exploit de cero clics capaz de comprometer un iPhone, que no requiere ninguna interacción del usuario, puede alcanzar hasta 7 millones de dólares, según los precios publicados por el intermediario Crowdfense. Los equivalentes de Android alcanzan hasta 5 millones de dólares. Incluso un exploit de navegador o correo electrónico puede valer 500.000 dólares.
Entre los compradores se incluyen agencias de inteligencia que buscan herramientas de vigilancia, proveedores comerciales de spyware que construyen productos como Pegasus y sindicatos de ciberdelincuentes. La revisión de Google de 2025 encontró que los proveedores comerciales de vigilancia superaron a los grupos tradicionales patrocinados por el estado como los usuarios más prolíficos de días cero, mientras que los grupos vinculados a China siguieron siendo los más activos entre los actores estatales.
Por qué fallan las defensas tradicionales
Los antivirus convencionales y los sistemas de detección de intrusiones se basan en firmas: patrones conocidos de código malicioso. Un día cero, por definición, aún no tiene firma. Esto lo hace invisible para los escáneres tradicionales. Los atacantes valoran los días cero precisamente porque eluden las defensas en las que más confían las organizaciones.
El cambio hacia objetivos empresariales agrava el problema. En 2025, el 48 por ciento de los días cero explotados se dirigieron a tecnologías empresariales (dispositivos de seguridad, VPN y equipos de red), que a menudo carecen de las herramientas de detección de endpoints instaladas en ordenadores portátiles y de escritorio.
Cómo se defienden las organizaciones
Dado que los días cero no se pueden parchear antes de que se conozcan, los defensores confían en estrategias en capas:
- Programas de recompensas por errores (bug bounty programs): empresas como Google, Apple y Microsoft pagan a investigadores de seguridad para que encuentren e informen de los fallos antes de que lo hagan los delincuentes. El Proyecto Zero de Google popularizó el plazo de divulgación de 90 días, dando a los proveedores una ventana fija para parchear antes de que una vulnerabilidad se haga pública.
- Detección de comportamiento: en lugar de buscar coincidencias de firmas, las herramientas de seguridad avanzadas supervisan el comportamiento inusual (tráfico de red inesperado, ejecución anormal de procesos o escalada de privilegios) que puede indicar un exploit desconocido.
- Arquitectura de confianza cero (zero-trust): al verificar a cada usuario y dispositivo en cada punto de acceso, las organizaciones limitan el daño que un atacante puede hacer incluso después de violar un sistema.
- Parcheo rápido: acortar la brecha entre el lanzamiento del parche y la adopción del parche sigue siendo una de las defensas más eficaces, y más descuidadas.
Los exploits de día cero nunca desaparecerán por completo. Mientras los humanos escriban código, existirán fallos. La carrera entre los atacantes que los descubren y los defensores que los parchean define la primera línea de la ciberseguridad moderna: una contienda que se mide no en meses, sino en horas.
