¿Qué son los exploits de día cero y cómo funcionan?
Los exploits de día cero se dirigen a fallos de software desconocidos para los proveedores, lo que da a los defensores cero días para responder. Este artículo explica cómo funcionan, quién los compra y por qué siguen siendo la amenaza más peligrosa para la ciberseguridad.
El fallo que nadie conoce
Cada pieza de software contiene errores. La mayoría son inofensivos. Pero, ocasionalmente, un fallo otorga a un atacante la capacidad de tomar el control de un dispositivo, robar datos o instalar herramientas de vigilancia, y el fabricante del software no tiene idea de que existe. Ese fallo se llama vulnerabilidad de día cero, y el código escrito para explotarlo es un exploit de día cero. El nombre refleja una dura realidad: una vez que un atacante golpea, el proveedor ha tenido "cero días" para preparar una solución.
Los días cero se sitúan en la cima de la jerarquía de amenazas de ciberseguridad. Evitan el software antivirus, eluden los firewalls y hacen que incluso los sistemas bien parcheados sean vulnerables. En 2025, el Grupo de Inteligencia de Amenazas de Google rastreó 90 vulnerabilidades de día cero explotadas en la naturaleza, frente a las 78 del año anterior, y casi la mitad se dirigía a sistemas empresariales, un máximo histórico.
Cómo se desarrolla un ataque de día cero
Un ataque de día cero normalmente sigue una secuencia que los investigadores de seguridad llaman la cadena de eliminación cibernética. Primero, los atacantes descubren un fallo desconocido a través de la ingeniería inversa, el fuzzing (pruebas automatizadas de entrada) o simplemente examinando el código fuente. A continuación, construyen un exploit armado, a menudo una pequeña pieza de código que desencadena la vulnerabilidad para obtener acceso no autorizado.
La entrega se realiza a través de canales familiares: un correo electrónico de phishing, un sitio web comprometido o un documento malicioso. Una vez que el exploit se dispara, el atacante gana un punto de apoyo: instala malware, escala privilegios o abre una puerta trasera para un acceso persistente. Debido a que no existe un parche, las defensas tradicionales basadas en firmas son ciegas al ataque.
Las campañas modernas frecuentemente encadenan múltiples vulnerabilidades. El kit de exploits DarkSword, cuyo código se filtró públicamente en marzo de 2026, combinó seis fallos de iOS, tres de ellos de día cero, para lograr la toma de control total del dispositivo, extrayendo contactos, mensajes y datos del llavero de los iPhones.
Un mercado multimillonario
Los exploits de día cero son extraordinariamente valiosos. Según TechCrunch, una cadena de exploits de iPhone totalmente armada puede alcanzar un precio de 5 a 7 millones de dólares en el mercado abierto, mientras que los exploits de Android alcanzan hasta 5 millones de dólares. Los precios se han multiplicado en los últimos años a medida que las empresas endurecen sus productos, lo que hace que cada exploit funcional sea más raro y apreciado.
Tres grupos distintos de compradores compiten por estas herramientas. Las agencias de inteligencia gubernamentales, con las naciones de los Cinco Ojos dominando históricamente el mercado, compran días cero para la vigilancia y las operaciones cibernéticas ofensivas. Los proveedores comerciales de spyware como NSO Group los almacenan para impulsar productos como Pegasus, que se ha utilizado contra periodistas, activistas y figuras políticas en todo el mundo. Y las organizaciones criminales los despliegan en campañas de ransomware y robo de datos.
Por qué la defensa es tan difícil
El desafío central es la asimetría: los atacantes solo necesitan encontrar un fallo, mientras que los defensores deben proteger millones de líneas de código. La investigación de CIQ muestra que los ciclos de parches empresariales tardan entre 30 y 60 días, pero los atacantes rutinariamente arman las vulnerabilidades divulgadas en menos de 15 días. En la primera mitad de 2025, VulnCheck descubrió que el 32% de las vulnerabilidades explotadas fueron atacadas en o antes del día de la divulgación pública.
Dado que no se puede parchear lo que no se conoce, las organizaciones confían cada vez más en la detección de comportamiento, que consiste en supervisar lo que el software realmente hace en lugar de buscar coincidencias con firmas conocidas. La segmentación de la red, las políticas de acceso con privilegios mínimos y el sandboxing de aplicaciones añaden más capas de defensa. El Modo de bloqueo de Apple, por ejemplo, reduce drásticamente la superficie de ataque del iPhone al desactivar las funciones que los atacantes suelen explotar.
La carrera armamentista continúa
Los exploits de día cero seguirán siendo el arma más potente de la ciberseguridad en el futuro previsible. A medida que el software se vuelve más complejo y el valor de los datos aumenta, el incentivo para descubrir, y vender, fallos desconocidos no hace más que crecer. Para los usuarios comunes, la mejor defensa es sencilla: mantener los dispositivos actualizados, habilitar los parches automáticos y tratar los enlaces y archivos adjuntos inesperados con sospecha. En el mundo del día cero, el reloj empieza en cero, y cada hora sin una solución cuenta.
