2025 fue un año decisivo para las vulnerabilidades de día cero

Iniciado por AXCESS, Enero 02, 2026, 01:53:10 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 02, 2026, 01:53:10 AM Ultima modificación: Enero 02, 2026, 01:55:40 AM por AXCESS
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las vulnerabilidades de día cero eran antes amenazas de nicho reservadas para el espionaje de alto nivel. Sin embargo, esta idea ya no es válida, y los atacantes ahora pueden utilizarlas con relativa facilidad para infiltrarse en las redes corporativas.

Si bien el volumen total de ataques ha experimentado un aumento sin precedentes, la velocidad de estos ataques es el factor determinante. El informe de análisis de amenazas del primer semestre de 2025 de ForeScout Vedere Labs indica que las vulnerabilidades de día cero aumentaron un 46 % solo en la primera mitad de 2025.

Los equipos de seguridad solían medir el tiempo transcurrido entre la divulgación de una vulnerabilidad y su explotación en días. Hoy en día, ese plazo se ha reducido a tan solo unas horas.

Pero las cifras solo cuentan una parte de la historia. Los expertos con los que hablamos sostienen que este repunte no es una anomalía temporal, sino el resultado predecible de un cambio fundamental en la economía, la tecnología y la ejecución de los ciberataques modernos.

Una tormenta perfecta

Morey Haber, asesor jefe de seguridad de BeyondTrust, explica que "el aumento de las vulnerabilidades de día cero en 2025 refleja una tormenta perfecta de un panorama de amenazas en constante evolución, oportunidades para los atacantes y el cambio tecnológico hacia la IA y la dependencia de la cadena de suministro".

Según Haber, la complejidad del software sigue creciendo más rápido que las prácticas de ingeniería de diseño seguro, lo que genera fallos difíciles de detectar durante el desarrollo y prácticamente imposibles de validar mediante pruebas tradicionales.

Al mismo tiempo, el mercado comercial de vulnerabilidades de día cero se ha disparado. Las vulnerabilidades que permiten la escalada de privilegios, el robo de identidad o la elusión de la autenticación tienen ahora una gran demanda tanto por parte de organizaciones criminales como de gobiernos, que buscan obtener ventajas en los servicios en la nube y la tecnología operativa.

«Los gobiernos compiten directamente con las organizaciones criminales por las vulnerabilidades que les permiten obtener ventajas en los servicios en la nube, las plataformas de identidad y la tecnología operativa», explica Haber.

La IA ha acelerado todos los aspectos de esta tendencia. Haber señala que las pruebas de vulnerabilidad automatizadas, la identificación de exploits y la generación de pruebas de concepto han acortado el tiempo de descubrimiento y han facilitado la explotación de vulnerabilidades críticas. Añade que las vulnerabilidades que antes requerían conocimientos especializados ahora pueden ser descubiertas y perfeccionadas por personas sin experiencia.

"El resultado general es un aumento medible en la frecuencia de las vulnerabilidades de día cero y en la forma en que se identifican e implementan. Normalmente, con fines maliciosos", afirmó.

Mientras tanto, la superficie de ataque también se expande sin cesar. Ilia Dafchev, investigador sénior de seguridad en Acronis TRU, identifica "la creciente presencia de software [con] más dispositivos, más equipos de borde/IoT, más sistemas heredados, lo que expande la superficie de ataque correspondientemente" como un factor clave responsable del aumento de los exploits de día cero.

Según Dafchev, los atacantes han ampliado su alcance más allá de los navegadores y los ordenadores de escritorio a dispositivos no tradicionales, como cámaras IP y equipos de tecnología operativa (OT).

"Estos dispositivos son especialmente atractivos porque pueden funcionar como puntos de acceso sigilosos que permiten el movimiento lateral a través de las redes; un patrón que se observa cada vez más en los ataques de ransomware y los ataques dirigidos", explicó.

Dafchev también señala que "se siguen descubriendo fallos de larga data en componentes de uso generalizado (sistemas de archivos, controladores, pilas de red), lo que significa que el código heredado sigue siendo un terreno fértil para quienes buscan vulnerabilidades de día cero".

También destaca que "las tensiones geopolíticas probablemente amplifican la demanda de vulnerabilidades de día cero, ya que los actores patrocinados por estados y los grupos motivados por el espionaje tienen fuertes incentivos para encontrar y acumular nuevas vulnerabilidades".

Explotación industrializada

Las vulnerabilidades de día cero no solo se han vuelto más comunes, sino que también se están utilizando de manera diferente.

Según Haber, los atacantes han pasado de los ataques dirigidos a lo que él describe como explotación industrializada.

"En 2025, los adversarios combinan cada vez más vulnerabilidades de día cero con ataques a la cadena de suministro, robo de identidad, movimiento lateral y escalada de privilegios", explicó.

La vulnerabilidad de día cero suele servir solo como clave inicial.

"En lugar de depender de una sola vulnerabilidad, encadenan vectores de ataque, donde la vulnerabilidad de día cero o el robo de identidad actúan como la clave inicial que abre un camino más amplio hacia el acceso privilegiado", continuó Haber.

Combinado con la rápida automatización, los plazos de las intrusiones se han reducido drásticamente. Dafchev señala que "algunas vulnerabilidades se convierten en armas y se explotan a las pocas horas de su divulgación pública, especialmente en sistemas de alto valor o dispositivos perimetrales".

Desafortunadamente, los defensores no han podido seguir el ritmo. Si bien los tiempos de intrusión inicial se han reducido a minutos, según Haber, el tiempo total de permanencia en el sistema ha aumentado a meses.

Esto cambia las reglas del juego para los defensores, quienes, según Haber, deben centrarse en contener las brechas antes de que se propaguen, utilizando modelos como el de confianza cero.

Argumenta que "los defensores deben asumir que la explotación puede ocurrir casi instantáneamente y que solo los controles compensatorios en las capas de identidad, punto final, aplicación y red pueden ralentizar al atacante".

Añade que "el principio de mínimo privilegio, la segmentación robusta y la verificación continua de la identidad se vuelven esenciales para prevenir el movimiento lateral y la propagación de la brecha".

Dafchev también advierte que la velocidad con la que se aprovecha una vulnerabilidad de día cero "reduce el tiempo disponible para aplicar parches o mitigaciones a prácticamente cero, lo que exige prácticas de seguridad más proactivas y continuas en lugar de ciclos periódicos de aplicación de parches".

Al igual que Haber, coincide en que "los defensores deben ampliar su enfoque más allá de la simple aplicación de parches, lo que significa que la contención, la segmentación de la red y la detección de comportamiento se vuelven mucho más importantes".

Paradoja de la visibilidad

Sin embargo, hay buenas noticias. La visibilidad de la explotación de vulnerabilidades de día cero ha mejorado en comparación con los últimos años. El intercambio de telemetría, la divulgación coordinada y los informes de los proveedores han madurado, pero ambos expertos advierten que estos avances se quedan muy atrás en comparación con la adaptación de los atacantes.

"La visibilidad ha mejorado, pero no lo suficiente como para contrarrestar la creciente sofisticación de los vectores de ataque de día cero modernos", afirma Haber.

El punto ciego más peligroso, según él, es la identidad.

"La explotación de vulnerabilidades de día cero a menudo se presenta como credenciales legítimas que acceden a recursos confidenciales", explica, argumentando que, sin mejoras en el registro de eventos, los patrones de comportamiento y los controles de privilegios, los ciberdelincuentes seguirán operando de forma invisible.

También señala que persisten puntos ciegos en los componentes de la cadena de suministro, el firmware integrado, los dispositivos no administrados y el SaaS oculto, áreas que habitualmente quedan fuera de los programas de monitoreo tradicionales.

Dafchev coincide, especialmente en lo que respecta a los sistemas no tradicionales. Afirma que los dispositivos IoT, de computación perimetral, de tecnología operativa (OT), heredados y embebidos a menudo carecen de monitoreo estándar, y sus actualizaciones pueden ser lentas o inexistentes.

"Como resultado, muchos ataques que involucran vulnerabilidades de día cero pueden pasar desapercibidos durante largos períodos".

La velocidad también influye. Cuando la explotación comienza en cuestión de horas, los defensores a menudo solo se enteran de una vulnerabilidad de día cero después de que los atacantes ya han logrado persistencia. Dafchev concluye que "hasta que la detección proactiva o basada en el comportamiento se generalice, especialmente en IoT/OT, muchas campañas de día cero permanecerán sin ser detectadas".

En conjunto, ambos expertos llegan a la misma conclusión: el aumento en la explotación de vulnerabilidades de día cero en 2025 no es un repunte temporal. Es una señal de que las suposiciones de larga data sobre la gestión de vulnerabilidades ya no son válidas.

A medida que la explotación se acelera y los puntos ciegos se amplían, las organizaciones deben asumir que se explotarán vulnerabilidades desconocidas y diseñar defensas en consecuencia.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario