Cuando una falla de seguridad pasa desapercibida incluso para quienes desarrollan el software, el riesgo deja de ser una posibilidad y se convierte en una amenaza real y silenciosa. Así funcionan las vulnerabilidades de día cero: brechas ocultas que los atacantes pueden aprovechar antes de que exista un parche disponible.
Según el Grupo de Inteligencia de Amenazas de Google (GTIG), en 2024 se han identificado 75 casos de este tipo, y más del 50% estuvieron relacionados con ataques de software espía. Aunque esta cifra es menor a los 97 exploits detectados en 2023, sigue superando los 63 registrados en 2022, lo que confirma una tendencia preocupante al alza. Los analistas del GTIG explican que estas oscilaciones interanuales son normales, pero reflejan un crecimiento sostenido en el uso de exploits zero-day por parte de actores cada vez más sofisticados.
Entre los responsables figuran grupos vinculados al ciberespionaje, incluidos actores respaldados por Estados y clientes de empresas de vigilancia comercial. En particular, se atribuyen cinco ataques a grupos asociados con China, ocho a compradores de software espía, y por primera vez se ha identificado a operadores norcoreanos utilizando cinco vulnerabilidades de día cero en operaciones que combinan espionaje con motivaciones financieras.
El aumento de los ataques de día cero en plataformas de uso diario
El año pasado, el equipo de Análisis de Amenazas de Google (TAG), junto con Mandiant (una de sus subsidiarias especializadas en ciberseguridad) detectó 97 vulnerabilidades de día cero que fueron aprovechadas en ataques reales. Eso representa más del 50% de aumento si lo comparamos con las 62 que se registraron el año anterior. Y lo más preocupante es que muchas de ellas estaban relacionadas con proveedores de software espía y sus clientes.
Aunque el número total de vulnerabilidades varía de un año a otro, lo que sí está claro es que la tendencia general va en aumento. En 2024, los blancos principales fueron los productos y plataformas que usamos todos los días, como navegadores, teléfonos móviles y sistemas operativos de escritorio.
De hecho, más de la mitad (el 56%) de los ataques de día cero detectados se dirigieron a estos sistemas de uso cotidiano. Hubo una pequeña buena noticia: los ataques a navegadores bajaron de 17 en 2023 a 11 en 2024. También cayeron los exploits contra móviles, que pasaron de 17 a solo 9. Pero no todo fue mejora.
Google Chrome siguió siendo el blanco favorito entre los navegadores, y en el caso de los sistemas operativos de escritorio, la situación empeoró. Las vulnerabilidades en Windows subieron de 16 a 22 en solo un año, y si miramos más atrás, vemos un crecimiento constante desde los 13 casos registrados en 2022.
Como explicaron desde el equipo de Google TAG, mientras Windows siga siendo uno de los sistemas más usados tanto en casa como en el trabajo, va a seguir siendo un blanco tentador para los atacantes. Y no solo para explotar fallas que aún no se conocen (día cero), sino también aquellas que ya tienen parche disponible (día n), pero que muchos usuarios todavía no han instalado.
Días cero explotados in situ por año (Fuente: Google)
Podría interesarte leer: Detección de Ataques Zero-Day con Wazuh
En 2024, los atacantes aprovecharon 33 de las 75 vulnerabilidades de día cero (alrededor del 44%) para atacar productos que se usan principalmente en entornos empresariales. Eso es un aumento respecto al 37% que vimos en 2023.
De esos 33 ataques, más del 60% se centraron en software y dispositivos de seguridad y redes. ¿Por qué son tan atractivos para los atacantes? Porque si logran vulnerar uno solo de estos sistemas, pueden obtener acceso a una red entera sin necesidad de armar cadenas de exploits complicadas y difíciles de ejecutar.
Entre los casos más destacados de este año, los analistas de Google TAG encontraron ataques dirigidos a productos bastante conocidos en el mundo corporativo, como Ivanti Cloud Services Appliance, Cisco ASA, Palo Alto PAN-OS y Ivanti Connect Secure VPN.
Según Casey Charrier, analista del equipo de inteligencia de amenazas de Google, los ataques de día cero siguen creciendo poco a poco, pero no todo son malas noticias. También se empieza a notar que el esfuerzo de muchos proveedores por fortalecer la seguridad está dando resultados.
Por ejemplo, en 2024 se detectaron menos ataques contra productos que solían ser el blanco habitual en años anteriores, probablemente porque las empresas detrás de ellos han invertido en reforzar sus defensas. Sin embargo, esto ha hecho que los atacantes desvíen su atención hacia otros productos empresariales que no siempre cuentan con el mismo nivel de protección.
En resumen, el rumbo que tomen los exploits de día cero en el futuro va a depender en gran parte de cómo respondan los proveedores de tecnología: cuánto invierten en seguridad, cuán rápido actúan y qué tan bien pueden anticiparse a los movimientos de los atacantes.
