El mundo de la ciberseguridad en 2025 está viviendo uno de sus momentos más complicados: nunca antes se habían visto tantas vulnerabilidades Zero-Day explotadas en tan poco tiempo.
Solo en la primera mitad del año se han registrado más de 23.600 vulnerabilidades, un 16% más que en 2024. Y lo preocupante no es solo la cantidad, sino la velocidad con la que los atacantes las están aprovechando.
Grupos altamente sofisticados (desde operadores de ransomware hasta equipos vinculados a estados-nación) están convirtiendo fallos desconocidos en armas digitales.
Para que te hagas una idea, casi el 30% de las vulnerabilidades explotadas conocidas (KEV) fueron atacadas en menos de 24 horas después de hacerse públicas. En algunos casos, ciertos dispositivos críticos ni siquiera tuvieron un parche disponible antes de ser comprometidos.
La manera en que evolucionan estos ataques es cada vez más preocupante: ya no solo afectan a los navegadores más usados, sino que también ponen en la mira la infraestructura crítica de las empresas.
En TecnetOne queremos ayudarte a entender este panorama. Por eso hemos preparado este análisis donde repasamos las vulnerabilidades Zero-Day más destacadas de 2025, explicando cómo se explotaron, cuál fue su impacto real y, sobre todo, qué pasos puedes seguir para proteger tus sistemas y reducir riesgos.
Vulnerabilidades de día cero explotadas por el proveedor/plataforma en 2025
El 16 de septiembre de 2025 se descubrió la vulnerabilidad CVE-2025-10585, un fallo crítico en el motor V8 JavaScript y WebAssembly de Chrome. Aunque Google lanzó un parche en menos de 24 horas, esta fue la sexta vulnerabilidad Zero-Day del año en el navegador.
El Threat Analysis Group (TAG) de Google confirmó que la falla estaba siendo explotada activamente, lo que apunta a la participación de actores de alto nivel, posiblemente grupos vinculados a estados-nación.
Tipo de vulnerabilidad: Confusión de tipos en el motor V8
Vector de ataque: Páginas web maliciosas con JavaScript manipulado
Impacto: Ejecución de código arbitrario y compromiso total del navegador
Versiones afectadas: Chrome antes de 140.0.7339.185/.186
Unos meses antes, en julio, salió a la luz CVE-2025-6558, otra vulnerabilidad crítica que atacaba el motor ANGLE de la GPU. Esta permitía escapar de la sandbox de Chrome y acceder a memoria fuera de los límites, abriendo la puerta a la ejecución de código arbitrario a nivel de sistema.
Método de explotación: Páginas HTML maliciosas con llamadas gráficas diseñadas
Consecuencia: Escape de sandbox, acceso a nivel de sistema
Versión corregida: Chrome 138.0.7204.157/.158
En total, durante 2025 Chrome ha enfrentado múltiples ataques Zero-Day (CVE-2025-2783, CVE-2025-4664, CVE-2025-5419, CVE-2025-6554 y CVE-2025-6558). Este patrón muestra cómo los navegadores se han convertido en uno de los vectores de ataque preferidos por los cibercriminales.
El 26 de agosto de 2025, Citrix reveló CVE-2025-7775, una vulnerabilidad de desbordamiento de memoria en NetScaler ADC y NetScaler Gateway. El fallo fue explotado como Zero-Day y obtuvo una puntuación CVSS de 9.2, lo que lo sitúa entre los más peligrosos del año.
Impacto: Ejecución remota de código (RCE) y denegación de servicio
Autenticación: No requerida (explotación no autenticada)
Complejidad del ataque: Alta, requiere técnicas avanzadas
Versiones afectadas: 13.1, 14.1, 13.1-FIPS y NDcPP
Según datos de Shadowserver, más de 28,200 instancias seguían expuestas incluso después de la publicación del parche. En muchos casos, los atacantes desplegaron web shells para mantener un acceso persistente.
Versiones corregidas: 14.1-47.48+, 13.1-59.22+, 13.1-FIPS/NDcPP 13.1-37.241+, 12.1-FIPS/NDcPP 12.1-55.330+
Este incidente demuestra que la infraestructura crítica empresarial sigue siendo uno de los objetivos favoritos de los atacantes avanzados.
En julio de 2025, Microsoft lanzó parches de emergencia para dos Zero-Day encadenados que afectaban a servidores locales de SharePoint. Esta campaña, bautizada como ToolShell, mostró cómo los atacantes están perfeccionando cadenas de explotación en varias etapas.
Tipo de vulnerabilidad: Suplantación de encabezados
Impacto: Permite omitir autenticación
Puntuación CVSS: 6.3
Tipo de vulnerabilidad: Deserialización insegura de datos no confiables
Impacto: Ejecución remota de código
Puntuación CVSS: 9.8
Los atacantes usaban primero CVE-2025-53771 para evadir la autenticación y luego explotaban CVE-2025-53770 para ejecutar código malicioso. Esta combinación les permitía incluso extraer claves criptográficas de la máquina, asegurando persistencia a largo plazo.
La investigación de Unit 42 encontró vínculos con el grupo Storm-2603 y observó actividad desde el 17 de julio de 2025. La campaña evolucionó rápidamente, pasando de módulos en .NET a cargas maliciosas basadas en web shells.
Conoce más sobre: Ataques RCE en SharePoint: Microsoft Lanza Parches de Emergencia
No todas las vulnerabilidades alcanzan el puntaje máximo, pero CVE-2025-31324 lo consiguió: un CVSS perfecto de 10.0, lo que significa riesgo crítico en todas las métricas.
El fallo, presente en SAP NetWeaver Visual Composer, permitía a atacantes sin autenticación cargar archivos arbitrarios y comprometer de inmediato todo el sistema.
Puntuación CVSS: 10.0 (crítico)
Componente afectado: Visual Composer de SAP NetWeaver
Vector de ataque: HTTP/HTTPS desde Internet
Autenticación: No requerida
Punto de explotación: /developmentserver/metadatauploader
La vulnerabilidad fue explotada como Zero-Day casi tres semanas antes de hacerse pública. Investigaciones posteriores vincularon la actividad tanto con grupos APT como con la operación de ransomware Qilin.
De hecho, un análisis de OP Innovate detectó conexiones con infraestructura de Cobalt Strike, confirmando que se utilizó en campañas de ransomware a gran escala.
Tras su divulgación, llegaron ataques oportunistas que aprovecharon web shells ya desplegados, demostrando que incluso después de publicar parches, los Zero-Day siguen siendo una amenaza latente.
El 13 de mayo de 2025, SAP lanzó la nota de seguridad 3604119, que resolvía CVE-2025-42999 (CVSS 9.1). Esta vulnerabilidad estaba directamente relacionada con la causa raíz de CVE-2025-31324.
El hallazgo fue resultado del trabajo forense de Onapsis Research Labs y refleja la complejidad de las vulnerabilidades en software empresarial: a menudo un parche inicial no basta, y se requiere atacar la raíz del fallo.
En septiembre de 2025, Google abordó dos Zero-Day en su Boletín de seguridad de Android, ambos bajo explotación activa. Los detalles apuntan a campañas de spyware dirigidas contra usuarios de alto valor.
Componente: Temporizadores POSIX del kernel de Linux
Tipo de vulnerabilidad: Condición de carrera
Puntuación CVSS: 7.4
Impacto: Escalada de privilegios locales
Versiones afectadas: Android 10 en adelante
Componente: Android Runtime (ART)
Tipo de vulnerabilidad: Uso después de liberar memoria (UAF)
Impacto: Escape de sandbox de Chrome y escalada de privilegios
Objetivo final: Compromiso del proceso system_server
El Threat Analysis Group (TAG) de Google confirmó que ambas vulnerabilidades fueron explotadas de forma limitada, pero muy dirigida, probablemente en operaciones de spyware mercenario.
Podría interesarte leer: Microsoft Parchea Vulnerabilidad Crítica en Entra ID
Además de los fallos generales de Android, Samsung se vio afectado por CVE-2025-21043, una vulnerabilidad crítica en la librería libimagecodec.quram.so (desarrollada por Quramsoft).
Puntuación CVSS: 8.8
Tipo: Escritura fuera de límites
Impacto: Ejecución remota de código mediante imágenes maliciosas
Versiones afectadas: Android 13, 14, 15 y 16
Reportado por: equipos de seguridad de Meta y WhatsApp
Este hallazgo refuerza la idea de que las marcas más grandes del ecosistema Android son objetivos prioritarios para atacantes que buscan exploits reutilizables a gran escala.
El panorama de vulnerabilidades Zero-Day en 2025 marca un antes y un después en la ciberseguridad. Nunca antes habíamos visto una velocidad de explotación tan alta, ataques tan sofisticados en cadena y una variedad de objetivos tan amplia.
Desde Chrome hasta los sistemas empresariales de SAP, queda claro que ninguna tecnología es intocable cuando los atacantes están decididos a encontrar un hueco.
Los principales proveedores (Apple, Google, Microsoft, Citrix y muchos más) han sufrido ataques de día cero a lo largo del año, lo que confirma que estamos ante campañas sistemáticas y bien organizadas, no incidentes aislados.
Los ataques de este año nos dejan mensajes muy claros:
Los atacantes se mueven más rápido.
Los objetivos son cada vez más diversos.
Las técnicas son más avanzadas y difíciles de detectar.
Para estar a la altura, las empresas necesitan:
Capacidades de defensa más sofisticadas.
Colaboración en la industria, compartiendo inteligencia de amenazas.
Un cambio hacia arquitecturas de seguridad proactivas, diseñadas para resistir incluso amenazas desconocidas.
La realidad es que ningún sistema es 100% impenetrable. Aquí es donde entra en juego un servicio de respuesta a incidentes: la capacidad de reaccionar rápido, contener el ataque y minimizar el impacto puede marcar la diferencia entre un susto controlado y una crisis de negocio.
En TecnetOne, ayudamos a las empresas a prepararse para este escenario con planes de respuesta a incidentes, monitoreo avanzado y soporte experto en ciberseguridad. Nuestro objetivo es que, incluso frente a un Zero-Day, tu organización pueda recuperarse con agilidad y seguir operando con confianza.
Entrando en la segunda mitad de 2025, la realidad es clara: los ataques Zero-Day ya no son una posibilidad lejana, son una certeza en evolución constante. Esto exige vigilancia continua, actualización constante y una mejora permanente de las defensas en todas las plataformas y organizaciones.