Zero-day explicadas: qué son, cómo funcionan y cómo protegerse contra ellas

Información clave

En 2025 se explotaron 90 zero-day en el mundo real, de las cuales el 48 % se dirigió contra tecnologías empresariales —una cifra récord impulsada por los ataques a dispositivos periféricos y equipos de seguridad (GTIG 2025).
El lapso entre la aparición de una vulnerabilidad y la publicación del parche es crítico. Los atacantes aprovechan las vulnerabilidades en un promedio de cinco días, pero las organizaciones tardan entre 60 y 150 días en implementar los parches.
Los proveedores de vigilancia comercial superan ahora a los grupos patrocinados por Estados como principal fuente de zero-day atribuidos, siendo responsables de 18 de los 42 exploits atribuidos en 2025.
La detección basada en firmas no puede detener zero-day . El análisis de comportamiento, la detección de red y zero trust constituyen la base de una defensa eficaz.
La IA está transformando ambos lados de la ecuación, acelerando el descubrimiento de vulnerabilidades por parte de los atacantes y permitiendo al mismo tiempo una detección basada en el comportamiento que no depende de indicadores conocidos.

En 2025, el Grupo de Inteligencia sobre Amenazas de Google registró 90 zero-day explotadas en el mundo real, y las tecnologías empresariales alcanzaron un máximo histórico del 48 % del total de objetivos. Los dispositivos periféricos, los equipos de seguridad y la infraestructura de red fueron los más afectados por unos ataques que las defensas basadas en firmas simplemente no pudieron prever.

Para los equipos de seguridad, zero-day representan el punto ciego definitivo. No se puede crear una firma de detección para algo cuya existencia se desconoce. Y dado que el tiempo medio necesario para explotar una vulnerabilidad revelada se ha reducido a cinco días —mientras que las organizaciones siguen tardando entre 60 y 150 días en aplicar los parches —, la brecha entre la rapidez de los atacantes y la respuesta de los defensores nunca ha sido tan grande.

Esta guía explica cómo funcionan zero-day , quiénes los compran y venden, qué revelan los ataques recientes sobre el cambiante panorama de las amenazas y cómo crear defensas que no dependan de conocer la amenaza de antemano.

¿Qué es una vulnerabilidad zero-day ?

Una zero-day es un fallo de seguridad en un software que el fabricante desconoce y para el que no existe ningún parche, lo que deja a los defensores sin tiempo de reacción antes de que los atacantes puedan aprovecharla. El términozero-day» hace referencia al hecho de que el fabricante del software no ha tenido tiempo de solucionar el problema cuando comienza la explotación. El Instituto Nacional de Estándares y Tecnología (NIST) define formalmente un zero-day como aquel que aprovecha una vulnerabilidad previamente desconocida.

Para comprender zero-day es necesario distinguir tres conceptos relacionados, pero distintos. La zero-day es el fallo en sí mismo: un error desconocido en el software, el hardware o el firmware. El zero-day es la técnica o el código que utiliza un atacante para aprovechar ese fallo. Y el zero-day es el incidente real que se produce al aplicar el exploit contra un objetivo.

Esta distinción es importante porque una vulnerabilidad puede existir durante años antes de que alguien la descubra. Solo se convierte en una zero-day cuando un atacante (o un investigador) la identifica y la aprovecha para llevar a cabo un ataque.

Terminología clave

Zero-day : fallo desconocido en el software, el hardware o el firmware que genera una brecha de seguridad.
Zero-day : código o técnica de ataque que aprovecha una falla desconocida para obtener acceso no autorizado o ejecutar comandos. Obtén más información sobre las vulnerabilidades y cómo se utilizan en las cadenas de ataque.
Zero-day : incidente en el que un atacante utiliza una vulnerabilidad contra un sistema u organización objetivo.
Zero-day malware: Malware que aprovecha una vulnerabilidad hasta entonces desconocida para distribuir cargas maliciosas, eludiendo los antivirus convencionales, ya que no existe ninguna firma para el exploit o la carga.

La magnitud del problema es considerable. El Grupo de Inteligencia sobre Amenazas de Google registró 90 zero-day explotadas en el mundo real en 2025, de las cuales el 48 % afectaba a tecnologías empresariales. Por quinto año consecutivo, los exploits fueron el principal vector de acceso inicial, responsables del 33 % de todas las intrusiones investigadas por Mandiant.

Cómo funcionan zero-day

Una zero-day sigue un ciclo de vida que genera múltiples ventanas de riesgo para las organizaciones. Comprender cada una de estas etapas ayuda a los equipos de seguridad a identificar dónde pueden aplicarse las medidas de defensa.

El ciclo de vida zero-day se desarrolla a lo largo de seis etapas:

Introducción: durante el desarrollo del software se produce un error de programación o un defecto de diseño.
Descubrimiento: la vulnerabilidad es detectada por investigadores de seguridad, actores maliciosos o herramientas automatizadas.
Aprovechamiento: si los atacantes lo descubren primero, desarrollan y ponen en práctica un exploit antes de que nadie más sepa que existe la vulnerabilidad.
Divulgación: la vulnerabilidad se comunica al proveedor (divulgación responsable) o se hace pública.
Lanzamiento de un parche: el proveedor desarrolla y publica una actualización de seguridad.
Aplicación de parches: las organizaciones prueban e implementan el parche en todos sus entornos.

El periodo de vulnerabilidad —el intervalo de tiempo que transcurre entre el momento en que se detecta una falla y el momento en que se implementa ampliamente un parche— es, de media, de 312 días. Durante este tiempo, los atacantes pueden actuar libremente contra los sistemas desprotegidos.

Lo que hace que el panorama actual sea especialmente peligroso es la drástica reducción del tiempo necesario para explotar una vulnerabilidad. El tiempo medio necesario para convertir en arma una vulnerabilidad revelada se redujo a cinco días en 2023, frente a los 63 días que se tardaba en 2018-2019. Mientras tanto, las organizaciones siguen tardando una media de entre 60 y 150 días en aplicar los parches. Este desajuste crea una brecha peligrosa en la que los atacantes actúan a la velocidad de una máquina, mientras que los defensores lo hacen al ritmo de un comité.

Unos procesos adecuados de gestión de vulnerabilidades pueden reducir esta brecha, pero no pueden eliminarla por completo en zero-day reales zero-day , en los que no existe ningún parche.

El dilema de la divulgación

La forma y el momento en que se revelan las vulnerabilidades es uno de los debates más trascendentales en materia de ciberseguridad. Google Project Zero aplica un plazo estándar de revelación de 90 días, con un periodo de gracia de 30 días para los parches más complejos. Sin embargo, en el caso de las vulnerabilidades que ya están siendo explotadas, se aplica una política más estricta de siete días, al reconocer que, cuando los atacantes ya están aprovechando una falla, esperar 90 días pone a los defensores en un riesgo inaceptable.

Zero Day Trend Zero Day (ZDI) y el CERT/CC mantienen sus propios plazos de divulgación. El sector se ha decantado en gran medida por un enfoque por niveles: siete días en caso de explotación activa y 90 días, con posibilidad de prórrogas, para la divulgación estándar. Aun así, sigue el debate sobre si 90 días es un plazo demasiado generoso, dado que los plazos de explotación no dejan de acortarse.

Vulnerabilidades Zero-day vulnerabilidades de n días

Aunque zero-day acaparan los titulares, las vulnerabilidades de n días —fallos conocidos para los que existen parches disponibles, pero que no se han aplicado— causan, en la práctica, un daño mucho más generalizado. Comprender esta distinción cambia la forma en que las organizaciones deben priorizar sus defensas.

Tabla: Diferencias clave entre las vulnerabilidades zero-day, «n días» y «un día».

Característica	Zero-day	Día N	De un día
Conocimiento de los proveedores	Desconocido para el proveedor	Conocido y revelado	Se ha tenido conocimiento de ello; se ha comunicado en un plazo de 24 horas
Disponibilidad de parches	No hay ningún parche disponible	Hay un parche disponible, pero no se ha implementado de forma generalizada	El parche puede existir o no
Dificultad de detección	Muy alto — no hay firmas disponibles	Moderado: existen las condiciones necesarias, pero la implementación se retrasa	Alto — margen de respuesta muy breve
El atacante típico	Estados-nación, empresas de vigilancia comercial, grupos avanzados	Un amplio abanico que incluye a grupos delictivos y atacantes oportunistas	Actores sofisticados que supervisan los canales de divulgación
Frecuencia relativa	Entre 60 y 100 al año (según datos de GTIG)	Miles de personas son víctimas de explotación cada año	Subconjunto de n días, explotado en las 24 horas siguientes a su divulgación

Las consecuencias en la práctica son evidentes. El tiempo medio de cinco días que transcurre hasta que se aprovecha una vulnerabilidad supera con creces el ciclo medio de aplicación de parches, que oscila entre 60 y 150 días. Cada vulnerabilidad que se da a conocer se convierte inmediatamente en una carrera entre los defensores, que aplican los parches, y los atacantes, que aprovechan el fallo. Para la mayoría de las organizaciones, los atacantes ganan esa carrera.

Esto significa que, incluso después de que zero-day revelado y corregido una zero-day , esta se convierte en una vulnerabilidad de n días que sigue siendo explotable en la mayoría de los entornos durante semanas o meses. Las estrategias de defensa deben tener en cuenta tanto la zero-day (sin firma, sin parche) como la fase de n días (el parche existe, pero no se ha implementado).

Tipos de zero-day

Los objetivos de zero-day han cambiado radicalmente. Según el análisis de GTIG para 2025, las tecnologías empresariales alcanzaron un máximo histórico del 48 % del total zero-day , una tendencia con importantes implicaciones para la estrategia de seguridad de las redes.

De los 90 vulnerabilidades de día cero registradas en 2025, 47 afectaban a plataformas de usuarios finales (navegadores, sistemas operativos móviles y sistemas operativos de escritorio), mientras que 43 afectaban a tecnologías empresariales. Dentro de la categoría empresarial, los productos de seguridad y redes representaban 21 de las 43 vulnerabilidades de día cero dirigidas a empresas, y al menos 14 afectaban a dispositivos periféricos, como routers, conmutadores y dispositivos de seguridad.

Tabla: Proveedores más afectados por zero-day en 2025 (GTIG).

Proveedor	Zero-days (2025)	Objetivos principales
Microsoft	25	Windows, Office, Exchange
Google	11	Chrome, Android
Manzana	8	iOS, Safari, macOS
Cisco	4	SD-WAN, infraestructura de red

Este cambio es importante para los responsables de la seguridad, ya que los dispositivos periféricos y los equipos de seguridad suelen carecer de cobertura de detección y respuesta en los puntos finales (EDR). Las herramientas tradicionales de seguridad de puntos finales no pueden supervisar el firmware ni los sistemas operativos integrados que se ejecutan en routers, cortafuegos y controladores SD-WAN. Cuando estos dispositivos se ven comprometidos a través de zero-day , el ataque puede pasar desapercibido a menos que las organizaciones dispongan de visibilidad a nivel de red sobre los patrones de comportamiento que siguen a la explotación.

La economía del mercado Zero-day

Existe un próspero ecosistema de mercado en torno a zero-day , cuyos precios reflejan el extraordinario valor que los atacantes otorgan a las vulnerabilidades desconocidas. Comprender este mercado ayuda a las organizaciones a evaluar la gravedad de las amenazas a las que se enfrentan.

Las categorías de compradores abarcan cuatro segmentos:

Los gobiernos y los servicios de inteligencia adquieren vulnerabilidades de día cero para llevar a cabo operaciones cibernéticas ofensivas y actividades de vigilancia
Los proveedores de software de vigilancia comercial (CSV) desarrollan y venden programas espía que incorporan zero-day a clientes gubernamentales
Las organizaciones criminales compran exploits en los mercados de la dark web con fines lucrativos
Los programas de recompensas por errores ofrecen alternativas legales, aunque las recompensas suelen ser una fracción de los precios que cobran los intermediarios de vulnerabilidades

Tabla: Precios de zero-day según el tipo de objetivo (2024-2026).

Objetivo	Rango de precios	Tipo de comprador	Fuente
Cadena completa para móviles, sin clics	Hasta más de 9 millones de dólares	Gobiernos, CSV	TechCrunch, 2024
zero-day en el iPhone	Hasta 2 millones de dólares (Zerodium)	Gobiernos, CSV	TechCrunch, 2024
zero-day de Windows	220 000 dólares (anuncio en la dark web)	Grupos delictivos	TechSpot, 2026
RCE en Chrome	Entre 250 000 y 500 000 dólares	Gobiernos, corredores	Informes del sector

Los precios están subiendo a medida que los proveedores refuerzan la seguridad de sus productos, lo que hace que los nuevos vulnerabilidades de día cero sean más difíciles de detectar y más valiosas cuando se descubren.

En 2025 se produjo un cambio trascendental: por primera vez, los proveedores de vigilancia comercial superaron a los grupos patrocinados por Estados en cuanto al número de zero-day atribuidos. A los proveedores de vigilancia comercial se les atribuyeron 18 de los 42 exploits identificados, frente a los 12 atribuidos a los grupos patrocinados por Estados. Esto significa que el mercado del spyware comercial —las empresas que venden herramientas de vigilancia a clientes gubernamentales de todo el mundo— genera ahora más zero-day que las operaciones tradicionales de piratería informática de los Estados-nación.

Zero-day en la práctica

Los patrones recientes zero-day revelan una tendencia clara: los atacantes se centran cada vez más en los componentes de infraestructura de los que dependen los defensores. Estos ejemplos de 2025-2026 ilustran distintos patrones de ataque que las organizaciones deberían analizar.

Cisco Catalyst SD-WAN (CVE-2026-20127) — El actor malicioso UAT-8616 ha estado aprovechando, al menos desde 2023, una vulnerabilidad crítica que permite eludir la autenticación en la plataforma SD-WAN de Cisco. Los atacantes comprometieron los controladores e introdujeron nodos maliciosos no autorizados en las redes afectadas. Dado que los controladores SD-WAN carecen de la cobertura tradicional de los sistemas EDR, esta explotación persistió durante años antes de ser descubierta.

Dell RecoverPoint (CVE-2026-22769): Mandiant descubrió esta zero-day investigaba sistemas Dell RecoverPoint comprometidos que se comunicaban con servidores de comando y control asociados a las puertas traseras BRICKSTORM y GRIMBOLT. Vinculada a actores maliciosos alineados con China, la explotación llevaba en marcha desde mediados de 2024, lo que demuestra cómo zero-day pueden persistir sin ser detectados durante más de un año sin una supervisión adecuada de la red.

Martes de parches de Microsoft de febrero de 2026: Microsoft solucionó unas 60 vulnerabilidades en un solo ciclo de parches, entre ellas seis vulnerabilidades de día cero que estaban siendo explotadas activamente. El gran número de vulnerabilidades de día cero simultáneas procedentes de un único proveedor pone de relieve la necesidad de contar con procesos de clasificación sólidos cuando surgen varios parches críticos a la vez.

Elusión del SSO de FortiCloud (CVE-2026-24858): una vulnerabilidad crítica que permitía eludir la autenticación en el producto cloud de un importante proveedor de seguridad fue explotada activamente antes de su divulgación. Este caso resulta especialmente revelador, ya que se dirigía contra la propia infraestructura de seguridad, socavando así una herramienta en la que las organizaciones confiaban para su defensa.

Tabla: Principales zero-day y parches en el primer trimestre de 2026.

Fecha	CVE	Objetivo	Impacto	Fuente
Enero de 2026	CVE-2026-20127	Cisco Catalyst SD-WAN	Elusión de la autenticación, compromiso de la red	SecurityWeek
Febrero de 2026	CVE-2026-22769	Dell RecoverPoint	Puerta trasera C2 (BRICKSTORM/GRIMBOLT)	Ayuda a la seguridad de la red
Febrero de 2026	6 CVE	Microsoft Windows/Office	Múltiples vectores de explotación	SecurityWeek
Q1 2026	CVE-2026-24858	FortiCloud SSO	Omisión de la autenticación	Lectura oscura

La conclusión que se desprende de todos estos casos es clara: los dispositivos periféricos y los equipos de seguridad carecen de protección para los puntos finales, y las organizaciones necesitan planes de respuesta ante incidentes que tengan en cuenta la posibilidad de que sus propias herramientas de seguridad se vean comprometidas. Los datos de GTIG muestran que el volumen zero-day se ha estabilizado en niveles elevados —100 en 2023, 78 en 2024 y 90 en 2025—, lo que significa que las empresas se enfrentan a múltiples zero-day nuevas cada mes.

El doble papel de la IA en zero-day y la defensa frente a vulnerabilidades zero-day

La IA está transformando radicalmente ambos lados de la zero-day . En el ámbito ofensivo, la IA acelera el descubrimiento de vulnerabilidades y el desarrollo de exploits. En el ámbito defensivo, la IA permite aplicar métodos de detección que no dependen de conocer la amenaza de antemano. El Grupo de Inteligencia sobre Amenazas de Google ha estimado que la IA «acelerará la carrera actual entre atacantes y defensores» hasta 2026 y más allá.

Ofensiva: explotación acelerada por IA

El fuzzing y el análisis de código asistidos por IA pueden detectar vulnerabilidades a una escala y velocidad que los investigadores humanos no pueden igualar. Los grandes modelos de lenguaje entrenados con bases de código pueden identificar errores de corrupción de memoria, fallos lógicos y formas de eludir la autenticación que a los analistas humanos les llevaría semanas detectar. Esto significa que el número de vulnerabilidades de día cero detectables está aumentando, incluso aunque los proveedores mejoren sus prácticas de seguridad.

Las consecuencias son graves. A medida que las herramientas de IA ganan en capacidad, se reducen las barreras para descubrir vulnerabilidades que puedan explotarse. Los atacantes que antes carecían de la sofisticación técnica necesaria para encontrar vulnerabilidades de día cero ahora pueden ampliar sus capacidades gracias a la detección basada en IA.

Defensiva: detección basada en el comportamiento sin firmas

El principal reto de zero-day es lo que algunos investigadores denominan el «dilema de la ciberseguridad»: no se puede crear una firma para algo cuya existencia se desconoce. Es precisamente aquí donde la detección de amenazas mediante IA y el análisis de comportamiento cobran un carácter esencial.

La detección de amenazas basada en IA identifica los patrones de comportamiento que siguen a la explotación —movimiento lateral, escalada de privilegios, comunicaciones de comando y control, preparación de datos y exfiltración— independientemente de la vulnerabilidad específica o del exploit utilizado. Al centrarse en lo que hacen los atacantes tras obtener acceso, en lugar de en cómo lo consiguen, la detección basada en el comportamiento ofrece protección frente a zero-day sin necesidad de conocer previamente el fallo específico.

Este enfoque resulta especialmente crucial para tecnologías empresariales como los dispositivos periféricos y los equipos de seguridad, que representaron la mayor parte de zero-day en el ámbito empresarial en 2025 y que, por lo general, carecen de protección a nivel de terminal.

Detección y defensa frente a zero-day

Dado que, por definición, zero-day son desconocidas, defenderse de ellas requiere estrategias que no dependan del conocimiento previo de la amenaza concreta. Los antivirus tradicionales y las herramientas basadas en firmas no pueden detectar zero-day , ya que necesitan indicadores conocidos para funcionar, y los ataques de día cero no proporcionan ninguno.

zero-day eficaz contra las vulnerabilidades zero-day combina varias capas:

Implemente la detección de amenazas basada en el comportamiento para identificar patrones de actividad anómalos
Implementar la detección y la respuesta de red para obtener visibilidad sobre los dispositivos no gestionados
Adopta zero trust para limitar el movimiento lateral tras el acceso inicial
Prioriza la aplicación rápida de parches utilizando el catálogo de vulnerabilidades explotadas de la CISA
Supervisa los dispositivos periféricos y los equipos de seguridad mediante análisis a nivel de red
Llevar a cabo una búsqueda proactiva de amenazas centrada en los indicadores de comportamiento
Segmentar las redes para limitar el alcance de cualquier incidente de seguridad

Tabla: Comparación de métodos zero-day .

Acérquese a	Cómo funciona	Puntos fuertes	Limitaciones
Análisis del comportamiento	Identifica patrones anómalos en el comportamiento de los usuarios y las entidades	Detecta amenazas desconocidas sin firmas	Requiere un ajuste inicial; puede dar lugar a falsos positivos
Análisis del tráfico de red	Supervisa los flujos de red en busca de patrones de comunicación sospechosos	Abarca dispositivos no gestionados o periféricos que carecen de EDR	El tráfico cifrado puede reducir la visibilidad
Caza de amenazas	Los analistas buscan de forma proactiva indicios de compromiso	La intuición humana detecta lo que la automatización pasa por alto	Requiere muchos recursos y personal cualificado
Gestión de parches	Implementación rápida de las actualizaciones de seguridad de los proveedores	Elimina las vulnerabilidades conocidas	Inútil durante zero-day , antes de que exista un parche
Zero trust	Parte de la base de que se ha producido una brecha de seguridad, aplica el principio del privilegio mínimo y la microsegmentación	Limita el alcance de cualquier ataque	No se puede evitar la explotación inicial

Por qué falla la detección basada en firmas

La detección basada en firmas compara la actividad entrante con patrones maliciosos conocidos —hashes de archivos, firmas de red o reglas de comportamiento—. Por definición, zero-day no tienen ninguna firma conocida. Esto significa que los antivirus convencionales, los sistemas básicos de detección de intrusiones y las detecciones SIEM basadas en reglas estáticas resultan ineficaces frente a zero-day .

El análisis de comportamiento y la detección de anomalías adoptan un enfoque fundamentalmente diferente. En lugar de preguntarse «¿hemos visto esta amenaza antes?», se preguntan «¿coincide esta actividad con los patrones normales?». Cuando un dispositivo periférico comprometido comienza a comunicarse con un servidor externo desconocido a horas inusuales, o cuando una cuenta de servicio accede de repente a recursos a los que nunca antes había accedido, la detección de comportamiento señala la anomalía, independientemente de si alguien ha visto alguna vez ese exploit concreto.

La CISA añadió más de 190 nuevas entradas al catálogo de vulnerabilidades explotadas conocidas en 2025, lo que pone de relieve el gran número de exploits recién descubiertos que requieren una respuesta rápida por parte de las organizaciones.

Zero-day y cumplimiento normativo

Las organizaciones deben adaptar sus capacidades zero-day a los marcos normativos que rigen su sector. No demostrar que se cuentan con controles adecuados para la respuesta ante vulnerabilidades puede acarrear consecuencias importantes.

Tabla: Zero-day en relación con los marcos de ciberseguridad.

Marco	Controles pertinentes	Zero-day
LCR DEL NIST	ID.RA (Evaluación de riesgos), PR.IP-12 (Gestión de vulnerabilidades), DE.CM-8 (Análisis de vulnerabilidades), DE.AE-1 (Operaciones básicas de red), RS.MI-3 (Mitigación de vulnerabilidades)	Inventario de activos, establecimiento de una línea de base, detección de anomalías y procesos de respuesta ante vulnerabilidades desconocidas
MITRE ATT&CK	`T1190` (Aplicación de explotación orientada al público), `T1203` (Aprovechamiento para la ejecución del cliente), `T1068` (Vulnerabilidad para la escalada de privilegios)	Relación entre la cobertura de detección y las técnicas de explotación utilizadas en zero-day
CISA BOD 22-01	Plazos para la corrección del catálogo KEV	Las agencias federales deben corregir las entradas del catálogo dentro de los plazos establecidos; el sector privado debería seguir este ejemplo como buena práctica
CIS Controls v8	Control 7 (Gestión de vulnerabilidades), Control 13 (Supervisión de la red), Control 16 (Seguridad de las aplicaciones)	Gestión continua de vulnerabilidades y detección a nivel de red de amenazas desconocidas

Cumplir con los requisitos de cumplimiento normativo exige algo más que la simple aplicación de parches. Las organizaciones deben demostrar que cuentan con capacidades de detección de amenazas desconocidas, y no solo de vulnerabilidades conocidas. Los marcos de seguridad como el NIST CSF exigen explícitamente la supervisión del comportamiento básico de la red (DE.AE-1), un control directamente relacionado con zero-day .

Enfoques modernos para zero-day

El sector está pasando de la prevención basada en firmas a la detección basada en el comportamiento e impulsada por la inteligencia artificial como pilar fundamental de zero-day . Este cambio refleja el reconocimiento de que, dado que el 48 % de las amenazas de día cero se dirigen a tecnologías empresariales —muchas de las cuales carecen de protección en los puntos finales—, la visibilidad a nivel de red se convierte en la principal capa de detección.

Las organizaciones que desarrollan zero-day modernas zero-day se basan en tres principios. En primer lugar, deben partir de la premisa de que el sistema ya ha sido comprometido y diseñar la detección en función de los comportamientos de los atacantes tras la explotación, y no de la explotación en sí misma. En segundo lugar, deben garantizar la visibilidad de toda la superficie de ataque, incluidos los dispositivos periféricos, cloud y los sistemas de identidad que las herramientas tradicionales para puntos finales no pueden cubrir. En tercer lugar, deben invertir en capacidades de detección y respuesta en red que analicen los patrones de tráfico y las anomalías de comportamiento en tiempo real.

De cara al futuro, la Ley de Ciberresiliencia de la UE (que entrará en vigor en 2027) impondrá nuevos requisitos de notificación de vulnerabilidades a los proveedores de software, lo que podría acelerar el tiempo que transcurre desde el descubrimiento hasta que se da a conocer al público, y reducir aún más el margen de tiempo de que disponen los defensores para reaccionar.

Cómo Vectra AI zero-day

La solución Attack Signal Intelligence Vectra AI Attack Signal Intelligence los patrones cloud de la red, las identidades y cloud para detectar zero-day en curso. En lugar de basarse en firmas de amenazas conocidas, este enfoque identifica los comportamientos de los atacantes que siguen a la explotación —movimiento lateral, escalada de privilegios, comunicaciones de comando y control, y exfiltración de datos— independientemente del método de acceso inicial. Esta filosofía de «asumir el compromiso» se ajusta a la realidad de que los dispositivos periféricos y los equipos de seguridad —los principales zero-day para las empresas en 2025— suelen carecer de cobertura EDR, lo que convierte al análisis de comportamiento de la red en la capa de detección más eficaz.

Conclusión

Zero-day siguen siendo el punto débil más grave en la seguridad empresarial. Con 90 de ellas explotadas en la red en 2025, los proveedores de vigilancia comercial superando a los grupos estatales en cuanto a atribución, y las tecnologías empresariales absorbiendo casi la mitad de todos zero-day , el panorama de amenazas exige un cambio fundamental en la estrategia defensiva.

Los datos son claros: los enfoques basados únicamente en firmas no pueden proteger a las organizaciones frente a amenazas nunca antes vistas. El plazo de cinco días en el que se aprovecha la vulnerabilidad, el lapso de entre 60 y 150 días hasta la aplicación de parches y la creciente atención prestada a los dispositivos periféricos que carecen de protección para puntos finales apuntan todos a la misma conclusión. zero-day eficaz zero-day requiere una detección basada en el comportamiento en toda la superficie de ataque, zero trust para limitar el alcance del impacto y partir de la premisa de que la compromisión no es una cuestión de «si» se producirá, sino de «cuándo».

Las organizaciones que basan su estrategia de seguridad en la detección de los comportamientos de los atacantes —movimiento lateral, escalada de privilegios, comando y control, y exfiltración— en lugar de limitarse a comparar con firmas conocidas, se posicionan para detectar zero-day , independientemente de la vulnerabilidad o el exploit específicos de que se trate.

Descubre cómo Vectra AI las amenazas que eluden los controles de seguridad tradicionales.

Preguntas frecuentes

¿Cuánto tiempo zero-day un zero-day ?

La «ventana de vulnerabilidad» —el periodo que transcurre desde que se detecta una falla hasta que se implementa ampliamente un parche— tiene una duración media de 312 días, según los estudios sobre el ciclo de vida. Sin embargo, este plazo varía considerablemente en función de la fase en la que se encuentre. Una vez que zero-day da a conocer públicamente una zero-day , los proveedores suelen publicar un parche en un plazo de entre siete y catorce días para las vulnerabilidades que están siendo explotadas activamente. El verdadero cuello de botella es la adopción de los parches: las organizaciones tardan una media de entre 60 y 150 días en implementar las actualizaciones de seguridad en todos sus entornos. Esto significa que, incluso después de que una zero-day a zero-day una vulnerabilidad conocida con un parche disponible, la mayoría de las organizaciones siguen expuestas durante semanas o meses. Durante la fase previa a la divulgación, zero-day puede persistir durante años si nadie detecta la actividad maliciosa, como demostró el caso de Dell RecoverPoint, en el que la explotación continuó sin ser detectada desde mediados de 2024 hasta principios de 2026.

¿Son frecuentes zero-day ?

El Grupo de Inteligencia sobre Amenazas de Google registró 90 zero-day explotadas en el mundo real en 2025, lo que se ajusta a un rango de cuatro años de entre 60 y 100 al año (100 en 2023, 78 en 2024). Si bien cada zero-day un activo escaso y de gran valor, el volumen acumulado implica que las empresas se enfrentan a múltiples zero-day nuevas zero-day cada mes. La aparente estabilización en torno a las 60-100 vulnerabilidades de día cero anuales probablemente represente un mínimo más que un máximo, ya que muchos zero-day nunca se descubren ni se atribuyen públicamente. Organizaciones de seguimiento como GTIG, Mandiant y ZDI pueden reportar recuentos diferentes en función de su metodología y visibilidad.

¿Qué es un zero-day ?

Un zero-day es una actualización de seguridad de emergencia que se publica para corregir una vulnerabilidad que ya estaba siendo explotada antes de que el proveedor tuviera conocimiento de ella. Dado que la vulnerabilidad es objeto de ataques activos, los proveedores suelen publicar estos parches como actualizaciones fuera de ciclo (no programadas), en lugar de esperar a su ciclo de parches habitual. El «Patch Tuesday» de febrero de 2026 de Microsoft, por ejemplo, solucionó seis vulnerabilidades de día cero que estaban siendo explotadas activamente en una sola publicación. Las organizaciones deben dar prioridad a zero-day por encima de todas las demás actualizaciones de seguridad y tratar de implementarlos en un plazo de 24 a 48 horas, en lugar de seguir los plazos estándar de gestión de cambios. La directiva BOD 22-01 de la CISA establece plazos de corrección específicos para las agencias federales cuando se publican zero-day para vulnerabilidades explotadas conocidas.

¿Qué esmalware zero-day ?

malware Zero-day malware un software malicioso que aprovecha una vulnerabilidad hasta entonces desconocida para ejecutar su carga útil. A diferencia malware tradicional, malware puede detectarse mediante firmas antivirus,malware zero-day malware los métodos de detección convencionales, ya que no existe ninguna firma para el exploit que utiliza. Esto lo convierte en una amenaza especialmente peligrosa para las organizaciones que dependen principalmente de herramientas de seguridad basadas en firmas.malware Zero-day malware aparecer en ataques dirigidos contra organizaciones de alto valor, más que en campañas masivas, ya que los zero-day que lo hacen posible son caros y de oferta limitada. Una defensa eficaz contramalware zero-day malware enfoques de detección de comportamiento que identifiquen patrones de actividad sospechosos —como la ejecución de procesos inusuales, conexiones de red inesperadas o accesos anómalos a archivos— en lugar de buscar coincidencias con firmas maliciosas conocidas.

¿En qué consiste el ciclo de vida zero-day ?

El ciclo de vida se desarrolla a lo largo de seis etapas. En primer lugar, la vulnerabilidad surge durante el desarrollo del software debido a un error de programación o a un defecto de diseño. En segundo lugar, la vulnerabilidad es descubierta, ya sea por investigadores de seguridad que realizan auditorías, por actores maliciosos que buscan fallos explotables o, cada vez más, por herramientas de fuzzing basadas en inteligencia artificial. En tercer lugar, si los atacantes descubren la vulnerabilidad antes que el proveedor, desarrollan y despliegan exploits. En cuarto lugar, la vulnerabilidad se da a conocer, ya sea mediante una divulgación responsable al proveedor o mediante su exposición pública. En quinto lugar, el proveedor desarrolla y lanza un parche de seguridad. En sexto lugar, las organizaciones prueban e implementan el parche en todos sus entornos. El periodo de mayor riesgo abarca desde la explotación hasta la adopción del parche, momento en el que los atacantes están utilizando activamente el fallo mientras muchas organizaciones siguen sin aplicar el parche.

¿Qué es un zero-day en términos sencillos?

Un zero-day es un ataque que aprovecha una vulnerabilidad de software que el fabricante aún desconoce. Dado que no existe ninguna solución, los defensores disponen de «cero días» para prepararse antes de que el ataque tenga éxito. Es como si un ladrón encontrara una puerta sin cerrar que el propietario no sabía que existía: el propietario no puede cerrar con llave una puerta que no sabe que existe. En términos de ciberseguridad, el proveedor de software no puede corregir un error que no ha descubierto, y las herramientas de seguridad no pueden bloquear un ataque que nunca han visto antes. Esto es lo que hace que zero-day sean tan valiosos para los atacantes y tan peligrosos para las organizaciones. Los precios de zero-day oscilan entre cientos de miles de dólares y más de 9 millones de dólares, dependiendo del objetivo, lo que refleja la importante ventaja que proporcionan a los atacantes.

¿Cubre el seguro cibernético zero-day ?

La cobertura varía considerablemente en función de la póliza y las circunstancias del incidente. Muchas pólizas de seguro cibernético incluyen exclusiones por «actos de guerra» o «ataques de Estados-nación», que se solapan con una parte significativa de zero-day »: los grupos patrocinados por Estados y los proveedores de vigilancia comercial son responsables de la mayoría de los casos atribuidos de zero-day ». Las organizaciones deben revisar detenidamente la redacción de sus pólizas en lo que respecta a estas exclusiones. Además, algunas pólizas pueden exigir que la organización asegurada demuestre que se habían implementado «medidas de seguridad razonables», lo que podría incluir mantener los niveles de parches actualizados, implementar herramientas de detección de comportamiento y seguir prácticas de seguridad alineadas con los marcos de referencia. Las organizaciones que se enfrentan a zero-day deben trabajar con sus corredores de seguros para comprender exactamente qué escenarios están cubiertos, qué requisitos de respuesta a incidentes exige la póliza y si la cobertura se extiende a zero-day atribuidos a actores estatales.