El equipo de inteligencia de amenazas de Google (GTIG) acaba de cerrar su balance anual y el mensaje es claro: los días cero siguen siendo una amenaza persistente y, en algunos frentes, creciente. En 2025 los investigadores de Google identificaron 90 vulnerabilidades de día cero que fueron explotadas activamente en el mundo real, casi la mitad de ellas afectando a productos y dispositivos orientados a entornos empresariales. Ese total supone un ascenso respecto a 2024 —cuando se registraron 78 casos—, aunque no llega al máximo de 2023, cuando GTIG contabilizó 100 fallos explotados en la naturaleza. Para quienes no trabajan en seguridad a diario, conviene recordar que una vulnerabilidad de día cero es un fallo en el software que los atacantes aprovechan antes de que el fabricante tenga oportunidad de parchearlo, lo que les concede una ventana de ventaja especialmente valiosa para conseguir acceso inicial, ejecutar código de forma remota o escalar privilegios.
La radiografía del año muestra un reparto equilibrado entre plataformas de usuario final y soluciones empresariales: 47 de esos zero-days apuntaron a sistemas usados por consumidores y profesionales en sus escritorios y móviles, mientras que 43 golpearon productos diseñados para redes corporativas, seguridad perimetral y virtualización. Entre los errores explotados aparecieron desde fallos de ejecución remota y escalado de privilegios hasta inyecciones, deserialización y problemas de corrupción de memoria como use-after-free; Google destaca que las faltas relacionadas con la seguridad de la memoria representaron alrededor del 35% del total, un recordatorio de que los errores clásicos de manejo de memoria siguen dando frutos a los atacantes.
En el territorio empresarial, los blancos favoritos fueron los equipos que ofrecen acceso privilegiado a la red: dispositivos de seguridad, infraestructuras de red, appliances VPN y plataformas de virtualización. Estos elementos suelen concentrar permisos elevados y, en muchos despliegues, funcionan fuera del alcance de soluciones de detección y respuesta de endpoints (EDR), lo que los convierte en puertas traseras muy atractivas para actores maliciosos.
Si miramos las categorías de software, los sistemas operativos encabezaron la lista de explotaciones: GTIG registró 24 zero-days contra sistemas de escritorio y 15 contra plataformas móviles. Las explotaciones contra navegadores web bajaron de forma notable —hasta sólo ocho casos en 2025— y Google sugiere que parte de esa caída puede deberse al endurecimiento de los navegadores en los últimos años; otra explicación posible es que los atacantes estén empleando técnicas de sigilo más sofisticadas que dificultan su detección.
En cuanto a quiénes fueron blanco, Microsoft lideró la lista de proveedores más atacados con 25 vulnerabilidades explotadas, seguida por Google con 11 y Apple con 8; Cisco y Fortinet aparecieron con cuatro cada una, mientras que Ivanti y VMware sumaron tres cada una. Estos números ilustran que incluso los grandes proveedores, con recursos y programas de seguridad, siguen viendo cómo sus productos son objetivo de exploits no parcheados.
Un dato que rompe con la tendencia histórica es el protagonismo de los vendedores de espionaje comercial (CSV, por sus siglas en inglés). Por primera vez desde que GTIG empezó a rastrear la explotación de zero-days, estas empresas y sus clientes fueron los mayores consumidores de vulnerabilidades no divulgadas, superando a los grupos patrocinados por estados. Esa observación coincide con investigaciones y denuncias de organizaciones como Citizen Lab, que han documentado el impacto y el alcance del mercado de spyware comercial en la vigilancia y operaciones ofensivas.
Entre los actores estatales, los grupos vinculados a China fueron los más activos, responsables de diez zero-days explotados en 2025 y apuntando sobre todo a dispositivos en el borde de la red y elementos de infraestructura para mantener accesos persistentes. No menos relevante fue el aumento de actores con motivación económica —ransomware y extorsión de datos— que utilizaron nueve de los fallos observados, demostrando que la explotación de fallos sin parche forma parte ya tanto de la caja de herramientas del espionaje como del crimen organizado.
Mirando hacia delante, GTIG advierte que la inteligencia artificial está cambiando las reglas del juego: las técnicas automatizadas pueden acelerar la identificación de vulnerabilidades y la creación de exploits, lo que probablemente mantenga elevada la cifra de zero-days explotados en 2026. Esa perspectiva no es exclusiva de Google; agencias y centros de análisis europeos y globales han señalado en los últimos meses que la IA reduce barreras técnicas para ofensores, tanto en la generación de pruebas de concepto como en la automatización de la búsqueda de fallos en grandes bases de código (ENISA ofrece documentación y avisos sobre el impacto del aumento del uso de IA en ciberseguridad).
Como ejemplo operativo de la evolución de los atacantes, el informe destaca campañas como Brickstorm, que revelan un giro estratégico: menos interés en robar código fuente y más foco en la detección de fallos que comprometan productos que aún están en desarrollo o por salir al mercado. Esa técnica permite a los ofensores preparar exploits con antelación y emplearlos cuando el software llega a producción, con un alto potencial de impacto.
¿Qué pueden hacer las organizaciones y usuarios para disminuir el riesgo? Las recomendaciones de GTIG vuelven a pilares que los equipos de seguridad conocen bien: reducir la superficie de ataque y las exposiciones de privilegio, vigilar continuamente los sistemas en busca de comportamientos anómalos y mantener procesos ágiles de parcheo y respuesta a incidentes. En la práctica eso implica conocer el inventario de activos, segmentar redes para limitar el alcance de una intrusión, aplicar políticas de privilegios mínimos, emplear soluciones de detección que cubran capas de red y servidores críticos, y garantizar que las actualizaciones importantes se desplieguen con rapidez y con pruebas adecuadas.
El panorama que dibuja GTIG no es de catástrofe inmediata, pero sí de una presión sostenida y en transformación: los zero-days siguen siendo una moneda de alto valor para actores muy diversos y las herramientas emergentes como la IA prometen acelerar tanto la búsqueda de fallos como la creación de exploits. La respuesta no pasa por soluciones milagro, sino por reforzar prácticas básicas de ciberhigiene, invertir en visibilidad y mantener procedimientos de respuesta bien ensayados, porque en ese margen operativo es donde se gana tiempo para mitigar un fallo antes de que se convierta en un incidente mayor.
Para quienes quieran consultar el informe original y profundizar en la metodología y los casos detallados, GTIG publicó su revisión anual que incluye gráficos, ejemplos de campañas y recomendaciones: 2025 Zero-Day Review — Google Cloud. Para ver cómo las autoridades públicas catalogan y priorizan vulnerabilidades explotadas activamente, la lista de vulnerabilidades explotadas conocida por CISA es una referencia práctica: CISA — Known Exploited Vulnerabilities Catalog.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...