El Centro de Inteligencia de Microsoft informó sobre tres vulnerabilidades de día cero de VMware. Broadcom etiquetó a sus clientes como explotados, y las vulnerabilidades fueron CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226. Afectó a los productos VMware ESX, incluidos Workstation, Telco Cloud Pattern, vSphere, VMware ESXi, Cloud Foundation y Fusion. Se produjeron desbordamientos de pila VCMI, fallos de divulgación de información HGFS y fugas de memoria de los procesos VMX.
El controlador BioNTdrv.sys de Paragon Partition Manager también fue víctima recientemente de ataques de ransomware de día cero. Era vulnerable al mapeo arbitrario de la memoria del kernel, la escritura y el movimiento de la memoria, lo que allanó el camino para los ataques Bring Your Vulnerable Driver en sistemas sin controladores de dispositivos. El error crítico de PostgreSQL estuvo relacionado con un ataque de día cero al Tesoro de los Estados Unidos.
Los días cero se están convirtiendo en un problema, causando consecuencias devastadoras más allá de las violaciones de datos. En esta guía se explorarán las vulnerabilidades de día cero. Aprenderemos cómo prevenir los ataques de día cero y mitigarlos.
¿Qué son los ataques de día cero?
Un ataque de día cero es una vulnerabilidad o fallo que los hackers encuentran en el código de una aplicación o cualquier otra oportunidad que puedan explotar. Los exploits de día cero aprovechan al máximo los fallos de seguridad no abordados o desconocidos en el hardware, el software y el firmware de los ordenadores. Se trata de un ataque de día cero porque el proveedor tiene cero días para solucionar el problema de seguridad. Los actores maliciosos pueden explotar inmediatamente estas vulnerabilidades y acceder a los sistemas vulnerables.
Los desarrolladores de software deben publicar parches para estas vulnerabilidades y actualizar sus programas. Pero para entonces el daño ya está hecho y es demasiado tarde para evitarlo. Los ataques de día cero pueden instalar malware, robar datos e incluso matar personas. Pueden causar mucho peligro y causar estragos entre los usuarios, las organizaciones y los sistemas. Los ataques de día cero pueden ser virus, malware, ataques de rescate o amenazas indetectables que evaden las tecnologías tradicionales de detección basadas en firmas.
Las vulnerabilidades de día cero pueden suponer graves riesgos debido al asombroso alcance de los ataques. Pueden dejar a organizaciones enteras y a miles de usuarios expuestos a delitos cibernéticos hasta que el proveedor o la comunidad identifique y solucione el problema. Algunas vulnerabilidades de día cero pueden permanecer sin detectar durante días, meses o años, por lo que los desarrolladores no tienen tiempo suficiente para reaccionar y resolverlas cuando se hacen públicas.
Las organizaciones se ven sorprendidas cuando los hackers aprovechan estas fallas antes de que los proveedores puedan corregirlas. Es una carrera contra el tiempo. Y una vez que los hackers crean exploits de día cero viables, pueden lanzar ataques a mayor escala.
¿Por qué son tan peligrosos los ataques de día cero?
Los días cero son peligrosos porque no sabes con qué estás trabajando. El alcance de los daños es desconocido y hay muchos peligros ocultos, como pérdidas económicas, el deterioro de la reputación de la empresa y la creación de puntos ciegos, puntos ciegos adicionales que no se pueden detectar rápidamente ni solucionar.Piénselo de esta manera. Imagine que es un novato en karate y tiene el cinturón blanco. Le han vendado los ojos y le han encargado que se enfrente a un cinturón negro. Lo peor es que ni siquiera es experto en artes marciales, por lo que las posibilidades de perder son increíblemente altas. Tu única salida es escapar de la situación y planear contraataques para no volver a cruzarte con el cinturón negro.
Los ataques de día cero también pueden tener su origen en fallos en la codificación y las prácticas de diseño. Las vulnerabilidades de seguridad tradicionales pueden parchearse a tiempo y proteger las aplicaciones, pero las vulnerabilidades de día cero son diferentes. No hay tiempo para crear y trabajar en sistemas de parcheo. No existen soluciones para estas vulnerabilidades. Esto significa que tendrás que desarrollar nuevos parches y soluciones de seguridad.
Los ataques de día cero de alto impacto pueden causar pérdidas que oscilan entre 500 000 y 2 millones de dólares, dependiendo del objetivo y la plataforma.
¿Cómo funcionan los ataques de día cero?
A continuación se explica brevemente cómo funcionan los ataques de día cero:
- Aparece una vulnerabilidad en el código del software, pero el proveedor y el público no son conscientes de ella. Un hacker la descubre finalmente mediante herramientas automatizadas y pruebas.
- El adversario explotará entonces este código y se aprovechará de su vulnerabilidad. Creará una variante maliciosa y la inyectará en el servicio web o la aplicación, provocando su mal funcionamiento.
- Esto le permitirá obtener acceso no autorizado. El daño comienza ahí y se intensifica lentamente.
- Cuando el proveedor descubre el problema, intentará resolverlo rápidamente. Los usuarios y las organizaciones deben corregir la vulnerabilidad para evitar una mayor explotación y detener la brecha.
¿Cómo detectar los ataques de día cero?
Los ataques de día cero se aprovechan de las brechas de seguridad en los programas y aplicaciones. Los atacantes pueden encontrar puntos débiles en el código fuente y crear código malicioso para inyectarlo en las bases de datos.
Detectar los ataques de día cero no es sencillo, puede resultar difícil y complicado. Para detectar las vulnerabilidades, debe establecer reglas de correlación predefinidas y analizar los datos existentes en su infraestructura. Otra forma de detectar estas amenazas es realizar un seguimiento de los movimientos internos.
Examine las actividades de los usuarios utilizando tecnologías de detección, registro y supervisión continuas de amenazas. Las actividades de registro de su organización pueden informarle sobre lo que está sucediendo, y los paneles de control consolidados también pueden proporcionar información estratégica sobre seguridad.
Prevención y mitigación de ataques de día cero
La implementación de una solución fiable de inteligencia sobre amenazas y SIEM es esencial para recopilar datos de telemetría y analizar eventos de seguridad. Estas soluciones deben ser capaces de identificar múltiples tipos de datos procedentes de diversas fuentes y generar alertas en tiempo real cada vez que se detecten desviaciones. Puede investigar rápidamente estos valores atípicos con su personal de seguridad y reducir el acceso no autorizado. Complemente estas medidas con actividades proactivas de búsqueda de amenazas. Utilice análisis avanzados para buscar posibles indicadores de compromiso (IoC) y realice investigaciones detalladas.
Todas estas tácticas también le ayudarán a optimizar los flujos de trabajo de respuesta a incidentes y a seleccionar las herramientas adecuadas para el trabajo. SentinelOne puede ayudarle a automatizar las acciones de respuesta, personalizar las políticas, activar alertas y poner en cuarentena o aislar instantáneamente los hosts comprometidos o las amenazas, cuando se detecten. También le ayudará a bloquear automáticamente las IP maliciosas, realizar copias de seguridad de los datos y minimizar el impacto de futuros incidentes de seguridad.
También puede prevenir y mitigar los ataques de día cero tomando estas medidas adicionales:
- Actualice sus sistemas y manténgalos rigurosamente al día. Realice una auditoría de todos sus recursos, activos, inventario y usuarios. Analice los datos históricos de eventos, busque patrones y profundice en las anomalías pasadas. Le darán pistas sobre eventos futuros.
- Practique el principio del acceso con privilegios mínimos. Cree una arquitectura de seguridad de red de confianza cero y no confíe en nadie. Verifique siempre. Porque la persona en la que confía hoy puede convertirse en el enemigo de mañana al traicionar a su organización. Limpie los protocolos de incorporación y salida y hágalos más estrictos.
- No permita que los empleados transmitan datos privados en redes públicas. Fomente una cultura en la que puedan informar de sus hallazgos de forma anónima y garantice una transparencia total. Una buena comunicación es clave para aprender a prevenir los ataques de día cero y proporciona una protección continua.
Mejore su inteligencia sobre amenazas
Descubra cómo WatchTower, el servicio de caza de amenazas de SentinelOne, puede proporcionarle más información y ayudarle a superar los ataques.
Más informaciónEjemplos reales de ataques de día cero
A continuación se muestran algunos ejemplos reales de ataques de día cero que se produjeron recientemente en 2025:
El ciberataque de día cero a Microsoft
Microsoft no esperaba que un ataque de día cero se dirigiera a múltiples vectores. Kevin Breen, director sénior de Immersive, afirmó: «No creíamos que fuera posible. Los ataques de día cero suelen dirigirse a una sola plataforma o entorno de sistema operativo».
En febrero de 2025, Microsoft publicó actualizaciones de seguridad para 67 vulnerabilidades en su último parche y las implementó. Sin embargo, cuatro vulnerabilidades de día cero ya habían afectado al hash NTLMv2 de Windows, al controlador de funciones auxiliares de Windows, al almacenamiento de Windows y a los dispositivos Microsoft Surface. La ejecución remota de código y la escalada de privilegios eran los principales riesgos de seguridad. Tres nuevas vulnerabilidades afectaron a Hyper-V: CVE-2025-21335, CVE-2025-21333 y CVE-2025-21334.
Omisión de autenticación de JetBrains TeamCity Zero-Day
JetBrains se enteró de su vulnerabilidad CVE-2023-42793 el 20 de septiembre de 2023 y la reveló. La vulnerabilidad de omisión de autenticación se dirigía a su servidor CI/CD y a sus instancias locales. Los atacantes obtuvieron acceso no autorizado y lanzaron ataques de ejecución remota de código. La crítica falla de omisión de autenticación se descubrió pocos días después de su exposición, lo que no dejó tiempo para una recuperación inmediata.
Amenaza de día cero de MOVEit Transfer
Un grupo ruso investigó problemas de inyección SQL y encontró una vulnerabilidad de día cero en MOVEit Transfer. A continuación, el grupo ejecutó ataques de ransomware contra cientos de organizaciones, entre las que se encontraban varias universidades, redes sanitarias, bancos y organismos gubernamentales.
Se subieron muestras de LEMURLOOT con los nombres de archivo human2.aspx y _human2.aspx a muchos repositorios públicos globales. El ataque se extendió e incluso afectó a organizaciones de países como Pakistán y Alemania.
Mitigue los ataques de día cero con SentinelOne
SentinelOne utiliza algoritmos avanzados de inteligencia artificial para analizar los recursos y detener las amenazas de día cero, incluso las desconocidas. Su plataforma de detección y respuesta en endpoints (EDR) proporciona una visión profunda de la actividad de la red y de los usuarios, lo que facilita la detección de amenazas. SentinelOne puede ampliar su protección de endpoints con Singularity XDR.
Singularity™ Threat Intelligence con lago de datos y Purple AI pueden recopilar y correlacionar datos de múltiples fuentes. El motor de comportamiento de SentinelOne puede detectar y rastrear comportamientos maliciosos en todas las empresas. Si se produce alguna actividad sospechosa o se detectan desviaciones, las señala al instante para su revisión y corrección. La conciencia contextual de SentinelOne en materia de inteligencia sobre amenazas elimina los falsos positivos, reduce el ruido de las alertas y mantiene a las organizaciones al día con las notificaciones más relevantes. SentinelOne puede simular ataques de día cero para evaluar las posibilidades con su Offensive Security Engine™ y Verified Exploit Paths™. Su tecnología patentada Storylines™ puede reconstruir eventos históricos, artefactos y realizar análisis forenses cibernéticos.
Los usuarios pueden generar informes detallados del sistema y de cumplimiento directamente desde su panel de control unificado. SentinelOne agiliza las auditorías de cumplimiento y ayuda a las organizaciones a adherirse a los mejores estándares normativos, como SOC 2, HIPAA, PCI-DSS e ISO 27001. Sus soluciones cuentan con el respaldo de una sólida comunidad de expertos del sector y usuarios que comparten información útil.
El CNAPP sin agente ofrece una seguridad integral y diversas funciones, como: gestión de la postura de seguridad de Kubernetes (KSPM), Cloud Workload Protection Platform (CWPP), Gestión de la postura de seguridad en la nube (CSPM), escaneo de IaC, gestión de la postura de seguridad de SaaS (SSPM), detección de secretos y prevención de fugas de credenciales en la nube, Gestión de ataques externos y superficies (EASM), evaluaciones de vulnerabilidades, análisis de canalizaciones CI/CD, integración Snyk y mucho más. La plataforma ayuda a los usuarios a implementar las mejores prácticas de DevSecOps en las organizaciones y a llevar a cabo auditorías internas y externas.
Reserve una demostración en vivo gratuita.
Conclusión
Aunque los ataques de día cero parecen imparables, también revelan una realidad más profunda sobre nuestro cambiante mundo cibernético: nosotros damos forma a cada vulnerabilidad descubierta y, a su vez, somos moldeados por ellas. La verdadera resiliencia no proviene del uso de las mejores tecnologías, sino de la capacidad de abandonar las mentalidades complacientes. Esto se debe a que los hackers no solo persiguen el software, sino también a las personas.
Mediante la colaboración entre funciones, la aplicación de pruebas rigurosas y la obtención incesante de información, podemos crear ecosistemas digitales en los que los ataques de día cero sean un estímulo, y no precursores del caos.
Invierta en defensas proactivas, promueva una cultura de concienciación cibernética y empiece a trabajar en su seguridad. Póngase en contacto con SentinelOne para mantenerse al día y defenderse.FAQs
Los ataques de día cero aprovechan las vulnerabilidades de software recién descubiertas antes de que los desarrolladores publiquen parches. Los atacantes encuentran estas fallas de seguridad y crean malware o métodos de piratería informática dentro de un breve período de vulnerabilidad.
Debido a que los defensores no tienen tiempo para responder, el daño puede propagarse muy rápidamente, infectando sistemas críticos, robando datos o infectando redes completas sin ser detectado de inmediato.
Los proveedores y los investigadores necesitan una advertencia para corregir las vulnerabilidades. Un ataque de «día cero» se produce cuando el reloj marca cero. El atacante aprovecha la vulnerabilidad antes de que haya un parche disponible o pase el tiempo, lo que deja al proveedor con solo «cero días» para aplicar el parche o prepararse. Esta breve limitación de tiempo pone a las empresas en un dilema y subraya la necesidad de abordar estas amenazas.
Cualquiera puede descubrir vulnerabilidades de día cero, desde investigadores de seguridad y piratas informáticos de sombrero blanco hasta ciberdelincuentes. Los investigadores éticos suelen informar al proveedor para que pueda lanzar un parche, mientras que los actores maliciosos explotan la vulnerabilidad en su beneficio.
Las agencias gubernamentales también financian iniciativas de búsqueda de errores, y sus descubrimientos a veces no se revelan, lo que da lugar a especulaciones sobre su uso encubierto para el espionaje.
Un mercado de día cero es un mercado comercial en el que las agencias de corretaje pueden comprar exploits a investigadores y black hats. Se utiliza para comprar y vender fallos de seguridad y llevar a cabo actividades ilegales. Es el lado oscuro del mundo de la ciberseguridad y algo a lo que hay que prestar atención. Hay una falta de transparencia en las transacciones y los precios pueden parecer injustos.
La prevención y el descubrimiento de los ataques de día cero dependen de la vigilancia de los equipos de seguridad y de las herramientas de detección de anomalías. Los patrones de comportamiento inusuales, el tráfico de datos sospechoso o las quejas de los usuarios pueden desencadenar una investigación.
Los profesionales de la seguridad implementan soluciones de sandboxing, honeypots y supervisión avanzada para detectar actividades maliciosas en tiempo real. A veces, los hallazgos accidentales durante las auditorías rutinarias revelan exploits de día cero. Revelarlos a los proveedores puede ayudar a desarrollar parches rápidamente antes de que se produzcan daños importantes.
Las grandes empresas, las agencias gubernamentales, las instituciones financieras y los proveedores de atención médica suelen encabezar la lista de objetivos de día cero. Estas entidades almacenan datos confidenciales y mantienen infraestructuras críticas, lo que las convierte en objetivos prioritarios para el espionaje, el sabotaje o el lucro económico.
Las pequeñas empresas y los usuarios individuales tampoco son inmunes; los exploits de día cero pueden propagarse indiscriminadamente a través del software que se utiliza habitualmente en todos los sectores, desde los sistemas operativos hasta las aplicaciones web.
- Manténgase alerta con actualizaciones periódicas de software, ya que los parches suelen corregir vulnerabilidades no reveladas.
- Habilite las actualizaciones automáticas siempre que sea posible.
- Utilice antivirus y cortafuegos de confianza para supervisar y bloquear actividades sospechosas.
- Utilice contraseñas seguras y evite hacer clic en enlaces desconocidos o descargar archivos de fuentes no verificadas.
Además, considere la posibilidad de utilizar VPN en redes Wi-Fi públicas. Reducir su huella digital puede disminuir las posibilidades de ser víctima de un ataque de día cero.
Las organizaciones suelen implementar protocolos de respuesta rápida, que incluyen aislar los sistemas afectados y realizar análisis forenses para identificar la brecha. Emiten parches de emergencia o indican a los usuarios soluciones temporales. Los equipos de respuesta a incidentes colaboran con investigadores de seguridad, comparten información sobre amenazas y refuerzan las defensas perimetrales. Las pruebas de penetración periódicas también ayudan a descubrir las debilidades antes que los actores maliciosos. La formación continua del personal aumenta la concienciación, lo que minimiza las posibilidades de que se repitan las intrusiones de día cero.
