Durante el año 2024, Google Threat Intelligence Group (GTIG) ha documentado la explotación activa de 75 vulnerabilidades zero-day, un número que aunque representa una disminución con respecto a las 98 reportadas en 2023, sigue siendo considerablemente superior a las 63 registradas en 2022. Estas vulnerabilidades zero-day son fallos de software que son explotados por atacantes antes de que los desarrolladores puedan parchearlos o hacer públicos los errores, lo que los convierte en uno de los recursos más peligrosos y codiciados en el arsenal de ciberataques modernos. Un dato que sobresale en el análisis de GTIG es que el 44% de estas vulnerabilidades se focalizan en productos empresariales, en especial aquellos vinculados con la seguridad y las redes. Se identificaron 33 vulnerabilidades que afectaron directamente software y dispositivos diseñados para proteger redes corporativas, de los cuales 20 se concentraron en herramientas y aparatos enfocados en seguridad, pertenecientes a empresas líderes del sector como Ivanti, Palo Alto Networks y Cisco. El interés de los atacantes en dispositivos y software de seguridad empresarial no es casual ni trivial.
Estos productos y herramientas tienen el acceso privilegiado necesario para administrar redes de gran escala y sistemas conectados, lo que los coloca en la posición idónea para cualquier actor malicioso que busque infiltrarse de forma profunda y persistente en infraestructuras corporativas. Las brechas en estos sistemas representan una puerta de acceso para comprometer no solo el producto en sí, sino todo el ecosistema empresarial asociado. A nivel individual, Microsoft Windows fue la plataforma más afectada, con 22 vulnerabilidades zero-day explotadas en 2024. Seguida por Google con 11 vulnerabilidades dirigidas a sus productos, Ivanti con siete, y Apple con cinco. En el contexto de sistemas operativos móviles y navegadores, Android y Chrome tuvieron siete vulnerabilidades cada uno, mientras que Safari tuvo tres, iOS dos, y Mozilla Firefox uno.
Un fenómeno destacado fue la reducción significativa en la explotación de vulnerabilidades en navegadores web y dispositivos móviles, con una caída aproximada del 33% en navegadores y del 50% en dispositivos móviles respecto al año anterior. Sin embargo, la complejidad y peligrosidad de las cadenas de exploits que incluyen múltiples zero-days sigue siendo predominante en ataques contra dispositivos móviles, representando cerca del 90% de estos casos, lo que demuestra que aunque en menor cantidad, la sofisticación en ataques móviles sigue siendo elevada. El reporte de Google también señala que la motivación principal detrás de la explotación de estas vulnerabilidades sigue siendo el espionaje cibernético respaldado por estados. De las 75 vulnerabilidades, 34 han sido atribuidas a seis grandes grupos dedicados a actividades maliciosas, donde predominan actores con apoyo estatal. China lidera con cinco vulnerabilidades dirigidas, seguida por Rusia y Corea del Sur.
Junto a estos, existen grupos dedicados a la vigilancia comercial y otros con fines financieros, algunos incluso combinando el espionaje con motivaciones económicas, destacándose la actividad originada en Corea del Norte y ciertos grupos rusos. Un caso específico de ataque detectado en 2024 fue el uso de un script malicioso inyectado en el sitio web de la Academia Diplomática de Ucrania, que activó la explotación de CVE-2024-44308 y permitió la ejecución remota de código arbitrario. Esta vulnerabilidad fue encadenada con otra falla en la gestión de cookies en WebKit para realizar un ataque cross-site scripting (XSS), consiguiendo así el acceso no autorizado a cuentas en login.microsoftonline.com.
Este ejemplo ilustra la complejidad y la técnica de encadenar múltiples vulnerabilidades para llevar a cabo ataques sofisticados. Asimismo, Google reveló la existencia de una cadena de explotación en navegadores Firefox y Tor que combina CVE-2024-9680 y CVE-2024-49039, vulnerabilidades que permitieron a un grupo identificado como RomCom (con distintos alias como Storm-0978 y UNC2596) romper el sandbox de Firefox y ejecutar código malicioso con privilegios elevados. RomCom es un actor conocido por su doble motivación: tanto financiera como espionaje, evidenciando nuevamente la convergencia de intereses en el cibercrimen moderno. El análisis del GTIG indica que aunque la explotación de zero-days sigue creciendo de forma paulatina, la labor de los desarrolladores y proveedores de tecnología para mitigar estos riesgos empieza a mostrar resultados. Se ha observado una reducción en la explotación de productos que históricamente eran los más atacados, probablemente debido a mayores inversiones en seguridad y a la implementación de controles más efectivos.
Sin embargo, la atención de los atacantes ha cambiado hacia productos con enfoque empresarial y corporativo, apuntando a la necesidad de que un número más amplio y variado de proveedores adopte medidas proactivas en seguridad. La capacidad de las compañías para anticiparse y responder rápidamente a estas amenazas determinará el futuro de la explotación de estas vulnerabilidades. Este cambio en el campo de batalla de la ciberseguridad destaca un panorama donde la protección de infraestructuras críticas y de alto valor corporativo debe ser una prioridad máxima. El crecimiento en el número de proveedores afectados —de 12 en 2021 a 18 en 2024— confirma la expansión de la superficie de ataque y la diversificación de los objetivos de los actores maliciosos. En este contexto, la cooperación entre empresas, agencias de seguridad y cuerpos reguladores es fundamental para fortalecer las defensas y disminuir el impacto de futuras vulnerabilidades zero-day.
Al mismo tiempo, la concienciación y formación de los equipos de seguridad interna debe ser intensificada para identificar patrones de ataques complejos y reaccionar frente a amenazas emergentes. En conclusión, el panorama de las vulnerabilidades zero-day en 2024 refleja una etapa de transición y evolución en la ciberseguridad global. Aunque se observa una ligera disminución en algunos ámbitos, el aumento del foco en productos empresariales y de seguridad resalta la creciente sofisticación y persistencia de los ciberataques. La respuesta eficaz pasa por aumentar la colaboración entre proveedores, reforzar las inversiones en seguridad y mantener una vigilancia constante sobre las nuevas amenazas y vectores de ataque.
