Por Canuto Un informe del Grupo de Inteligencia de Amenazas de Google reveló que en 2025 se explotaron 90 vulnerabilidades de día cero, y que casi la mitad impactó tecnología empresarial. El dato marca un giro: los atacantes están presionando el perímetro corporativo, con firewalls y VPN como objetivo, mientras cambia el mapa de atribución hacia proveedores de vigilancia comercial y se anticipa que la IA acelerará la carrera entre ataque y defensa en 2026.
***
- Google rastreó 90 ataques de día cero explotados en 2025, menos que en 2023 pero por encima de 2024.
- El 48% apuntó a tecnología empresarial, con fuerte presión sobre dispositivos perimetrales como firewalls y VPN.
- Google atribuyó más zero-days a proveedores de vigilancia comercial que a grupos tradicionales de espionaje estatal, y prevé que la IA acelere la dinámica en 2026.
🚨⚠️ Casi el 50% de los ataques zero-days en 2025 impactó tecnología empresarial
Google reportó 90 vulnerabilidades explotadas
43 de ellas afectaron firewalls y VPN
El cambio de enfoque hacia corporaciones es alarmante
Proveedores de vigilancia comercial son los nuevos… pic.twitter.com/AtLhkwntMz
— Diario฿itcoin (@DiarioBitcoin) March 5, 2026
En 2025, los ataques que explotan vulnerabilidades de “día cero” tomaron un rumbo cada vez más corporativo. El Grupo de Inteligencia de Amenazas de Google (GTIG) reportó haber rastreado 90 zero-days explotados en la naturaleza durante ese año. La cifra quedó por debajo del récord de 2023, cuando se observaron 100, pero superó a 2024, que cerró con 78.
Más allá del conteo, lo que más llamó la atención fue el destino de esos fallos. Google concluyó que 43 vulnerabilidades, equivalentes al 48% del total, impactaron tecnologías empresariales. Según el reporte, tanto el número como la proporción alcanzaron niveles históricos, muy cerca de representar la mitad de los zero-days explotados.
Ataques cambian de foco: del usuario a las corporaciones
Para dimensionar el concepto, un zero-day es una vulnerabilidad que se explota de forma maliciosa antes de que exista un parche público disponible. Eso crea una ventana crítica para los defensores, porque los sistemas pueden ser comprometidos incluso con buenas prácticas si no existe todavía una corrección distribuida. En redes corporativas, ese margen puede traducirse en acceso a información sensible o movimientos laterales dentro de sistemas críticos.
El informe también sugirió una tendencia de estabilización en el rango de 60 a 100 zero-days por año durante los últimos cuatro años. Esa estabilidad no implica menos riesgo. Más bien, puede indicar que los atacantes ajustaron su selección de objetivos y están encontrando más valor en tecnologías de alto impacto, especialmente donde se concentran datos y accesos privilegiados.
Firewalls, VPN y virtualización terminaron en la mira
Dentro de la categoría empresarial, una parte importante de los zero-days afectó los mismos dispositivos diseñados para frenar intrusiones. Google destacó que equipos de seguridad y de red, como firewalls, además de plataformas de VPN y virtualización, estuvieron entre los objetivos preferidos. En la lista de proveedores más atacados mencionó a Cisco y Fortinet en el frente de firewalls, y a Ivanti y VMware en tecnologías de VPN y virtualización.
De acuerdo con lo indicado, las cuatro compañías ya habían reconocido en meses recientes que atacantes explotaron sus productos dentro de redes de clientes. Para las organizaciones, este vector es especialmente delicado porque el perímetro suele concentrar autenticación, segmentación y control de tráfico. Si se rompe esa capa, el atacante puede saltarse controles internos y operar con ventaja.
Los investigadores de Google describieron patrones en los fallos explotados. Señalaron problemas comunes, como validación de entradas deficiente y procesos de autorización incompletos. Ese tipo de vulnerabilidades puede facilitar la intrusión porque, aunque no siempre requieren cadenas extremadamente sofisticadas, sí permiten atravesar defensas y obtener acceso inicial a redes empresariales.
En la práctica, estos errores suelen requerir parches de software para corregirse. Ese detalle agrava el reto operativo: incluso cuando el proveedor libera una actualización, muchas organizaciones tardan en desplegarla por compatibilidad, ventanas de mantenimiento o dependencia de terceros. En ese lapso, el zero-day puede transformarse en un riesgo masivo, especialmente si se replica como táctica entre distintos grupos.
El otro frente empresarial: aplicaciones críticas
Google explicó que la otra mitad de los zero-days empresariales no se concentró solo en el perímetro. También apuntó a software corporativo defectuoso, donde se gestionan procesos internos y datos de alto valor. En este segmento, el informe resaltó una campaña de la banda de extorsión Clop dirigida contra clientes de Oracle E-Business Suite.
Según lo descrito, esa campaña permitió a los atacantes obtener grandes volúmenes de datos de recursos humanos de decenas de empresas. El tipo de información comprometida incluía registros sobre personal y ejecutivos, lo que en un incidente de seguridad puede amplificar el daño. No solo hay riesgos de extorsión y filtración, sino también de fraude, suplantación o ingeniería social posterior.
Entre los afectados mencionados se incluyeron la Universidad de Harvard, la filial de American Airlines Envoy y The Washington Post, entre otros. La diversidad de entidades muestra que el impacto no se limita a un sector específico. Un mismo sistema empresarial, ampliamente desplegado, puede convertirse en una superficie de ataque transversal para educación, medios y aviación.
Este tipo de incidentes también ilustra por qué los atacantes buscan entornos corporativos. En lugar de comprometer dispositivos individuales, una explotación exitosa en software de negocio puede abrir acceso a repositorios centralizados. En términos de riesgo, eso eleva la relación entre esfuerzo y recompensa, lo que ayuda a explicar el crecimiento de objetivos empresariales observado por Google.
Consumo, móviles y sistemas operativos: la otra mitad de zero-days
El informe señaló que el 52% restante de los zero-days rastreados en 2025 apareció en productos de consumo y de usuario final. Allí se incluyeron tecnologías de fabricantes como Microsoft, Google y Apple. Aunque el foco mediático suele ir a navegadores o apps populares, el reporte subrayó que la mayoría de los fallos en software de consumo se ubicó en sistemas operativos.
También se observó un incremento de zero-days en dispositivos móviles frente a años previos. Google detalló que la detección de zero-days móviles fluctuó en el último trienio: bajó de 17 en 2023 a 9 en 2024, antes de rebotar a 15 en 2025. La lectura del informe fue que la complejidad del entorno móvil impulsa este comportamiento.
En paralelo, Google reportó una disminución sostenida en la explotación detectada a través de navegadores, que cayó a mínimos históricos. Ese cambio puede reflejar mejoras defensivas y endurecimiento en superficies tradicionales. Sin embargo, el ajuste no reduce el riesgo, sino que desplaza el interés hacia otros componentes, como el sistema operativo o cadenas que involucren el perímetro empresarial.
Para usuarios, inversionistas y operadores en mercados digitales, estos datos importan por razones prácticas. Una explotación en sistemas operativos o en infraestructura corporativa puede derivar en interrupciones, robo de datos y presiones regulatorias. En empresas vinculadas a cripto, trading, IA o fintech, una brecha puede afectar custodia, APIs y operaciones, aunque el informe no enumeró impactos específicos en ese tipo de compañías.
Pronóstico 2026: más vigilancia comercial y una carrera por la IA
Una de las conclusiones más sensibles del reporte fue el cambio en atribución. Google indicó que en 2025 atribuyó más zero-days a proveedores de vigilancia comercial que a grupos tradicionales de ciberespionaje respaldados por Estados. Estos proveedores suelen desarrollar spyware y exploits y trabajar en nombre de gobiernos para hackear teléfonos de personas, lo que reduce barreras de acceso a capacidades avanzadas.
El informe también afirmó que los grupos de ciberespionaje vinculados a la República Popular China continuaron dominando la explotación de zero-days en 2025. A la vez, señaló que la explotación por grupos motivados financieramente igualó sus niveles anteriores más altos, y atribuyó 9 zero-days a este tipo de actores. En conjunto, el panorama sugiere que múltiples incentivos, desde inteligencia hasta lucro, conviven y compiten.
Mirando hacia 2026, el pronóstico de Google fue que los objetivos y técnicas seguirán expandiéndose a medida que algunos proveedores mejoren defensas, especialmente en navegadores y móviles. En ese contexto, la empresa anticipó que la IA “cambia el juego” y acelerará la carrera entre atacantes y defensores, creando un entorno de amenazas más dinámico.
Finalmente, el reporte mencionó que la campaña de malware BRICKSTORM en 2025, atribuida a operadores de espionaje con nexo con la República Popular China, podría indicar un nuevo paradigma para la explotación de zero-days. La advertencia de fondo es clara: el perímetro corporativo y las capas más profundas del software seguirán siendo terreno de disputa, y los tiempos de reacción serán cada vez más determinantes.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Jueza en Nueva York congela bitcoins de BlockFills tras demanda de Dominion Capital
OpenAI lanza GPT-5.4: versiones Pro y Thinking con contexto de 1 millón de tokens
OpenAI lanza GPT-5.4: agentes con uso nativo de computadora y contexto de 1 millón de tokens
