90 zero-days en un ano: el panorama que Google revela sobre 2025
El equipo de Google Threat Intelligence Group (GTIG) acaba de publicar su informe anual sobre vulnerabilidades zero-day, y los numeros son preocupantes: 90 zero-days fueron explotados activamente en 2025, un aumento significativo respecto a los 78 de 2024. Llevo anos siguiendo estos informes y la tendencia es clara: los atacantes estan cambiando de objetivo.
Lo mas alarmante no es la cantidad total, sino hacia donde apuntan: casi la mitad (48%) de estas vulnerabilidades atacaron tecnologia empresarial, un record historico segun el informe oficial de Google.
Las empresas son el nuevo objetivo principal
Por primera vez, la tecnologia empresarial supero a los productos de consumo como objetivo principal de los zero-days. De las 90 vulnerabilidades, 43 (48%) apuntaron directamente a infraestructura corporativa.
| Categoria | Zero-Days 2025 | Zero-Days 2024 | Cambio |
|---|---|---|---|
| Tecnologia empresarial | 43 (48%) | 31 (40%) | +39% |
| Sistemas operativos | 40 (44%) | 35 (45%) | +14% |
| Navegadores web | 8 (9%) | 15 (19%) | -47% |
| Dispositivos moviles | 15 (17%) | 9 (12%) | +67% |
| Total | 90 | 78 | +15% |
Los productos mas atacados
Los firewalls de Cisco y Fortinet, las VPN de Ivanti y las plataformas de virtualizacion de VMware fueron los blancos favoritos. Microsoft encabezo la lista con 25 zero-days, seguido por Google (11), Apple (8) y Cisco (4).
China lidera los ataques con 10 zero-days atribuidos
De los 90 zero-days, Google pudo atribuir 42 a actores especificos. Los grupos vinculados a China explotaron al menos 10 vulnerabilidades, el doble que en 2024. Estos grupos se enfocaron particularmente en dispositivos de borde (edge devices) y equipos de seguridad de red.
La distribucion de actores es reveladora:
- Vendors de spyware comercial (CSV): 18 zero-days (15 confirmados + 3 probables)
- Espionaje estatal (China principal): 15 zero-days (12 confirmados + 3 probables)
- Cibercrimen financiero: 9 zero-days
En mi experiencia analizando amenazas, es la primera vez que los vendors de spyware comercial superan a los espias gubernamentales en explotacion de zero-days. Empresas como las que venden herramientas de vigilancia a gobiernos se han convertido en el mayor vector de ataques sofisticados.
Como te afecta y como protegerte
Si trabajas en IT o gestionas infraestructura empresarial, estas son las acciones inmediatas que debes tomar:
- Actualiza firewalls y VPNs: Cisco, Fortinet e Ivanti lanzaron parches. Aplicalos hoy, no manana
- Revisa VMware vCenter: Multiples zero-days afectaron plataformas de virtualizacion
- Implementa Zero Trust: No confies en ningun dispositivo de borde por defecto
- Monitorea trafico anomalo: Los atacantes usan los propios dispositivos de seguridad como puerta de entrada
Comandos utiles para verificar versiones vulnerables
# Verificar version de firmware Cisco ASA
show version | include Software Version
# Verificar version FortiOS
get system status | grep Version
# Verificar version VMware vCenter
vpxd -v
# Escanear red local por dispositivos con puertos VPN expuestos
nmap -sV -p 443,8443,10443 192.168.1.0/24Problemas comunes en la respuesta a zero-days
Error 1: "Nuestro firewall esta actualizado, estamos seguros." Falso. El informe muestra que los atacantes explotan zero-days ANTES de que exista parche. Solucion: implementa deteccion de comportamiento anomalo, no solo actualices firmas.
Error 2: "Solo las grandes empresas son objetivo." El spyware comercial se vende a cualquier gobierno o entidad con presupuesto. Pymes con datos valiosos tambien son blancos. Solucion: segmentacion de red y autenticacion multifactor obligatoria.
Error 3: "Usamos VPN, estamos protegidos." Ironia: las VPN fueron uno de los productos mas atacados (Ivanti). Solucion: considera alternativas como Cloudflare Zero Trust o Google BeyondCorp.
Que esperar en 2026
El informe advierte que la IA se usara cada vez mas para escalar ataques: reconocimiento automatizado, descubrimiento de vulnerabilidades y desarrollo de exploits asistido por IA. Despues de revisar el reporte completo, mi conclusion es que 2026 sera aun mas intenso en ciberseguridad empresarial.
