Ciberamenazas y contramedidas

Ataque de día cero

Se lee en aproximadamente 4 minutos

Última actualización: 2026-01-22

Qué es un ataque de día cero

Un ataque de día cero (Zero-Day Attack) es un ataque que explota una vulnerabilidad durante el período de "0 días" entre el descubrimiento de una vulnerabilidad en el software y la provisión de un parche (programa de corrección) por parte del desarrollador. Como no existe un parche, la defensa convencional mediante aplicación de parches no funciona.

Las vulnerabilidades de día cero se comercializan a precios elevados en el mercado negro, y una vulnerabilidad de ejecución remota de código en iOS puede alcanzar varios millones de dólares. Se utilizan frecuentemente en ciberataques a nivel estatal y ataques dirigidos avanzados (APT), representando una amenaza más grave que el cibercrimen común.

Desde la perspectiva de la gestión de vulnerabilidades, los días cero son una categoría de amenaza diferente a las "vulnerabilidades conocidas" y requieren un enfoque distinto.

Ciclo de vida de un ataque de día cero

  1. Descubrimiento de la vulnerabilidad: Un atacante (o investigador de seguridad) descubre una vulnerabilidad desconocida en el software.
  2. Desarrollo del exploit: Se crea el código (exploit) que explota la vulnerabilidad.
  3. Ejecución del ataque: Se utiliza el exploit para atacar al objetivo. En este punto no existe un parche.
  4. Divulgación de la vulnerabilidad: Se detecta el ataque o un investigador de seguridad reporta la vulnerabilidad.
  5. Provisión del parche: El desarrollador crea y distribuye el programa de corrección.
  6. Aplicación del parche: Los usuarios aplican el parche. Durante este período, los ataques continúan.

El nombre proviene de que el período desde el descubrimiento hasta el ataque es de "0 días", pero en realidad hay casos en los que la vulnerabilidad se explota en secreto durante varios meses.

Casos reales

  • Log4Shell (2021): Vulnerabilidad descubierta en la biblioteca de registro de Java Log4j (CVE-2021-44228). Afectó a cientos de millones de servidores en todo el mundo, y los ataques a gran escala comenzaron dentro de las 24 horas posteriores a su divulgación. La profundidad de las dependencias en la cadena de suministro amplificó el daño.
  • Microsoft Exchange Server (2021): Un grupo de ataque de origen chino combinó 4 vulnerabilidades de día cero para atacar. Decenas de miles de organizaciones fueron comprometidas antes de que se proporcionara el parche.
  • Stuxnet (2010): Arma cibernética a nivel estatal que explotó múltiples vulnerabilidades de día cero en Windows para destruir las centrifugadoras de las instalaciones nucleares de Irán. Un caso que dio a conocer al mundo la amenaza de los ataques de día cero.

Como demuestran estos casos, los ataques de día cero afectan a todos los niveles, desde individuos hasta infraestructuras nacionales.

Medidas de defensa contra ataques de día cero

Para ataques donde no existe un parche, el enfoque de defensa en profundidad (Defense in Depth) es indispensable.

  • Uso de WAF: Los firewalls de aplicaciones web pueden detectar y bloquear no solo patrones de ataque conocidos, sino también patrones de solicitud anómalos. Tienen efecto mitigador contra algunos ataques de día cero.
  • Segmentación de red: Limitar el alcance del daño en caso de compromiso. Aislar los sistemas importantes y dificultar el movimiento lateral.
  • Principio de privilegios mínimos: Otorgar solo los privilegios mínimos necesarios a usuarios y procesos. Incluso si se explota una vulnerabilidad, se pueden limitar los privilegios que obtiene el atacante.
  • EDR (Endpoint Detection and Response): Monitorear el comportamiento de los endpoints y detectar actividades anómalas (inicio de procesos desconocidos, comunicaciones de red sospechosas). Efectivo contra ataques de día cero que no pueden ser detectados por antivirus basados en firmas.
  • Pruebas de penetración: Probar periódicamente los sistemas de la organización desde la perspectiva del atacante para descubrir vulnerabilidades potenciales.
  • Preparación de un plan de respuesta a incidentes: Como es imposible prevenir completamente los ataques de día cero, preparar de antemano un plan de detección, respuesta y recuperación asumiendo que se producirá un compromiso.

Conceptos erróneos comunes

Los ataques de día cero no afectan a las personas comunes
Si existe una vulnerabilidad de día cero en un navegador o sistema operativo, los usuarios comunes también pueden verse afectados. Las vulnerabilidades en bibliotecas ampliamente utilizadas como Log4Shell pueden afectar indirectamente a través de los servicios que se utilizan.
El software antivirus puede prevenir los ataques de día cero
El software antivirus convencional detecta basándose en firmas (patrones de malware conocido), por lo que no puede responder a ataques desconocidos. Se necesitan EDR de nueva generación con capacidades de detección de comportamiento y sandbox.

Términos relacionados

Gestión de vulnerabilidades El proceso continuo y cíclico de descubrir, evaluar, priorizar y remediar vulner… WAF (Web Application Firewall) Una solución de seguridad que monitorea, filtra y bloquea tráfico HTTP/HTTPS mal… Ataque a la cadena de suministro Un ataque que se infiltra en el pipeline de desarrollo, compilación o distribuci… Pruebas de penetración Un método proactivo de evaluación de seguridad donde profesionales autorizados s… Respuesta a incidentes Un proceso sistemático y estructurado para detectar, contener, erradicar y recup…

Artículos relacionados

Ataques a la cadena de suministro - La nueva amenaza que explota la confianza Comprende cómo funcionan los ataques a la cadena de suministro de software, ejemplos reales y estrat… Guía de protección contra ransomware - Defensa ante ataques de extorsión Una guía completa para entender el ransomware, sus vectores de infección, estrategias de prevención …
← Glosario