Vulnerabilidad de día cero.

La vulnerabilidad de día cero recibe su nombre porque los defensores han tenido "cero días" para preparar una corrección cuando aparece. Estos fallos son muy codiciados: gobiernos, brokers de exploits y grupos criminales pagan sumas de seis y siete cifras por exploits funcionales, y los actores APT los usan para intrusiones sigilosas.

Dos casos muestran el espectro. Stuxnet (2010) encadenó cuatro días cero de Windows hasta entonces desconocidos —incluido el fallo del acceso directo LNK CVE-2010-2568— para propagarse sin conexión y sabotear las centrifugadoras de uranio iraníes. FORCEDENTRY (CVE-2021-30860), corregido por Apple en septiembre de 2021, fue un desbordamiento de enteros de cero clics en el analizador de imágenes CoreGraphics que el Pegasus de NSO Group usó para comprometer iPhones sin ninguna interacción del usuario. El Threat Analysis Group de Google ha registrado en los últimos años cifras récord de días cero explotados de forma activa, la mayoría en navegadores, sistemas operativos móviles y dispositivos de seguridad.

La defensa frente a los días cero se apoya en controles en capas: mitigaciones de explotación (ASLR, CFG/CET, sandboxing), detección conductual con EDR/XDR de la actividad posterior a la explotación, segmentación de red, parche virtual mediante WAF/IPS y divulgación coordinada y rápida una vez que los investigadores los descubren. Una vez que el fabricante publica una corrección, el problema se convierte en una vulnerabilidad n-day, que sigue siendo peligrosa hasta que todos la parchean.

flowchart LR
  A[El fallo existe, el fabricante lo ignora] --> B[El atacante lo descubre]
  B --> C[Lo convierte en arma como exploit]
  C --> D[Explotacion activa en el mundo real]
  D --> E[El fabricante se entera de los ataques]
  E --> F[Se publica el parche]
  F --> G[Ahora es una vulnerabilidad n-day]