El último relevamiento de Google Threat Intelligence muestra que la explotación de zero-days sigue alta y se desplaza hacia plataformas empresariales. Analizamos el impacto operativo y un plan de acción práctico para infraestructura, endpoints y respuesta.
La explotación de zero-days no se está frenando. Según el reporte publicado por Google Threat Intelligence Group (GTIG) y difundido esta semana por múltiples medios del sector, en 2025 se observaron 90 vulnerabilidades zero-day explotadas activamente. Aunque el número queda por debajo del pico de 2023, marca un nivel sostenido de presión para equipos de infraestructura, seguridad y operaciones que ya trabajan al límite.
La señal más relevante no es solo la cantidad. Lo que más debería preocupar a perfiles SysAdmin/DevSecOps es el tipo de superficie atacada: appliances de seguridad, equipamiento de red, VPN, plataformas de virtualización y sistemas empresariales con acceso privilegiado. Es decir, activos “centrales” que suelen estar menos instrumentados que un endpoint moderno y, cuando caen, habilitan movimiento lateral de alto impacto.
Para este análisis se revisaron 4 fuentes principales: el reporte y cobertura de BleepingComputer, antecedentes públicos del equipo TAG de Google sobre uso de zero-days por proveedores de spyware comercial, métricas de explotación activa en catálogos KEV de CISA y tendencias de explotación en infraestructura perimetral observadas en reportes recientes de la industria. El patrón es consistente: menos ruido, más precisión y mejor retorno para el atacante.
Qué dice el dato de “90 zero-days” y por qué importa
El número 90 puede leerse de dos formas: por un lado, representa un incremento respecto de 2024; por otro, confirma que no estamos frente a un evento aislado sino ante una nueva normalidad operativa. La explotación de vulnerabilidades desconocidas o sin parche disponible sigue siendo un vector rentable para espionaje, fraude y extorsión.
El informe destaca además una distribución muy útil para priorizar esfuerzos:
- Una porción relevante se concentró en plataformas empresariales.
- Persisten casos de impacto alto en sistemas operativos de escritorio y móviles.
- Se mantiene la presión en componentes expuestos a Internet con alto privilegio.
- La memoria insegura y fallas de validación siguen apareciendo como clases técnicas recurrentes.
Para operaciones, esto se traduce en una conclusión directa: la estrategia de “parchear cuando haya tiempo” ya no alcanza. Hoy se necesita una disciplina de reducción de superficie + detección temprana + contención rápida.
El cambio de foco: del endpoint al plano de control
Durante años, la conversación de zero-days estuvo dominada por navegador y endpoint. Ese riesgo sigue, pero la explotación efectiva se está inclinando con fuerza hacia entornos donde un solo compromiso abre demasiadas puertas: consolas de administración, herramientas de seguridad, hipervisores, pasarelas VPN, balanceadores y servicios de identidad.
Este corrimiento tiene lógica económica para el atacante. Comprometer un equipo aislado puede requerir persistencia adicional; comprometer un activo de control permite tocar políticas, secretos, rutas y credenciales con mayor velocidad. En otras palabras, menos esfuerzo por unidad de impacto.
Para SysAdmin y DevSecOps, el aprendizaje es claro: hay que tratar esos sistemas como crown jewels operativos. No basta con “están actualizados”. Hace falta segmentación real, hardening continuo, logging útil y pruebas periódicas de recuperación.
Por qué 2026 puede ser igual o más exigente
La expectativa para 2026 es de presión sostenida. Varias tendencias confluyen:
- Automatización asistida por IA para acelerar descubrimiento de fallas y armado de exploits.
- Mercados de acceso inicial más maduros, que reducen barreras de entrada para campañas complejas.
- Dependencias críticas concentradas (mismos vendors y arquitecturas) que amplifican el impacto sistémico.
- Superficies híbridas (on-prem + cloud + SaaS + edge) con controles de seguridad desalineados.
La consecuencia práctica: no se trata de “si” habrá intentos de explotación sobre activos críticos, sino de cuánto tardará la organización en detectarlos y limitar daño.
Plan operativo recomendado (48 horas, 30 días y trimestre)
Primeras 48 horas
- Inventariar activos expuestos de alto privilegio (VPN, firewalls, consolas, hipervisores, IAM).
- Aplicar mitigaciones compensatorias inmediatas: restricción de acceso administrativo, MFA fuerte, allowlists de gestión.
- Activar monitoreo específico sobre comportamientos de post-explotación: creación anómala de cuentas, cambios de política, ejecución remota inusual.
- Validar backups de configuración y credenciales de emergencia fuera de banda.
Próximos 30 días
- Establecer SLO de parcheo basado en criticidad y exposición, no en ventanas heredadas.
- Separar plano de administración del plano de usuario con segmentación efectiva.
- Reducir privilegios permanentes: usar elevación just-in-time y cuentas administrativas efímeras.
- Instrumentar telemetría en equipos de red y appliances que históricamente quedaron fuera del EDR.
Próximo trimestre
- Ejecutar ejercicios de respuesta orientados a zero-day en infraestructura crítica.
- Medir MTTD/MTTR real en escenarios de explotación de edge y management plane.
- Incorporar validación de controles en CI/CD para cambios de seguridad en infraestructura como código.
- Definir una política formal de “degradación segura” para mantener continuidad ante parcheos urgentes.
Métricas que sí ayudan a decidir
Si el objetivo es bajar riesgo real, conviene dejar de mirar solo cantidad de CVE cerrados y empezar a seguir métricas operativas:
- Tiempo desde advisory crítico hasta mitigación efectiva en activos expuestos.
- Porcentaje de sistemas de control con MFA resistente a phishing.
- Cobertura de logging accionable en red, identidad y administración.
- Tasa de activos críticos sin propietario técnico explícito.
- Tiempo de revocación total de credenciales tras incidente.
Estas métricas conectan seguridad con continuidad del negocio, y ayudan a priorizar inversión donde realmente cambia el resultado.
Cierre
El dato de los 90 zero-days explotados en 2025 no es una estadística más: es una advertencia sobre la velocidad y profesionalización del ecosistema ofensivo. Para equipos SysAdmin y DevSecOps, la respuesta efectiva combina ingeniería y disciplina operativa: menos superficie, menos privilegio, más visibilidad y respuesta más rápida.
La buena noticia es que no hace falta esperar una reestructuración completa para mejorar postura. Con foco en activos críticos y ejecución consistente, es posible reducir de forma tangible la probabilidad de impacto severo en 2026.
Posts Relacionados
CVE-2026-28289 en FreeScout: riesgos del ataque zero-click por correo y plan de mitigación para equipos de infraestructura
Ciberoperaciones ofensivas y riesgo de retaliación: playbook técnico para proteger infraestructura crítica
Zero Trust adaptativo: cómo aplicar User Risk Scoring para reducir exposición en accesos corporativos
Cisco confirma explotación activa adicional en SD-WAN: prioridades de mitigación para CVE-2026-20122 y CVE-2026-20128
Debian publica DSA-6155-1 para SPIP: riesgos reales y plan de mitigación para equipos SysAdmin y DevOps
Phobos RaaS: qué cambia tras la declaración de culpabilidad de su administrador y cómo ajustar la defensa operativa