ofensiva
exploit
0-day
N-day

Qué es un exploit: tipos, CVE, 0-day, ejemplos y defensa

Qué es un exploit, tipos (RCE, LPE, info disclosure, DoS), diferencia con CVE, ejemplos reales (EternalBlue, Log4Shell), 0-day vs N-day y defensa.

Secra10 de mayo de 202613 min de lectura

Un exploit es el código o técnica que aprovecha una vulnerabilidad para conseguir un efecto no previsto en el sistema atacado. Los efectos habituales: ejecutar comandos, leer memoria, elevar privilegios, evadir un control de seguridad o tumbar un servicio. La vulnerabilidad es el bug; el exploit es la herramienta que lo convierte en problema real. Una vulnerabilidad sin exploit conocido es un riesgo teórico. Un exploit funcional, público o privado, es un riesgo operativo inmediato.

Esta guía explica qué es exactamente un exploit, los cinco tipos según el efecto (RCE, LPE, disclosure, DoS, bypass), la diferencia precisa entre vulnerabilidad, CVE y exploit, los conceptos 0-day y N-day, ejemplos reales que cualquier responsable debería conocer (EternalBlue, Log4Shell, ProxyShell, Spring4Shell, ConnectWise ScreenConnect), cómo se construye un exploit profesional, dónde se distribuye y cómo se defiende una organización con recursos realistas.

Qué es un exploit

Un exploit es el conjunto de pasos, código o payload que aprovecha un fallo de software (la vulnerabilidad) para producir un efecto que el desarrollador no contempló. Las tres ideas clave:

  1. Sin vulnerabilidad no hay exploit. El exploit es la consecuencia operativa de un fallo previo. Si el fallo se parchea, el exploit deja de funcionar contra esa versión.
  2. Sin código funcional no hay riesgo real. Una vulnerabilidad teórica documentada en una asesoría sin prueba de concepto pública es bajo riesgo. Una con exploit en GitHub o en Metasploit es alto.
  3. Exploit no es lo mismo que ataque completo. El exploit es la pieza que consigue el efecto inicial (ejecución, lectura, evasión). El ataque completo lo encadena con persistencia, movimiento lateral, exfiltración.

Lo que aporta al atacante:

  • Acceso inicial sin necesidad de credenciales si el exploit es de servicios expuestos.
  • Escalada de privilegios cuando ya tiene un foothold básico.
  • Evasión de controles (firewall, antivirus, sandbox) cuando hay que entregar más malware.
  • Acceso a datos cuando explota un info disclosure.

Lo que limita:

  • Parches lo neutralizan. Política de patch management ágil cierra el vector.
  • Detección moderna (EDR, IDS, sandbox) reduce la ventana útil del exploit antes de que dispare alerta.
  • Mitigaciones de exploitación (ASLR, DEP, Control Flow Guard, Stack Canaries) hacen que muchos exploits clásicos no funcionen contra versiones modernas sin trabajo adicional.

Tipos de exploit según efecto

Los cinco efectos que cubren prácticamente todo el panorama operativo.

Remote Code Execution (RCE)

El más buscado. Permite ejecutar código arbitrario en el sistema vulnerable a través de la red, sin autenticación previa o con credenciales de bajo privilegio. Es el efecto que aparece en 0-days críticos cuyo CVSS pasa de 9.

Ejemplos: EternalBlue (CVE-2017-0144) contra SMBv1, Log4Shell (CVE-2021-44228) en Apache Log4j, ProxyShell (CVE-2021-34473) en Microsoft Exchange, Spring4Shell (CVE-2022-22965) en Spring Framework, ScreenConnect auth bypass (CVE-2024-1709).

Local Privilege Escalation (LPE)

El atacante ya está dentro como usuario sin privilegios y eleva a SYSTEM, root, Administrator o equivalente. Combinado con un RCE de bajo privilegio, completa la cadena hasta control total del host.

Ejemplos: PrintNightmare (CVE-2021-34527), DirtyPipe (CVE-2022-0847) en kernel Linux, vulnerabilidades de Win32k, abuso de tokens en Windows.

Information Disclosure

Permite leer datos que no se deberían exponer: memoria de proceso, ficheros de configuración, contenido de bases de datos, claves criptográficas. No da control directo pero alimenta la siguiente fase del ataque.

Ejemplos: Heartbleed (CVE-2014-0160) en OpenSSL, Spectre y Meltdown (vulnerabilidades de CPU), info disclosure en aplicaciones web por mensajes de error verbosos o IDORs (Insecure Direct Object References).

Denial of Service (DoS)

Tumba el servicio o el sistema. Aunque parece menos sofisticado, en contextos críticos (bancos, infraestructura, servicios de salud) es daño grave y entra en alcance regulatorio (NIS2 disponibilidad, DORA continuidad operacional).

Ejemplos: SQL Slammer (CVE-2002-0649), recientes vulnerabilidades de protocolos como HTTP/2 Rapid Reset (CVE-2023-44487).

Bypass de controles de seguridad

Saltarse autenticación, autorización, MFA, o controles antimalware. No introduce código ejecutable nuevo pero permite operar como otro usuario o evitar la detección.

Ejemplos: bypass de autenticación en CitrixBleed (CVE-2023-4966), evasión de Windows Defender por configuración, abuso de tokens de sesión robados en bypass de MFA. Familia que se solapa con Man in the Middle cuando se usan kits AitM.

Vulnerabilidad, CVE y exploit: distinción operativa

La confusión entre los tres términos es frecuente.

  • Vulnerabilidad. El fallo en sí. Puede ser de software (buffer overflow, SQL injection, hardcoded credentials), de configuración (servicio expuesto, permisos demasiado amplios) o de diseño (protocolo sin autenticación).
  • CVE. Identificador único asignado por MITRE a vulnerabilidades públicas. Sirve de lenguaje común para que múltiples fuentes hablen del mismo bug. Detalle en la guía de qué es un CVE.
  • Exploit. El código o técnica que aprovecha la vulnerabilidad. Puede ser un PoC didáctico, un módulo Metasploit, un script en Python, un kit comercial.

Una vulnerabilidad puede tener cero, uno o muchos exploits asociados. La explotabilidad real depende del exploit disponible, no solo de la severidad CVSS. Una vulnerabilidad CVSS 9.8 sin exploit funcional público representa menos riesgo operacional inmediato que una CVSS 7.0 con exploit fiable en GitHub.

0-day frente a N-day

La distinción más relevante en threat intelligence.

0-day (zero-day)

Vulnerabilidad o exploit del que solo el atacante (o un grupo limitado) tiene conocimiento. El fabricante todavía no la conoce o no ha publicado parche. El defensor está ciego.

Características: precio alto en mercados especializados (Zerodium, Crowdfense pagan cifras de seis y siete dígitos por cadenas iOS/Chrome completas), uso muy selectivo para no quemarlo, mantenido en secreto durante meses o años.

Defensa: mitigaciones genéricas (segmentación, EDR comportamental, threat hunting), arquitectura zero-trust, protección de cuentas críticas. Ningún parche posible hasta que el fabricante lo descubra.

N-day

Vulnerabilidad pública con parche disponible. La N representa el número de días desde la publicación. Cuanto mayor la N y aún no parcheada, peor.

La mayoría de incidentes en empresa media son N-day, no 0-day. ProxyShell, Log4Shell y EternalBlue siguen explotándose hoy en organizaciones que no han parcheado años después.

Defensa: patch management ágil, escaneo de vulnerabilidades, prioridad por CVSS y por evidencia de explotación activa (catálogo KEV de CISA, exploits públicos, listados como ExploitDB).

Ejemplos reales documentados

Casos imprescindibles para cualquier responsable de seguridad.

EternalBlue (2017). Exploit RCE contra SMBv1 de Windows desarrollado por NSA y filtrado por Shadow Brokers. Permitía ejecución remota sin autenticación. Microsoft publicó parche (MS17-010) en marzo. WannaCry lo usó en mayo, NotPetya en junio, BadRabbit en octubre. Daño combinado superior a 14.000 millones de dólares.

Heartbleed (2014). Vulnerabilidad en OpenSSL (CVE-2014-0160). Lectura de memoria del servidor por mal manejo del heartbeat TLS. Permitió robar claves privadas, sesiones, credenciales de aproximadamente 500.000 servidores HTTPS afectados antes del parche.

Log4Shell (2021). RCE no autenticado en Apache Log4j (CVE-2021-44228). Una librería de logging Java que ejecutaba código arbitrario al loguear strings con formato JNDI especial. CVSS 10.0. Afectó a casi cualquier producto enterprise Java en producción. La fase de remediación se extendió durante meses por la profundidad del impacto.

ProxyShell (2021). Cadena de tres CVEs (CVE-2021-34473, 34523, 31207) en Microsoft Exchange. RCE sobre servidores Exchange on-premise. Operadores de ransomware (Conti, BlackByte) y APTs (Hafnium) lo aprovecharon a escala. Sigue apareciendo en organizaciones con Exchange sin parchear.

Spring4Shell (2022). RCE en Spring Framework (CVE-2022-22965). Aplicaciones Spring Boot vulnerables permitían ejecución arbitraria por manipulación de propiedades en deserialización.

ConnectWise ScreenConnect (2024). Auth bypass + path traversal (CVE-2024-1709, 1708). Compromiso de servidores RMM usados por miles de MSPs. Vector preferente para campañas de ransomware contra cliente final via proveedor.

Citrix Bleed (2023). CVE-2023-4966 en NetScaler. Permitía robar tokens de sesión legítimos sin autenticación. Activamente explotado por LockBit y otros operadores de ransomware contra grandes corporaciones. Caso paradigmático de N-day con exploit público que pilló a muchos sin parchear.

Cómo se construye un exploit profesional

El proceso real, simplificado.

  1. Análisis de la vulnerabilidad. Lectura del advisory, diff del parche, ingeniería inversa de funciones afectadas.
  2. Identificación del primitivo. ¿Qué control de la víctima permite ganar el bug? Sobreescritura de un puntero, control del flow de ejecución, lectura arbitraria, manipulación de heap.
  3. Prueba de concepto (PoC). Código mínimo que reproduce el efecto en laboratorio.
  4. Weaponización. Convertir el PoC en algo fiable y stealth: bypass de mitigaciones (ASLR, DEP, CFG), shellcode estable, control de errores, encoding.
  5. Pruebas en distintos entornos. Diferentes versiones del software, parches, sistemas operativos. Un exploit serio funciona en el 90% de configuraciones objetivo.
  6. Distribución. Publicación responsable en frameworks (Metasploit, Nuclei templates, ExploitDB) o uso privado en operaciones.

Frameworks legítimos donde aparecen exploits con propósito defensivo y educativo:

  • Metasploit Framework (Rapid7). Exploit y post-exploitation modular. Estándar en pentesting.
  • ExploitDB. Repositorio histórico de PoCs públicos.
  • Nuclei (ProjectDiscovery). Templates para escaneo de vulnerabilidades web a escala.
  • GitHub. PoCs académicos y comerciales liberados tras el periodo responsible disclosure.

Mercados grises o ilegales donde se compran exploits 0-day:

  • Zerodium, Crowdfense, Trenchant. Brokers que pagan a investigadores y revenden a gobiernos y servicios de inteligencia.
  • Mercados underground. Foros y marketplaces donde se ofrecen exploits, RaaS y kits con financiación cripto.

Cómo se defiende una organización

Las medidas que cierran realmente la puerta, ordenadas por impacto.

  • Patch management ágil con priorización. SLA por severidad: críticas en 14 días, altas en 30, medias en 60. Priorización real por catálogo KEV de CISA y por explotación activa observada, no solo por CVSS.
  • Inventario completo. No se puede parchear lo que no se conoce. CMDB actualizada, escaneo continuo, descubrimiento de shadow IT.
  • Vulnerability management. Plataforma que correlaciona inventario con feeds CVE y prioriza. Productos: Tenable, Qualys, Rapid7 InsightVM.
  • Threat intelligence. Suscripción a feeds que indican qué CVEs se explotan en campo (KEV, Mandiant, CrowdStrike, Recorded Future). Más detalle en qué es threat hunting; el framework MITRE ATT&CK clasifica el patrón bajo la técnica T1190 Exploit Public-Facing Application.
  • EDR / XDR moderno. Detecta el comportamiento post-explotación (shellcode en memoria, procesos hijos anómalos de servicios web, llamadas a APIs sensibles).
  • WAF y rate limiting. Capa que mitiga el riesgo en aplicaciones web frente a exploits que requieren peticiones específicas, especialmente útil en la ventana antes de parchear.
  • Segmentación de red. Limita el blast radius cuando un exploit funciona en un sistema concreto.
  • Hardening de sistema operativo. ASLR, DEP, Control Flow Guard, exploit protection en Windows; SELinux/AppArmor en Linux.
  • Pentesting periódico. Validar empíricamente si los controles detectan ejecución de exploits comunes en frameworks legítimos.
  • Programa de divulgación responsable. Tener canal público para investigadores que reporten bugs antes que el atacante los descubra.

Encaje con compliance

La gestión del riesgo de exploits cubre puntos directos en marcos vigentes:

  • NIS2 (artículo 21). Gestión de vulnerabilidades técnicas, gestión de incidentes, parcheo. Sin programa formal documentado, la posición ante el supervisor es indefendible.
  • DORA (artículos 6, 9, 10). Resiliencia ICT en servicios financieros. Gestión de vulnerabilidades formalizada con métricas.
  • ISO 27001:2022 (control 8.8). Gestión de vulnerabilidades técnicas. Auditoría externa exige proceso documentado.
  • ENS Real Decreto 311/2022 (op.exp.5). Gestión de cambios y parches.
  • PCI DSS v4.0 (req. 6.3). Gestión de vulnerabilidades para componentes que procesen datos de tarjeta.
  • RGPD. Una explotación con exfiltración de datos personales es brecha notificable en 72 horas.

Preguntas frecuentes

¿Diferencia entre exploit y malware?

El exploit es la técnica que consigue un efecto en el sistema vulnerable (ejecución, lectura, escalada). El malware es el código malicioso final que se ejecuta tras un compromiso. Muchos malware llevan exploits empotrados (gusanos como WannaCry usan EternalBlue), pero la distinción importa: parchear cierra exploits; el malware como tal sigue existiendo y entra por otros vectores.

¿Tener un CVE crítico significa que estoy comprometido?

No automáticamente. Significa que estás expuesto si se cumple lo siguiente: el sistema vulnerable es accesible al atacante, no hay mitigaciones efectivas, existe exploit funcional. La presencia de los tres factores eleva el riesgo a alto y obliga a parchear urgente o aplicar mitigación.

¿Cuánto tarda un atacante en explotar un CVE crítico tras la publicación?

Según informes recientes (Mandiant, Rapid7, Sophos), los atacantes oportunistas escanean masivamente CVEs críticos en menos de 24-48 horas tras publicación. Para entornos expuestos, parchear en menos de una semana es la única ventana realista de seguridad.

¿Qué es Metasploit y para qué sirve?

Es el framework de pentesting más usado del mundo. Reúne exploits, payloads, módulos auxiliares y herramientas post-explotación con un interfaz consistente. Usado por equipos defensivos para validar parches y por equipos rojos para pruebas autorizadas. Es legal poseerlo y usarlo en sistemas propios o con autorización formal; usarlo contra terceros sin permiso es delito.

Investigar vulnerabilidades en sistemas propios o autorizados es legal. La investigación responsable que termina en advisory público es valorada por la comunidad. Lo que es ilegal: probar exploits contra sistemas de terceros sin autorización formal (artículo 197 bis del Código Penal), comercializar exploits a actores delictivos, distribuir armas digitales para finalidad criminal (artículo 197 ter). El programa de bug bounty estructurado es la forma legítima de monetizar la investigación.

¿0-day para iOS o Android cuesta lo que dicen?

Sí, los precios públicos publicados por Zerodium o Crowdfense son reales. Una cadena completa para iOS o Android moderno en 2024-2026 paga en el rango de millones de dólares según vendedor y exclusividad. Reflejan dificultad, mercado de inteligencia y el coste de oportunidad para el investigador.

¿La IA generativa cambia la economía de los exploits?

Parcialmente. Acelera fases del análisis de bugs y la generación de PoCs en código vulnerable conocido. No sustituye a investigador experimentado para vulnerabilidades complejas en sistemas modernos con mitigaciones. La frontera 2024-2026 es que la IA reduce el coste de explotación de N-days, no la creación de 0-days sofisticados.

Recursos relacionados

Gestión de exploits y patch management en Secra

En Secra trabajamos del lado del cliente en tres situaciones típicas: revisión de programa de gestión de vulnerabilidades existente (cobertura, SLAs reales, métricas), ejercicios Red Team que validan empíricamente si los controles defensivos detectan explotación de N-days frescos en el entorno, y consultoría sobre priorización por catálogo KEV y threat intelligence específica del sector. Si tu organización tiene Active Directory grande, segmentos heredados sin parchear, aplicaciones legacy expuestas o nunca ha medido cuánto tarda en parchear una crítica desde la publicación oficial, escríbenos a través de contacto o consulta nuestro servicio de Red Team.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

ofensiva

Ataques Kerberos en Active Directory: Kerberoasting, Golden Ticket y delegaciones

Cómo funciona Kerberos en Active Directory y guía técnica de Kerberoasting, AS-REP Roasting, Golden Ticket, delegaciones y DCSync, con detección y mitigación.

2026-05-1015 min
ofensiva

DorkGPT: cómo la IA generativa está acelerando OSINT y Google Dorking

Qué es DorkGPT, cómo los LLM aceleran Google Dorking para OSINT y Red Team, riesgos legales, limitaciones reales y defensa frente al reconocimiento por IA.

2026-05-1011 min
ofensiva

Qué es Maltego: OSINT, threat intelligence e investigación gráfica

Qué es Maltego, cómo funcionan entidades y transforms, versiones CE/Pro/Enterprise, casos de uso OSINT y Red Team, alternativas y aspectos legales.

2026-05-1015 min