Una vulnerabilidad zero-day es un fallo de software desconocido por el fabricante, o conocido pero todavía sin parche disponible, que ya está siendo explotada o puede explotarse en cualquier momento sin que la víctima tenga forma estándar de defenderse. La etiqueta "day zero" se refiere precisamente a eso: el día en que la organización dispone de cero días de protección oficial. No hay actualización, no hay firma de antivirus actualizada, no hay regla de IDS publicada. Para el defensor, la única ventana de defensa son los controles genéricos previos, no la respuesta específica al fallo concreto.
Esta guía explica qué entra dentro del concepto de zero-day, el ciclo de vida completo, la diferencia con n-day, el mercado real (bug bounty oficial, mercado gris y mercado negro), quién compra y para qué, casos públicos representativos, el papel del catálogo CISA KEV, por qué un EDR no garantiza detección, las defensas que sí funcionan frente a fallos desconocidos, el debate ético de la divulgación y la priorización razonable para empresas que no son objetivo de actores estatales.
Lo esencial sobre zero-day
- Zero-day es vulnerabilidad sin parche público disponible, explotada o explotable en cualquier momento.
- El ciclo de vida tiene siete fases: descubrimiento, explotación, notificación al vendor, desarrollo de parche, divulgación, despliegue y explotación residual hasta el último sistema parcheado.
- Existe mercado oficial (bug bounty), mercado gris (Zerodium, Crowdfense) con precios públicos de seis y siete cifras, y mercado negro en foros cerrados.
- CISA KEV es la lista operativa de vulnerabilidades con explotación confirmada y cualquier organización debería tratarla como prioridad por encima de CVSS aislado.
- EDR no siempre detecta zero-day porque payload y técnica son nuevos; la defensa real es profundidad en capas, no producto único.
Qué es exactamente una vulnerabilidad zero-day
Una vulnerabilidad zero-day cumple al menos una de estas condiciones:
- El fabricante no conoce el fallo. El descubridor lo guarda en privado o lo está explotando activamente sin notificar.
- El fabricante lo conoce pero todavía no ha publicado parche. La ventana entre notificación y parche público es zero-day operativo desde el punto de vista del defensor.
- Existe parche pero los detalles no son públicos y se está usando in the wild antes de que la mayoría de organizaciones haya actualizado. Algunas fuentes lo consideran zero-day en sentido amplio, otras hablan de n-day inmediato.
Lo que diferencia a una zero-day de cualquier otra vulnerabilidad: no hay aviso oficial CVE público, no hay firma específica en EDR, IDS o WAF, no hay parche que aplicar. Las únicas mitigaciones son configuración, desactivación del componente vulnerable o controles compensatorios genéricos.
Ciclo de vida zero-day
El ciclo completo pasa por siete fases.
Discovery. Alguien encuentra el fallo: investigador académico, equipo de bug bounty, cazador independiente, equipo ofensivo estatal o atacante criminal. La motivación y el destino definen la siguiente fase.
Exploitation in the wild. Si quien lo encuentra es ofensivo, comienza a usarlo en operaciones reales. Los objetivos suelen ser limitados al principio para no quemar el exploit.
Vendor notification. Cuando un investigador responsable o un equipo de detección identifica el fallo, notifica al fabricante por canal de divulgación responsable. Empieza el reloj de respuesta del vendor.
Patch development. El fabricante reproduce el fallo, diseña la corrección y la prueba para evitar regresiones. Plazos típicos van de días para vendors maduros a meses para componentes complejos.
Disclosure. Publicación coordinada del parche, advisory técnica y CVE asociado. Algunos investigadores publican prueba de concepto pasados unos días para fomentar parcheo urgente.
Patch rollout. Las organizaciones reciben el parche y empiezan ciclo interno de pruebas, ventana de mantenimiento y despliegue. En entornos críticos tarda semanas o meses.
Ongoing exploitation. Mientras quede un sistema sin parchear accesible, el fallo sigue explotable. EternalBlue (2017), Log4Shell (2021) o ProxyShell (2021) siguen apareciendo en informes de incidentes recientes.
Zero-day vs n-day vs vulnerabilidad conocida
| Concepto | Parche disponible | Detalles públicos | Riesgo operativo |
|---|---|---|---|
| Zero-day | No | No, o solo entre atacantes | Máximo, sin defensa específica posible |
| N-day reciente | Sí | Sí, con o sin exploit público | Alto si no se ha parcheado en ventana razonable |
| N-day antiguo | Sí | Sí, incluido en herramientas | Medio, depende de exposición y tiempo desde publicación |
| Vulnerabilidad conocida sin explotación | Sí | Sí, sin actividad criminal observada | Bajo, prioridad de mantenimiento estándar |
La diferencia práctica entre zero-day y n-day reciente es menor de lo que parece para una organización con patch management lento. Un atacante oportunista que explota un n-day de tres semanas contra un sistema sin parchear tiene el mismo efecto que un actor sofisticado con zero-day exclusivo: control del activo.
Mercado zero-day
El mercado real de zero-days se reparte en tres canales con clientes, precios y reglas distintas.
Bug bounty oficial
Los programas oficiales pagan a investigadores por reportar fallos directamente al fabricante:
- HackerOne y Bugcrowd. Plataformas multi-cliente con miles de programas activos (Shopify, GitHub, Uber y similares).
- Apple Security Research Device Program. Investigación en iOS con recompensas de cinco a siete cifras según severidad y exclusividad.
- Microsoft Bug Bounty Programs. Familia de programas por producto (Azure, Windows, M365, Edge) con tablas públicas.
- Google Vulnerability Rewards Program. Cubre Android, Chrome, infraestructura Google y open source dependiente.
Los pagos oficiales son inferiores al mercado gris pero ofrecen legalidad, reputación pública y relación con el vendor.
Mercado gris
Empresas legales que compran zero-days y los venden mayoritariamente a gobiernos y agencias. Su actividad genera debate ético constante:
- Zerodium. Pionero en publicar precios. Tabla pública con pagos de seis y siete cifras por exploit chains completos en iOS, Android, Chrome, Safari, Edge.
- Crowdfense. Empresa con sede en Emiratos que compite con Zerodium con tablas similares.
- Trenchant (antes L3Harris Trenchant). Capacidades ofensivas para clientes gubernamentales aliados.
Los precios reportados para cadenas iOS persistentes han llegado al rango de millones de dólares según vendedor y exclusividad. Chrome RCE con sandbox escape se mueve en cientos de miles.
Mercado negro
Foros cerrados en clearnet y dark web donde se compran y venden exploits sin filtros éticos ni legales. Clientes: operadores de ransomware, grupos APT no alineados con compradores grises legales, brokers de acceso inicial. Precios inferiores al gris por mayor riesgo legal y de calidad.
Quién compra zero-days y para qué
Los compradores se agrupan en tres categorías.
Nation-state offensive. Agencias de inteligencia y defensa de potencias mundiales y regionales. Los exploits sostienen operaciones de inteligencia, vigilancia de objetivos definidos y capacidad ofensiva en ciberguerra. La distinción entre uso legítimo contra terrorismo o crimen y abuso contra periodistas, activistas y opositores es uno de los debates abiertos del sector.
Defensive vendors y proveedores de seguridad. Algunos compran zero-days para investigar y mejorar la detección de sus productos. Iniciativas como Zero Day Initiative de Trend Micro compran vulnerabilidades, las reportan al vendor y publican advisory coordinada.
Researchers académicos y privados. Investigadores con bug bounty oficial como destino o consultoras que desarrollan capacidades internas para pentesting avanzado y Red Team. No compran exploits a terceros como norma, los descubren ellos mismos.
Casos públicos representativos
Stuxnet (2010). Gusano atribuido a operación conjunta de EE. UU. e Israel contra infraestructura de enriquecimiento nuclear iraní. Utilizó cuatro zero-days de Windows simultáneamente, hecho excepcional que evidenció el nivel de inversión detrás. Es el caso fundacional de la era zero-day como arma estatal.
Pegasus de NSO Group. Spyware con cadenas iMessage zero-click documentadas por Citizen Lab y Amnesty Tech. Casos identificados públicamente cubren periodistas, activistas y miembros de gobiernos. Las cadenas FORCEDENTRY y BLASTPASS son ejemplos analizados a fondo por Project Zero.
Pwn2Own annual. Concurso patrocinado por Zero Day Initiative donde investigadores demuestran exploits zero-day contra navegadores, sistemas operativos, vehículos y dispositivos IoT. Reporte al vendor inmediato bajo divulgación coordinada de ZDI.
Series Chrome v8. La máquina virtual JavaScript de Chrome ha sido objetivo recurrente de zero-days explotados in the wild. Google publica boletines confirmando explotación activa contra fallos específicos del motor.
CISA KEV catalog
El catálogo Known Exploited Vulnerabilities mantenido por CISA lista vulnerabilidades con explotación confirmada in the wild. La inclusión obliga a agencias federales civiles a parchear en plazos establecidos por la directiva BOD 22-01.
Para una organización privada, KEV es referencia operativa por tres razones: selecciona riesgo real y no teórico (una CVE con CVSS 9.8 sin explotación observada es menos urgente que una CVSS 7.5 incluida en KEV), aporta plazo de parcheo orientativo y ofrece cobertura continua con actualizaciones gratuitas.
Combinado con EPSS (probabilidad estadística de explotación), KEV permite priorizar parcheo de forma cuantitativa por encima de CVSS aislado.
Por qué EDR no siempre detecta zero-day
Un EDR moderno detecta amenazas por combinación de firmas, heurística, comportamiento y, en suites recientes, modelos de machine learning. Frente a un zero-day puede fallar por varios motivos.
- Payload nuevo. El binario, script o cadena de bytes específica no está en bases de inteligencia de amenazas. Las firmas no disparan.
- Técnica nueva. La secuencia de llamadas a sistema o de operaciones de memoria no coincide con patrones de comportamiento conocidos. La heurística no levanta alerta.
- Kernel-level y escalada de privilegios. Exploits que viven en el kernel o explotan controladores firmados tienen capacidad de manipular el propio EDR antes de generar telemetría útil.
- Living off the land. Si el exploit usa solo binarios legítimos del sistema tras conseguir ejecución, la actividad post-exploit puede parecer administración normal.
- Velocidad. Algunas cadenas avanzadas comprometen el sistema y exfiltran datos en minutos. Aunque el EDR detecte algo tarde, el daño ya está hecho.
La conclusión operativa no es que el EDR sea inútil, sino que no es defensa única suficiente frente a actores avanzados con capacidad zero-day. Más detalle en EDR vs XDR vs MDR y EDR evasion con LLM.
Defensas contra zero-day desconocido
Si el atacante usa un fallo que nadie conoce, la defensa es profundidad en capas asumiendo que cada capa puede fallar.
Virtual patching mediante WAF e IPS. Reglas genéricas que bloquean patrones de tráfico anómalos asociados a familias de exploits, no a CVE concretos. Útil para ganar tiempo mientras llega el parche oficial. Más contexto en qué es un WAF.
Defense in depth y assume breach. Ningún control individual decide el resultado. Si el atacante atraviesa la primera capa, la segunda lo contiene, la tercera lo detecta, la cuarta limita el daño.
EDR y UEBA basados en comportamiento. Análisis de comportamiento anómalo de usuarios y endpoints, no solo firmas. Detecta indicadores secundarios incluso cuando el payload inicial es invisible.
Application allowlisting. Solo se ejecuta software autorizado. AppLocker, Windows Defender Application Control o sandboxing por aplicación reducen drásticamente la superficie útil de un exploit.
Least privilege. Si el usuario o servicio comprometido no tiene permisos administrativos, el blast radius queda limitado mientras no encadene con escalada local.
Segmentación de red. Lateral movement difícil cuando los segmentos están aislados con políticas estrictas y zero trust real entre zonas.
Threat hunting proactivo. Búsqueda activa de indicadores en telemetría sin esperar alertas. Más en qué es threat hunting.
Monitorización de CISA KEV y EPSS alto. Prioridad de parcheo basada en explotación real y probabilidad estadística, no solo CVSS.
Ética de la divulgación
Project Zero de Google publica vulnerabilidades 90 días después de notificar al vendor, con extensión de 14 días si el parche está cerca. El plazo es agresivo pero ha contribuido a profesionalizar la respuesta de los fabricantes grandes.
Responsible disclosure clásico no fija plazo automático. Investigador y vendor negocian la fecha de publicación en función de la complejidad del parche.
Full disclosure inmediato es minoritario hoy. Publicar exploit funcional sin parche disponible se considera irresponsable salvo casos excepcionales.
Zero Day Initiative funciona como intermediario: paga al investigador, reporta al vendor, fija plazo y publica advisory coordinada.
Para empresas no nation-state target
La mayoría de organizaciones, incluidas grandes empresas no estratégicas para inteligencia estatal, no son objetivo realista de actores con capacidad zero-day exclusiva. La prioridad razonable:
- Parcheo ágil de n-days en CISA KEV. La mayoría de incidentes por exploits utilizan vulnerabilidades parcheadas con semanas o meses de antelación.
- Hardening básico. Configuración por defecto segura, MFA, segmentación, mínimo privilegio.
- Detección y respuesta funcional. EDR en todos los endpoints, con SOC (interno o MDR) que responda en horas.
- Backups inmutables y plan de respuesta probado.
Obsesionarse con zero-days exclusivos mientras los n-days críticos llevan meses sin parchear es invertir mal. La excepción son sectores diana de operaciones avanzadas: defensa, infraestructura crítica, telecomunicaciones, finanzas sistémicas, política y disidencia.
Preguntas frecuentes
¿Una pyme es objetivo realista de zero-day?
Casi nunca de zero-day exclusivo. Los actores con esa capacidad reservan el exploit para objetivos de alto valor. Una pyme sí es objetivo de n-day reciente sin parchear o de campañas de ransomware oportunistas que explotan vulnerabilidades publicadas hace semanas. Esa es la prioridad real.
¿Comprar zero-day es ilegal?
Depende de jurisdicción y comprador. Comprar en mercado gris regulado (Zerodium, Crowdfense) desde un gobierno es legal en muchos países. Comprar en mercado negro para usar contra terceros sin autorización es delito en cualquier jurisdicción con código penal moderno. Para una empresa privada española, el camino legal es bug bounty propio o contratación de Red Team interno o externo con alcance autorizado.
¿Virtual patching es realmente efectivo?
Es defensa parcial útil para ganar tiempo. Funciona bien para fallos en aplicaciones web detrás de WAF moderno, con reglas que cubren la familia de exploit. No reemplaza al parche real. Una organización no debería operar indefinidamente con virtual patch como única medida, pero usar la ventana de días o semanas hasta el parche oficial está justificado.
¿Pegasus puede estar en mi smartphone?
Para ciudadanos privados no objetivo de inteligencia estatal, la probabilidad estadística es muy baja. Para periodistas que cubren temas sensibles, activistas, opositores políticos, miembros de gobierno o defensores de derechos humanos, la probabilidad sube y existen indicadores forenses publicados por Citizen Lab y Amnesty Tech que ayudan a verificar. El Mobile Verification Toolkit es la herramienta de referencia para análisis.
¿El machine learning del EDR detecta zero-day?
A veces. Los modelos detectan comportamientos anómalos parecidos a familias conocidas. Pueden disparar sobre técnicas nuevas que comparten patrones con técnicas históricas. No detectan de forma fiable cadenas sofisticadas diseñadas específicamente para evadirlos. La capa ML es complemento, no garantía.
¿KEV de CISA es mejor que CVSS para priorizar?
Para priorización operativa, sí. CVSS mide severidad teórica del fallo, KEV confirma explotación real observada. Una vulnerabilidad CVSS 7.5 incluida en KEV es prioridad mayor que una CVSS 9.8 sin explotación documentada. La combinación recomendada es KEV + EPSS + contexto del activo (exposición, criticidad para el negocio).
Recursos relacionados
- Qué es un CVE: identificador estándar sobre el que se publican las advisories y se rastrea el ciclo de las vulnerabilidades.
- Qué es un exploit: código o técnica que convierte una vulnerabilidad, zero-day o n-day, en efecto operativo.
- Qué es EDR: detección y respuesta en endpoint, capa fundamental pero no suficiente frente a zero-day avanzado.
- Qué es threat hunting: búsqueda activa de indicadores que ayuda a descubrir actividad zero-day antes de las firmas oficiales.
- EDR vs XDR vs MDR: comparativa de modelos de detección y respuesta gestionada.
- EDR evasion con LLM: cómo los modelos generativos están cambiando la economía de evasión y qué implica para defensa.
Programa de vulnerability management con Secra
En Secra acompañamos a clientes en tres frentes complementarios al riesgo zero-day. Primero, diseño y revisión de programa de vulnerability management con priorización por CISA KEV y EPSS, métricas reales de tiempo hasta parcheo y políticas de virtual patching coordinadas con el equipo de operaciones. Segundo, ejercicios de Red Team que validan empíricamente si los controles defensivos detectan explotación de n-days recientes y patrones equivalentes a zero-day mediante técnicas living off the land. Tercero, consultoría sobre arquitectura defense in depth para sectores con perfil de riesgo elevado: segmentación, mínimo privilegio, allowlisting de aplicaciones y modelo de respuesta. Si tu organización quiere medir su exposición real a vulnerabilidades explotadas activamente, escríbenos a través de contacto o consulta nuestro servicio de Red Team.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.