Más del 60 % de los ataques Zero-Day en 2024 se dirigieron a tecnologías de seguridad y redes empresariales

La explotación de vulnerabilidades de tipo Zero-Day —aquellas que son aprovechadas antes de que se publique un parche— sigue siendo uno de los principales desafíos de la ciberseguridad global. Así lo constata el último informe publicado por Google Threat Intelligence Group (GTIG), titulado Hello 0-Days, My Old Friend: A 2024 Zero-Day Exploitation Analysis, que analiza los patrones y tipos de ataques detectados a lo largo del último año.

Zero-Day en 2024

Durante 2024, el grupo de inteligencia de amenazas de Google, que integra los equipos de Mandiant Intelligence y Threat Analysis Group (TAG), rastreó un total de 75 vulnerabilidades de tipo Zero-Day, una cifra inferior a las 98 registradas en 2023, pero superior a las 63 de 2022. Según el GTIG, este descenso representa una fluctuación dentro de una tendencia ascendente más amplia.

El informe distingue entre dos grandes categorías de objetivos: plataformas y productos de usuario final (como navegadores, dispositivos móviles y sistemas operativos) y tecnologías empresariales. Es en esta última categoría donde se ha producido un notable aumento en la actividad maliciosa: más del 60 % de las vulnerabilidades Zero-Day que afectaron a entornos corporativos estuvieron relacionadas con productos de seguridad y redes. Esto supone un claro indicio de que los atacantes están priorizando los sistemas empresariales críticos, aprovechando la creciente dependencia de infraestructuras tecnológicas complejas en las organizaciones.

Dirigidas a productos empresariales

Otra de las conclusiones relevantes del estudio es que el 44 % de todas las vulnerabilidades Zero-Day detectadas en 2024 se dirigieron a productos empresariales, frente al 37 % registrado en 2023. Este aumento se debe, principalmente, al incremento de los ataques contra soluciones de seguridad y conectividad de red.

En cuanto a los actores responsables de estas amenazas, el informe señala que más del 50 % de los ataques atribuidos fueron llevados a cabo por grupos involucrados en operaciones de ciberespionaje, ya sean respaldados por gobiernos o contratistas comerciales de vigilancia (CSV). Por primera vez, se ha identificado que tanto actores vinculados a Corea del Norte como a China fueron responsables de cinco explotaciones cada uno.

Casey Charrier, Senior Analyst, Google Threat Intelligence Group, ha explicado: “La explotación de Zero-Day sigue creciendo a un ritmo lento pero constante. Sin embargo, también hemos empezado a ver que el trabajo de los proveedores para mitigar la explotación de Zero-Day empieza a dar sus frutos. Por ejemplo, hemos observado menos casos de explotación de Zero-Day dirigidos a productos que han sido históricamente populares, probablemente debido a los esfuerzos y recursos que muchos grandes proveedores han invertido para evitar la explotación.

Al mismo tiempo, estamos viendo cómo la explotación de Zero-Day se dirige cada vez más a productos centrados en la empresa, lo que requiere un conjunto más amplio y diverso de proveedores para aumentar las medidas de seguridad proactivas. El futuro de la explotación de Zero-Day vendrá dictado en última instancia por las decisiones de los vendedores y su capacidad para contrarrestar los objetivos y persecuciones de los actores de amenazas”.

RSA Conference 2024

La publicación de este informe ha coincidido con la celebración de la RSA Conference 2024 en San Francisco, uno de los principales foros internacionales sobre ciberseguridad. Durante el evento, Google Cloud anunció novedades relevantes en su oferta de seguridad, destacando avances en inteligencia de amenazas, aplicaciones de IA en ciberseguridad y servicios de Mandiant Consulting para respuesta a incidentes y defensa proactiva.

El informe del GTIG pone de relieve un cambio de foco en los ataques Zero-Day hacia infraestructuras críticas empresariales, especialmente tecnologías de seguridad y redes. Este patrón confirma la necesidad de una estrategia de protección más integral y colaborativa, en la que tanto grandes proveedores como nuevos actores tecnológicos fortalezcan sus sistemas frente a un entorno de amenazas cada vez más sofisticado.