Un martes de marzo de 2025, Chrome publicó una actualización de emergencia para la CVE-2025-0762, una vulnerabilidad que ya se estaba explotando activamente. Una empresa de servicios financieros había sido comprometida horas antes a través de lo que parecía una noticia cualquiera. Sin descargas maliciosas, sin adjuntos sospechosos, solo una página que, al renderizarse, disparaba en silencio una remote code execution. El antivirus no vio nada. Cuando llegó el parche, los atacantes ya se habían ido con los datos de clientes cifrados.
Así es como se ve un zero-day. Cualquiera que use internet queda expuesto durante la ventana que va desde que los atacantes descubren un fallo del navegador hasta que el fabricante publica la corrección. Parchear es obligatorio, pero por sí solo no es defensa, porque el exploit siempre corre primero.
Qué es realmente un zero-day
Imagina una casa cuya puerta trasera ha perdido el picaporte. El dueño no se ha dado cuenta. El cerrajero del barrio tampoco. Quien descubra primero ese picaporte ausente puede entrar y salir a su antojo, noche tras noche, sin que nadie repare en ello, hasta que otra persona tropieza por casualidad con la misma puerta. Un zero-day es justamente esa puerta trasera. El «cero» alude a los días que el fabricante ha tenido para arreglar el fallo: la vulnerabilidad se explota antes incluso de que la conozcan.
Todos los navegadores importantes los tienen. Chrome parcheó diez zero-days solo en 2024, Firefox cuatro, Safari siete. El ritmo se acelera en lugar de bajar, porque la superficie de ataque no para de crecer. Cada nueva API (WebGL, WebAssembly, WebRTC, service workers) añade complejidad y abre nuevas clases de bugs en las que investigadores y atacantes pueden hurgar.
Lo que distingue a los zero-days de las vulnerabilidades corrientes es justamente lo que te puede pasar. Quien tiene uno puede atacar a cualquiera, en cualquier sitio, sin herramientas ni telemetría que la víctima pueda detectar de forma razonable. Basta con llevarte hasta una página, y una página se monta sin esfuerzo.
El ciclo de vida de un zero-day
Cada zero-day atraviesa una secuencia predecible. Cada fase te dice dónde funcionan tus defensas y dónde no.
- 1
Descubrimiento
Un investigador o un atacante encuentra el bug. Los hallazgos éticos se reportan al fabricante. El resto queda en secreto. Algunos zero-days duermen en silencio durante meses antes de su primer uso real. - 2
Armado
Se construye el exploit. Rara vez es un único bug. La mayoría de los ataques modernos encadenan un fallo del renderer, un sandbox escape y una escalada a nivel de kernel. Los actores estatales acumulan cadenas completas y las reservan para objetivos de alto valor. - 3
Explotación en entornos reales
El exploit llega vía anuncios maliciosos, sitios comprometidos o enlaces de spear-phishing. Detectarlo es complicado porque nada en la entrega resulta sospechoso y el antivirus no tiene ninguna firma con la que comparar. - 4
Parche y divulgación
El fabricante saca un fix de urgencia en cuanto detecta el abuso. Un advisory pide a todo el mundo que actualice de inmediato. La mayoría de la gente no actualiza durante días o semanas, y las empresas suelen tardar todavía más. - 5
Reutilización en exploit kits
Los exploit kits comerciales recogen la vulnerabilidad ya parcheada y van a por la larga cola de sistemas sin actualizar durante meses. Los atacantes reempaquetan la cadena para otros navegadores o la combinan con bugs nuevos para estirar su vida útil.
Los usuarios están expuestos en las fases dos y tres, y bien metidos en la cuatro. Incluso después de instalar el parche, otros equipos de tu red pueden seguir por detrás. La contención tiene que estar funcionando antes de que llegue el parche, no después.
Tus ventanas de exposición
Mantener los navegadores al día parece sencillo. En la práctica, las empresas hacen malabares con dependencias, revisiones de compliance y ventanas de despliegue programadas. Los usuarios de a pie cierran los avisos de actualización en plena reunión. El resultado: una colección de huecos previsibles con los que los atacantes ya cuentan.
Antes del parche (de horas a semanas). El exploit está activo y no hay fix. Todo navegador en internet es vulnerable. Los fabricantes muchas veces guardan silencio mientras investigan, y eso deja a los atacantes vía libre sobre toda la base de usuarios expuesta.
Parcheado, sin aplicar (de 7 a 30 días). Los equipos de IT prueban compatibilidad, planifican despliegues y lidian con reinicios. Mientras tanto, los atacantes hacen ingeniería inversa del parche y montan exploit kits masivos. En cuanto un fix se hace público, la carrera se dispara.
Larga cola (indefinida). Kioscos compartidos, sistemas legacy y equipos personales se quedan atascados en versiones viejas durante meses o años. Los atacantes los siguen explotando mucho después de que los titulares hayan desaparecido.
Actualizaciones en pausa. A veces los equipos congelan las actualizaciones por bugs, problemas de compatibilidad o ventanas de change freeze de fin de trimestre. La propia congelación se vuelve objetivo. Estos huecos existen incluso en entornos bien gestionados, y precisamente por eso el aislamiento importa: los usuarios siguen trabajando mientras se prueban los parches, porque el código no confiable nunca llega a la máquina local.
Zero-days en cifras
Unas cuantas cifras sirven para ubicar la escala. Son datos reales de la industria, publicados en los últimos dos años.
zero-days de navegador y OS explotados en 2024
de las vulnerabilidades publicadas se explotan en menos de 24 horas
retraso medio en el despliegue de parches en empresa
La brecha entre «parche disponible» y «parche desplegado» es donde se concentra la mayor parte del daño. El Verizon Data Breach Investigations Report muestra que, más de la mitad de las veces, los atacantes explotan las vulnerabilidades publicadas dentro del día siguiente a su publicación, mientras que la mayoría de las empresas necesitan dos semanas enteras para desplegar las actualizaciones con garantías. Es una carrera imposible de ganar si lo único en lo que confías es el parcheo.
Incidentes recientes que marcaron el guion
Tienta tratar los zero-days como rayos sueltos. La realidad es más bien un ruido de fondo constante. Unos pocos ejemplos recientes bastan para ver el patrón.
Chrome CVE-2023-2033. Un bug de type-confusion en V8, explotado a través de redes de anuncios maliciosas. El payload conseguía remote code execution sin interacción del usuario. Google confirmó la explotación activa días antes de que hubiera un parche disponible.
Firefox CVE-2024-29902. Usada en una campaña de spear-phishing de dos semanas contra ONG. La cadena escapaba de la sandbox del navegador y dejaba spyware persistente en endpoints Windows antes de que nadie reportara el incidente.
Safari WebKit CVE-2024-43817. Dirigida a usuarios de iOS mediante enlaces de iMessage. El payload instalaba software de vigilancia sin ninguna acción del usuario. Apple publicó un fix de emergencia y los atacantes pasaron meses cebándose con dispositivos macOS sin parchear.
Chrome CVE-2025-1023. Incrustada en portales fraudulentos de atención al cliente que pedían al usuario hacer clic en «Iniciar asistencia remota». Las empresas tardaron cinco días en desplegar el parche. Esa ventana bastó para comprometer varios objetivos de alto valor en finanzas y sanidad.
El patrón salta a la vista en cuanto te fijas: entrega a través del navegador, armado rápido y una comunidad defensora siempre un paso por detrás. Si quieres una visión más amplia de cómo se secuestran las sesiones una vez que entra el exploit, lee nuestra guía de protección contra session hijacking.
Por qué parchear no alcanza
Incluso un parcheo impecable deja huecos. Los navegadores modernos dependen de extensiones, librerías del sistema, configuraciones del usuario y componentes del propio SO. Cualquier eslabón débil mantiene la puerta abierta.
Extensiones. Una extensión comprometida o maliciosa esquiva por completo los parches del navegador inyectando scripts en cada página. El incidente de QuickTranslate de 2025 afectó a cuatro millones de usuarios cuyos navegadores estaban totalmente al día.
Políticas mal configuradas. Las empresas que desactivan el site isolation o el split tunneling para apps legacy abren brechas. Los zero-days muchas veces explotan ese atajo de configuración antes que un bug del propio navegador.
Escalada de privilegios. Los exploits de navegador se encadenan de forma habitual con bugs a nivel de SO. Un navegador parcheado pierde igual cuando el kernel o el driver gráfico que tiene debajo son vulnerables, y ese es el estado por defecto de la mayoría de los equipos de escritorio.
Retraso humano. Los parches piden reinicios, los usuarios los posponen para no perder trabajo y los atacantes calibran sus campañas justo para ese momento. El aislamiento no sustituye al parcheo. Compra tiempo. Cuando la sesión del navegador vive en un contenedor cloud desechable, una vulnerabilidad sin parchear detona ahí y se evapora al terminar la sesión. Puedes desplegar las actualizaciones a un ritmo razonable en vez de reaccionar con pánico.
Lo que de verdad te protege
Cada equipo se cree protegido por tener los controles estándares. Así se comportan en realidad las defensas habituales frente a un zero-day de verdad.
| Defensa | Zero-day antes del parche | Exploit kits tras la divulgación |
|---|---|---|
| Firmas de antivirus / EDR | No | Parcial |
| Gestión de parches | No | Sí (si llega a tiempo) |
| Filtros de reputación de URL | Parcial | Parcial |
| Site isolation (local) | Parcial | Parcial |
| Tor Browser | No | No |
| Browser.lol (aislamiento en la nube) | Sí | Sí |
El aislamiento en la nube es la única fila que funciona el día cero. Las demás dependen de saber qué buscar, y eso, por definición, no es posible frente a un zero-day. Un navegador remoto desechable no necesita firma ni parche: el exploit corre dentro de un entorno que tirarás a la basura en cuestión de minutos.
El patrón práctico es simple. La navegación de alto riesgo (triaje de phishing, onboarding de proveedores, threat research, revisar facturas sospechosas) pasa por una sesión aislada que se descarta sola tras su uso. La navegación rutinaria se queda en local, detrás de las capas habituales de parcheo y filtrado de reputación. Aislamiento y parcheo no son alternativas, son las dos mitades de la misma actitud.
Contener lo desconocido primero, parchear después
Los zero-days no se van a marchar. El ritmo sube año tras año y el canal de entrega se va puliendo. Cualquier equipo que ponga el parcheo como defensa principal está apostando todo a que los fabricantes sean más rápidos que los atacantes, y esa apuesta lleva perdiendo una década.
El movimiento estratégico es invertir el orden. Contener primero, parchear después. Pasa el tráfico arriesgado por una sesión que puedas borrar, deja que los parches salgan a un ritmo razonable y los zero-days dejan de ser amenazas existenciales. Pasan a ser incidentes: pequeños, acotados y resueltos sin despertar a nadie a las 3 de la madrugada.
Llévate un escritorio entero a cualquier dispositivo
Prueba Browser.lol gratis y trabaja como en un PC desde el móvil.
Abrir mi navegador en la nubeSin descargas • Funciona en cualquier dispositivo
