Datos clave

• Fortinet ha revelado dos vulnerabilidades zero-day activamente explotadas en su firewall de aplicaciones web FortiWeb en cuestión de semanas.
• Google parcheó su séptima vulnerabilidad zero-day de Chrome en 2024, con atacantes apuntando al motor JavaScript V8 del navegador.
• Ambas compañías confirmaron ataques reales que explotaban estos fallos antes de que hubiera soluciones disponibles.
• Las vulnerabilidades de Fortinet permitían a hackers autenticados ejecutar comandos no autorizados en los dispositivos; las de Chrome permitían a sitios web maliciosos ejecutar código peligroso de forma remota.
• Las agencias federales de EE.UU. recibieron la orden de parchear urgentemente los dispositivos Fortinet después de que CISA señalara la amenaza.

La tormenta zero-day: se despliega la escena

Imagina una ciudad abarrotada donde cada puerta cerrada de repente tiene una llave secreta e invisible - una que ya está en manos de ladrones al acecho. Esa es la realidad actual para las organizaciones globales, mientras los ciberdelincuentes corren para explotar vulnerabilidades “zero-day” previamente desconocidas en los cerrojos digitales que protegen sus sistemas más sensibles.

Esta semana, Fortinet y Google - dos titanes de la ciberseguridad - se vieron obligados a dar la voz de alarma. Ambos reportaron que los hackers no solo estaban buscando debilidades; ya estaban dentro, explotando fallos antes de que los defensores pudieran reaccionar.

Dentro de los ataques: ¿qué ocurrió?

Los problemas de Fortinet giran en torno a FortiWeb, un popular firewall de aplicaciones web utilizado por empresas y gobiernos en todo el mundo. El último zero-day, identificado como CVE-2025-58034, permite a atacantes que hayan iniciado sesión (incluso con permisos limitados) enviar comandos especialmente diseñados, engañando al sistema para ejecutar código no autorizado. Esta técnica de “inyección de comandos” es como susurrar una frase secreta a un guardia que entonces abre todas las puertas del edificio, sin hacer preguntas.

El exploit no era un riesgo meramente teórico: Fortinet confirmó ataques reales, y Trend Micro detectó unos 2,000 incidentes en la naturaleza. Solo la semana pasada, se reveló otro zero-day de FortiWeb (CVE-2025-64446), utilizado por hackers para crear nuevas cuentas de administrador en dispositivos expuestos. Las agencias federales de EE.UU. recibieron un plazo urgente para parchear antes de que los atacantes pudieran profundizar más.

Mientras tanto, Google enfrentaba su propia crisis. El navegador Chrome, usado por miles de millones, fue golpeado por su séptimo zero-day este año. La vulnerabilidad (CVE-2025-13223) se escondía en el motor V8 de Chrome - el código que ejecuta JavaScript en los sitios web. Aquí, un error de “confusión de tipos” permitía que un sitio malicioso engañara a Chrome para leer mal los datos, abriendo la puerta a la ejecución remota de código. En términos simples: solo visitar el sitio equivocado podía permitir a los hackers tomar el control de una computadora.

Un patrón de amenazas en aumento

Los ataques zero-day se han convertido en una herramienta favorita tanto de ciberdelincuentes como de actores estatales. La saga de Fortinet refleja esta tendencia: el año pasado, hackers vinculados a China usaron fallos en el VPN de Fortinet para infiltrarse en una red militar holandesa. Chrome también es un objetivo frecuente - el Grupo de Análisis de Amenazas de Google descubre regularmente vendedores de spyware y grupos respaldados por gobiernos que explotan fallos del navegador para vigilar a periodistas, disidentes y opositores políticos.

¿Por qué este aumento? A medida que los defensores mejoran la detección y respuesta, los atacantes se ven obligados a quemar sus activos más valiosos: vulnerabilidades no reveladas. El mercado de zero-days está en auge, con precios que alcanzan cientos de miles de dólares por un solo exploit de navegador.

Movimientos defensivos y el camino a seguir

Tanto Fortinet como Google respondieron rápidamente, publicando parches y exhortando a los usuarios a actualizar de inmediato. Sin embargo, como muestran estos incidentes, el parcheo es una carrera contra el tiempo. Muchas organizaciones se quedan atrás, creando una ventana peligrosa en la que los atacantes pueden golpear primero.

Para los equipos de seguridad, la conclusión es clara: los zero-days ya no son raros, y la respuesta rápida es esencial. Para el resto de nosotros, es un recordatorio de que detrás de cada experiencia digital fluida, se libra una batalla entre quienes construyen cerraduras y quienes están decididos a romperlas.

WIKICROOK

• Zero: Una vulnerabilidad zero-day es una falla de seguridad oculta, desconocida para el fabricante del software y sin solución disponible, lo que la hace sumamente valiosa y peligrosa para los atacantes.
• Firewall de Aplicaciones Web (WAF): Un Firewall de Aplicaciones Web (WAF) monitorea y filtra el tráfico web, bloqueando patrones de ataque conocidos para proteger las aplicaciones web de amenazas cibernéticas.
• Inyección de Comandos: La inyección de comandos es una vulnerabilidad donde los atacantes engañan al sistema para ejecutar comandos no autorizados insertando entradas maliciosas en campos o interfaces de usuario.
• Confusión de Tipos: La confusión de tipos es un error de programación donde el software interpreta incorrectamente los tipos de datos, lo que puede permitir a los atacantes ejecutar código malicioso o comprometer la seguridad.
• Ejecución Remota de Código: La ejecución remota de código permite a los atacantes ejecutar comandos en tu computadora a distancia, lo que a menudo conduce a la toma total del sistema y al robo de datos.