Fiebre del Oro Zero-Day: Las Bandas de Ransomware Intensifican los Ataques Mientras los Defensores Luchan por Mantener el Ritmo

El exhaustivo análisis de VulnCheck, basado en más de 500 fuentes, deja al descubierto la paradoja de la gestión moderna de vulnerabilidades: los equipos de seguridad se ahogan en datos, pero los ataques reales son impulsados por un puñado implacable de fallos. La mayoría de las vulnerabilidades nunca ven la luz en el mundo real, pero aquellas que sí lo hacen son armadas a una velocidad vertiginosa - muchas veces sin advertencia y, en ocasiones, sin ningún código de exploit público. En 2025, los operadores de ransomware dependieron más que nunca de fallos de día cero, con más de la mitad de los CVE vinculados a ransomware descubiertos primero mediante explotación activa. En estos casos, los grupos criminales mantuvieron sus cadenas de ataque en privado, utilizando exploits propios para adelantarse a los defensores y maximizar sus ganancias.

El informe destaca un patrón preocupante en entornos de tecnología operacional (OT) y empresariales. Las bandas de ransomware y extorsión han cambiado su enfoque hacia la explotación de vulnerabilidades en hipervisores y transferencias de archivos - vectores de ataque que otorgan acceso directo a datos e infraestructuras críticas. Entre los casos más notorios se incluyen días cero en Fortra GoAnywhere MFT, VMware ESXi, Oracle WebLogic y Fortinet FortiOS, con algunas vulnerabilidades aún en uso activo meses después de su divulgación. El infame grupo Cl0p, por ejemplo, ha atacado repetidamente software de transferencia de archivos con días cero, comprometiendo a cientos de organizaciones y millones de personas en campañas de gran alcance.

Mientras tanto, el cartel DragonForce ha combinado objetivos oportunistas con ingeniería social agresiva y explotación de drivers poco conocidos, permitiendo a sus afiliados evadir defensas en los endpoints y atacar sectores como salud, manufactura y gobierno. Incluso botnets como RondoDox se han sumado a la contienda, aprovechando tanto vulnerabilidades antiguas como nuevas para ampliar su alcance en el robo de credenciales y la disrupción.

A pesar del torrente de código de prueba de concepto - gran parte de baja calidad y generado por IA - solo una fracción de las vulnerabilidades llega a ser explotada. Pero aquellas que sí, especialmente las que no cuentan con código de exploit público, representan una pesadilla para los defensores: los ataques llegan sin advertencia, sin parche y, a menudo, sin una ruta forense clara. Las conclusiones de VulnCheck son claras: la brecha entre la ‘señal’ y el ‘ruido’ se está ampliando, y las organizaciones ya no pueden permitirse perseguir cada alerta. En su lugar, deben enfocarse en una defensa basada en inteligencia, el parcheo rápido de fallos de alto riesgo y una comprensión profunda de cómo operan los actores de amenazas en las sombras.

A medida que los grupos de ransomware innovan y operacionalizan nuevos días cero, el riesgo para la infraestructura crítica y las operaciones empresariales se vuelve más agudo. El manual criminal está evolucionando - y rápido. En este juego del gato y el ratón de alto riesgo, solo quienes cuenten con inteligencia aguda y respuesta rápida tendrán alguna oportunidad frente a la próxima ola de caos impulsado por ransomware.