Noventa vulnerabilidades explotadas antes de que existiera un parche. Ese es el número que el Google Threat Intelligence Group (GTIG) pone sobre la mesa en su revisión anual de zero-days para 2025. No es un récord, anteriormente, el año 2023 cerró en 100, pero confirma algo más inquietante que cualquier cifra. El ecosistema de explotación se está estabilizando, diversificando y sobre todo, comercializando a una velocidad que los defensores no terminan de absorber.

El informe no es una colección de estadísticas. Es un mapa del adversario moderno: quién explota, qué explota, cómo lo hace y lo más revelador, por qué puede permitírselo.

El giro estructural que lleva dos años construyéndose

Desde 2024, GTIG había advertido un desplazamiento, los atacantes dejaban de concentrarse en usuarios finales y apuntaban hacia infraestructura empresarial. En 2025 ese desplazamiento se consolidó como tendencia irreversible.

43 de los 90 zero days —el 48%— impactaron tecnologías enterprise. Nuevo máximo histórico. Los dispositivos de borde, VPNs, appliances de seguridad y plataformas de virtualización concentraron la mitad de esa cifra. La razón es operativa, comprometer un firewall perimetral o un controlador de acceso no solo da entrada, da acceso privilegiado a todo lo que hay detrás sin necesidad de moverse lateralmente con ruido.

Fuente: Google Threat Intelligence Group (GTIG), 2026. El volumen anual se mantiene dentro de un rango de 60–100 desde 2021, señalando una nueva normalidad operativa para los defensores.

El patrón no muestra una curva de crecimiento explosivo sino una meseta entre 60 y 100 anuales. Eso es incluso más preocupante que un pico: significa que la industria del exploit ha encontrado su velocidad de crucero. El tiempo medio entre la publicación de un parche y su explotación activa fue de 322 días, casi un año de ventana operativa para el adversario.

Enterprise vs. usuario final: dónde está el dinero real

El split entre tecnologías enterprise y productos de usuario final revela una estrategia adversarial clara. El 52% de los zero-days siguió apuntando a plataformas de usuario, sistemas operativos de escritorio, móviles y browsers. Pero es el bloque enterprise el que creció de forma sostenida y el que concentra el mayor impacto por incidente.

Fuente: Google GTIG, 2026. Seguridad y networking concentran el 23% del total; desktop OS el 27%; mobile el 17%; browsers apenas el 9%.

Los dispositivos de seguridad y networking acumularon 21 zero-days dentro del bloque enterprise. La ausencia de EDR en la mayoría de estos appliances, routers, switches, firewalls los convierte en puntos ciegos para los defensores: cuando el dispositivo está comprometido, no hay telemetría host que lo delate. Por eso son el objetivo favorito de los grupos de espionaje estatal con nexo en China, que necesitan persistencia silenciosa a largo plazo más que ruido inmediato.

Cómo opera el adversario moderno: tres perfiles, una misma urgencia

El informe desglosa los actores atribuidos en 42 zero-days únicos. Lo que emerge no es un solo tipo de enemigo, sino tres perfiles con motivaciones distintas que convergen en los mismos objetivos.

El espionaje estatal con nexo en China lideró entre los actores estatales, con al menos 10 zero-days atribuidos. Los grupos UNC5221 y UNC3886 operaron con un patrón reconocible: comprometer dispositivos de red en el perímetro CVE-2025-0282 en Ivanti, CVE-2025-21590 en Juniper para establecer foothold persistente sin generar ruido en los endpoints donde vive el EDR. Además, GTIG documentó una campaña de malware BRICKSTORM que va más allá del robo de datos operacionales: los atacantes sustrajeron código fuente e IP de desarrollo de las víctimas.

El objetivo probable es acelerar su propio pipeline de investigación de vulnerabilidades. Es decir, robar para explotar mejor.

Los grupos financieramente motivados registraron nueve zero days atribuidos, empatando casi el máximo histórico de 2023. FIN11, operador habitual de la marca CL0P explotó CVE-2025-61882 y CVE-2025-61884 contra entornos Oracle EBS semanas antes de que existiera un parche, seguido de una campaña de extorsión masiva a ejecutivos de las organizaciones afectadas.

El ransomware ya no es el único vector de monetización; la extorsión directa sobre datos robados creció como alternativa cuando el cifrado no es viable.

Los proveedores de vigilancia comercial (CSV) son el hallazgo más significativo del año. Por primera vez desde que GTIG lleva este registro, los CSV superaron a los grupos de espionaje estatal en número de zero-days atribuidos: 15 frente a 12. Intellexa, ampliamente documentada por distribuir spyware a clientes gubernamentales, adaptó sus operaciones y cadenas de exploit durante 2025 para sortear nuevas mitigaciones de seguridad en móviles.

Fuente: Google GTIG, 2026. 20 vendors adicionales registraron exactamente un zero-day cada uno, evidenciando la amplitud del surface de ataque enterprise.

Microsoft concentra 25 zero-days, más del doble que el siguiente en la lista, por razón de escala su omnipresencia en infraestructura corporativa lo convierte en el objetivo con mayor retorno por inversión adversarial. Sin embargo, el dato más revelador del gráfico es la cola larga: 20 vendors con un zero-day cada uno. Los atacantes no necesitan esperar a que Microsoft publique un parche, simplemente se mueven al siguiente proveedor que nadie está monitorizando.

El frente móvil: más complejo, no más fácil

Los zero-days en móviles rebotaron de nueve en 2024 a 15 en 2025. La explicación no es que los fabricantes fallaran más, sino que los atacantes tuvieron que trabajar más. Las cadenas de exploit ahora encadenan tres o más vulnerabilidades para alcanzar componentes de alta protección.

Un caso ilustrativo: CVE-2025-21042 en la librería Quram de Samsung permitía ejecución de código en el proceso com.samsung.ipservice con un solo bug de corrupción de memoria, sin mitigaciones CFI compiladas. La imagen maliciosa llegaba vía WhatsApp, un clic era suficiente para comprometer todo el MediaStore del dispositivo. Por otro lado, los browsers cayeron por debajo del 10% del total mínimo histórico, lo que sugiere que el hardening de Chrome, Firefox y Safari está funcionando.

Aunque GTIG advierte: también es posible que los atacantes simplemente mejoraron su OPSEC y sus acciones sean más difíciles de detectar.

Defensa ante zero-days: lo que realmente reduce la superficie

La realidad operativa es que ninguna organización puede parchear en tiempo cero. El objetivo defensivo no es eliminar la exposición sino reducir el radio de explosión cuando un zero-day se activa. Las medidas con mayor retorno de inversión, según los datos del propio informe, son:

• Segmentación de red estricta: Los dispositivos de borde y los DMZ deben estar aislados de los controladores de dominio y los activos críticos. Un appliance comprometido no debería tener ruta directa al AD. Combinar esto con una estrategia de Zero Trust en arquitecturas de red es lo que marca la diferencia entre contener un incidente y sufrir una brecha completa.
• Inventario de activos en tiempo real: Sin un SBOM actualizado, la respuesta ante un zero-day como Log4j se convierte en una cacería manual de semanas. El inventario es el prerrequisito, no el lujo.
• Monitorización de comportamiento sobre firmas: Los zero-days, por definición, no tienen firma. La detección debe basarse en anomalías: comandos de shell inesperados, consultas SQL anómalas, ejecución de procesos fuera de baseline. Un SOC con capacidad de threat hunting multiplica la efectividad de cualquier control preventivo.
• Carril de emergencia para parches críticos: El tiempo medio de 322 días entre divulgación y explotación es también una oportunidad. Los parches que cierran vulnerabilidades en dispositivos de borde deben tener un proceso de aprobación separado del ciclo estándar. Ese ciclo estándar mata la ventana de defensa.

La explotación de vulnerabilidades sigue siendo el vector de acceso inicial número uno en las investigaciones de Mandiant, por encima de credenciales robadas y phishing. Eso no va a cambiar mientras la superficie de ataque enterprise siga expandiéndose con cada nueva integración de software.

¿Tu organización sabe cuántos appliances de red tiene expuestos con firmware sin parche de los últimos 18 meses? Esa respuesta determina qué tan cerca estás de aparecer en el próximo informe.