En 2025 se explotaron un total de 90 vulnerabilidades de día cero. según un informe publicado el jueves por el grupo de inteligencia sobre amenazas de Google.
De ese total, casi la mitad de las vulnerabilidades explotadas se utilizaron contra tecnología de nivel empresarial, lo que marca un máximo histórico.
La explotación por parte de grupos patrocinados por el estado se centró en las herramientas de seguridad y redes con un fuerte énfasis en los dispositivos de borde, que a menudo carecen de capacidades de respuesta y detección de terminales, según los investigadores de GTIG.
Los grupos del nexo con China siguen siendo los grupos patrocinados por el Estado más prolíficos, con una larga historia de conocimiento detallado de los dispositivos vulnerables.
«Tienen un importante ecosistema de desarrollo de día cero que incluye la industria, la academia y el gobierno», dijo a Cybersecurity Dive John Hultquist, analista jefe de GTIG.
Se atribuyeron al menos 10 días cero a grupos de espionaje del nexo con China en 2025, el doble que en 2024, escribieron los investigadores del GTIG. Entre las campañas notables, un actor de amenazas rastreado como UNC3886 explotó un Fallo de aislamiento inadecuado en enrutadores Juniper MXrastreado como CVE-2025-21590.
Un grupo del nexo con China rastreado como UNC5221 fue más recientemente vinculado a ataques que involucra el malware Brickstorm.
El informe advierte que la IA será cada vez más importante para escalar y acelerar la actividad de amenazas. Los piratas informáticos utilizarán cada vez más la IA para realizar reconocimientos, descubrir nuevas vulnerabilidades y desarrollar exploits.
«El descubrimiento de vulnerabilidades, el uso de armas y el despliegue de exploits se pueden mejorar con estas capacidades, creando potencial para que la explotación sea más rápida que nunca», dijo a Cybersecurity Dive Casey Charrier, analista senior de inteligencia de vulnerabilidades de GTIG.
En un cambio notable, los investigadores de GTIG dijeron que los proveedores comerciales de vigilancia estuvieron involucrados en más de un tercio de los ataques de día cero, superando por primera vez a los grupos de espionaje patrocinados por el estado. De los 42 días cero únicos que se atribuyeron a actores específicos, los proveedores de vigilancia estuvieron involucrados en 15, mientras que los grupos vinculados al estado estuvieron involucrados en 12.
«Estos proveedores son los principales impulsores del mercado de día cero y a menudo ofrecen soluciones llave en mano para todo el ciclo de vida del ataque», dijo James Sadowski, analista de CTI de Google.
Estos proveedores desarrollan lo que es comúnmente conocido como software espía y centrarse en gran medida en explotar dispositivos móviles y navegadores web.
Fuente