El número de vulnerabilidades zero-day explotadas activamente se mantuvo elevado en 2025, pero con un cambio relevante en los objetivos: los atacantes están centrando cada vez más sus esfuerzos en infraestructura empresarial, dispositivos de red y plataformas críticas, según el informe anual del Google Threat Intelligence Group.
El estudio Look What You Made Us Patch: 2025 Zero-Days in Review señala que los investigadores detectaron 90 vulnerabilidades zero-day explotadas en entornos reales durante 2025. La cifra es inferior al récord de 100 registrado en 2023, pero superior a las 78 de 2024, lo que confirma que este tipo de explotación se mantiene en niveles elevados en los últimos años.
Más allá del volumen, el informe destaca un cambio estructural: 43 vulnerabilidades —el 48% del total— afectaron a software corporativo y dispositivos de infraestructura, el porcentaje más alto registrado hasta ahora.
Infraestructura y dispositivos de seguridad, nuevos puntos de entrada
Dentro de ese grupo, aproximadamente la mitad de los fallos explotados se localizaron en equipos de seguridad y dispositivos de red, como firewalls, VPN o appliances corporativos. Estos sistemas suelen situarse en el perímetro de las organizaciones y ofrecen acceso privilegiado a la red, lo que los convierte en objetivos especialmente atractivos.
El informe advierte además de que los dispositivos de borde —routers, switches o appliances de seguridad— siguen siendo objetivos de alto valor para lograr acceso inicial a las redes corporativas, en parte porque muchos carecen de capacidades avanzadas de detección.
Los sistemas operativos continúan siendo la categoría más explotada, con el 44% de todas las vulnerabilidades zero-day registradas en 2025.
También se detectó un repunte en el ámbito móvil, con 15 zero-days en dispositivos móviles, frente a los 9 identificados el año anterior. En muchos casos, los atacantes utilizaron cadenas de explotación que combinaban varias vulnerabilidades.
Por el contrario, los fallos en navegadores han disminuido y representan menos del 10% de las explotaciones observadas, lo que podría reflejar mejoras en los mecanismos de protección.
Las empresas de spyware superan por primera vez a los actores estatales
Uno de los cambios más relevantes del informe es el perfil de los actores implicados. Por primera vez, las empresas comerciales de vigilancia (commercial surveillance vendors) han estado vinculadas a más ataques zero-day que los grupos tradicionales de ciberespionaje patrocinados por Estados.
Estas compañías desarrollan herramientas de explotación y spyware para clientes gubernamentales, ampliando el acceso a capacidades de ataque avanzadas.
Aun así, los grupos de ciberespionaje vinculados a China siguen siendo los actores estatales más activos, especialmente en ataques dirigidos a dispositivos de red y seguridad para mantener acceso persistente a redes estratégicas.
De cara a 2026, el informe advierte de que la inteligencia artificial podría acelerar el descubrimiento y desarrollo de exploits, al automatizar tareas como el reconocimiento de sistemas o la identificación de vulnerabilidades. Al mismo tiempo, estas tecnologías también pueden ayudar a los defensores a detectar fallos antes de que sean explotados y mejorar la respuesta ante incidentes.
