El año 2024 dibujó un nuevo mapa de riesgos en ciberseguridad. Aunque se detectaron menos exploits de día cero que en 2023, un análisis de Google señala un cambio alarmante: los ataques se concentran cada vez más en la infraestructura empresarial crítica, con los actores estatales a la cabeza de las operaciones más sofisticadas.
El año 2024 marcó una nueva etapa en la evolución de las ciberamenazas, caracterizada por la explotación de 75 vulnerabilidades de día cero, según el análisis del Grupo de Inteligencia de Amenazas de Google (GTIG). Estas vulnerabilidades, definidas como fallos de seguridad desconocidos para los proveedores y, por tanto, sin parche disponible en el momento de su primer uso malicioso, representan una de las herramientas más potentes en el arsenal de los actores de amenazas. Aunque la cifra de 75 supone un descenso respecto a las 97 registradas en 2023, se enmarca dentro de una tendencia general al alza si se compara con las 63 de 2022, sugiriendo que la explotación de estas brechas críticas sigue siendo una táctica persistente y en crecimiento.
Un giro estratégico
Uno de los hallazgos más significativos de 2024 fue el marcado giro de los atacantes hacia objetivos empresariales. Casi la mitad de las vulnerabilidades de día cero explotadas, un 44%, apuntaron directamente a productos y plataformas corporativas, un aumento notable frente al 37% del año anterior. Dentro de este ámbito, el software de seguridad y los dispositivos de red se convirtieron en el epicentro de la actividad maliciosa, con gigantes como Cisco, Palo Alto Networks e Ivanti sufriendo brechas significativas. Más del 60% de los exploits dirigidos a empresas se concentraron en estos dispositivos críticos.
Este cambio de enfoque no es casual. Comprometer un dispositivo de seguridad o de red centralizado puede otorgar a los atacantes un acceso amplio y persistente a toda la infraestructura de una organización a través de una única vulnerabilidad explotada. A medida que las defensas en los puntos finales tradicionales (navegadores y dispositivos móviles) se fortalecen gracias a las mitigaciones implementadas por los proveedores, los actores de amenazas redirigen sus recursos hacia áreas empresariales que, históricamente, podrían haber recibido menos escrutinio en términos de seguridad frente a exploits de día cero.
Espionaje estatal y vigilancia comercial
El análisis de atribución, aunque complejo, reveló que los actores respaldados por gobiernos, principalmente con fines de ciberespionaje, fueron una fuerza dominante detrás de la explotación de días cero en 2024. Más de la mitad de los ataques tuvieron vínculos con operaciones de espionaje. Grupos asociados a China estuvieron implicados en la explotación de cinco vulnerabilidades distintas, mientras que actores vinculados a Corea del Norte también explotaron cinco, combinando en algunos casos el espionaje con motivaciones financieras, una táctica observada por primera vez en este grupo, destaca el informe de Google.
Junto a los actores estatales, los vendedores de vigilancia comercial (CSVs, por sus siglas en inglés) continuaron siendo actores relevantes, vinculados a ocho exploits de día cero. Estas empresas, que desarrollan y venden herramientas de intrusión a clientes gubernamentales, operan en una zona gris que dificulta la atribución y plantea serias preocupaciones éticas. Además, se atribuyeron 11 exploits a actores con motivaciones puramente financieras, a menudo ligados a operaciones de ransomware, que también mostraron una clara preferencia por dispositivos empresariales como VPNs y routers.
Plataformas de usuario final
Si bien el foco se desplazó hacia el entorno empresarial, las plataformas de usuario final no quedaron indemnes, representando el 56% de los exploits. Sin embargo, se observaron descensos notables. Los ataques contra navegadores web cayeron un 35%, de 17 en 2023 a 11 en 2024, siendo Google Chrome el objetivo principal. De forma similar, los exploits dirigidos a dispositivos móviles se redujeron casi a la mitad, pasando de 17 a 9. Este descenso se atribuye, en parte, al éxito de las medidas de mitigación implementadas por los proveedores, como el «Lockdown Mode» de Apple o la «Memory Tagging Extension» (MTE) de Google en Android, que elevan el coste y la complejidad de desarrollar exploits funcionales.
No obstante, esta tendencia a la baja no fue uniforme. Los sistemas operativos de escritorio, en particular Microsoft Windows, vieron un aumento en los ataques, pasando de 16 vulnerabilidades explotadas en 2023 a 22 en 2024, consolidándose como un objetivo prioritario. Grupos como RomCom explotaron vulnerabilidades en Firefox y Windows para atacar objetivos en Europa.
Adaptación y vigilancia continua
El panorama de los ataques de día cero en 2024 demuestra la naturaleza dinámica y adaptativa de las ciberamenazas. Aunque las mejoras en seguridad y las acciones de mitigación de los proveedores están logrando reducir la ventana de oportunidad en ciertos vectores como navegadores y móviles, los atacantes responden desplazando su atención hacia infraestructuras empresariales críticas.
La persistencia de actores estatales y comerciales sofisticados, junto con la creciente amenaza del cibercrimen organizado, subraya la necesidad imperativa de mantener una postura de seguridad proactiva. Esto incluye la aplicación rigurosa y oportuna de parches, la adopción de arquitecturas de seguridad robustas y una vigilancia constante para detectar y responder a las tácticas emergentes, especialmente aquellas dirigidas al corazón de las redes corporativas, enfatiza el informe Google, considerando que las vulnerabilidades de día cero mantendrán su atractivo para los actores de amenazas. La carrera armamentista digital continúa, y la defensa contra los exploits de día cero sigue siendo un desafío crucial para la seguridad global.
