El Grupo de Inteligencia de Amenazas de Google informa que los hackers respaldados por gobiernos fueron responsables de la mayoría de los exploits de día cero atribuidos en 2024, con un total de 75 vulnerabilidades rastreadas, lo que muestra una disminución respecto a 2023 pero una tendencia general al alza desde 2022, ya que los atacantes apuntan cada vez más a productos de seguridad y redes empresariales.
El análisis de Google de 2024 reveló que, de las 75 vulnerabilidades de día cero descubiertas, pudieron atribuir la responsabilidad de 34 de ellas a actores de amenazas específicos. Dentro de este subconjunto atribuible, las operaciones de ciberespionaje respaldadas por gobiernos surgieron como la categoría principal, representando el 29% de estas explotaciones. Esto indica que, aunque muchas vulnerabilidades de día cero permanecen sin atribuir, las actividades patrocinadas por estados representan una porción significativa e identificable del panorama de amenazas avanzadas.
El cambio hacia actores gubernamentales liderando la explotación de vulnerabilidades de día cero refleja un énfasis estratégico en objetivos de alto valor y métodos de ataque sofisticados. Estos grupos patrocinados por estados suelen poseer recursos sustanciales y capacidades técnicas avanzadas, lo que les permite desarrollar o adquirir exploits complejos para objetivos específicos. Sus operaciones a menudo tienen como objetivo infraestructuras críticas, agencias gubernamentales y organizaciones que poseen propiedad intelectual valiosa o información estratégica, lo que los convierte en amenazas particularmente peligrosas en el panorama de la ciberseguridad.
Objetivos de Tecnología Empresarial
Los productos de seguridad y redes empresariales se convirtieron en objetivos principales en 2024, representando más del 60% de toda la explotación de vulnerabilidades de día cero en empresas. El cambio es estratégico: comprometer estos dispositivos proporciona a los atacantes un acceso amplio a las redes organizacionales mediante una sola explotación. En general, el 44% (33) de las vulnerabilidades de día cero rastreadas tuvieron como objetivo plataformas empresariales, frente al 37% en 2023, lo que indica una clara tendencia de alejamiento de las tecnologías orientadas al usuario final.
Los dispositivos de seguridad de grandes proveedores como Ivanti, Cisco y Palo Alto Networks sufrieron explotaciones de día cero de alto perfil durante este período. Este cambio refleja tanto la evolución del panorama de amenazas como el impacto de las mejoras en las mitigaciones sobre los objetivos tradicionales, como los navegadores y los dispositivos móviles, que experimentaron caídas significativas en la explotación (navegadores de 17 a 11, dispositivos móviles de 17 a 9). Los atacantes están adaptando sus estrategias, enfocándose en tecnologías empresariales menos protegidas que ofrecen potencialmente mayores recompensas.
Vendedores de vigilancia comercial
Los proveedores de vigilancia comercial (CSV, por sus siglas en inglés) desempeñaron un papel significativo en el panorama de explotación de vulnerabilidades de día cero en 2024, con ocho vulnerabilidades de día cero atribuidas a empresas como NSO Group y Cellebrite. Estas firmas suelen desarrollar y vender herramientas de vigilancia sofisticadas a clientes gubernamentales, creando un preocupante mercado gris de capacidades de intrusión digital. A pesar de enfrentar un escrutinio creciente, los CSV han mejorado su seguridad operativa, lo que dificulta la atribución de sus actividades por parte de los investigadores de seguridad.
La continua prominencia de estos proveedores resalta la demanda persistente por parte de las fuerzas del orden y agencias gubernamentales de capacidades de vigilancia. Fueron especialmente notables los casos que involucraron herramientas de proveedores forenses utilizadas en ataques físicos a dispositivos móviles, como la explotación por parte de Cellebrite de vulnerabilidades de Android en operaciones dirigidas contra activistas. Esta tendencia plantea preguntas importantes sobre la regulación del software espía comercial y el equilibrio entre las necesidades legítimas de seguridad y los posibles abusos a los derechos humanos.
Tendencias de explotación
Si bien el número total de exploits de día cero disminuyó de 98 en 2023 a 75 en 2024, la tendencia a largo plazo muestra un aumento gradual desde 63 en 2022, lo que indica que la explotación de vulnerabilidades de día cero sigue siendo una amenaza persistente. Esta fluctuación refleja el constante juego del gato y el ratón entre atacantes y defensores, con los actores de amenazas adaptando continuamente sus estrategias en respuesta a las mejoras en las medidas de seguridad.
Los esfuerzos de mitigación por parte de los proveedores comienzan a mostrar resultados positivos, especialmente en navegadores y dispositivos móviles, que experimentaron caídas significativas en la explotación en 2024. Funciones como el Modo de Bloqueo de Apple y la Extensión de Etiquetado de Memoria (MTE) de Google han dificultado la explotación, obligando a los atacantes a centrar su atención en tecnologías menos protegidas. A pesar de estas mejoras, los ciberdelincuentes continúan atacando sistemas vulnerables, con 11 vulnerabilidades de día cero atribuidas a actividades como operaciones de ransomware que se centraron principalmente en dispositivos empresariales como VPNs y routers.