Zero-Day
CríticoZero-Day / Vulnerabilidad de Día Cero
Definición
Una vulnerabilidad Zero-Day (0-day) es una falla de seguridad que es desconocida para el fabricante del software y para la que no existe parche disponible. El término 'día cero' significa que el desarrollador ha tenido cero días para corregir el problema. Estas vulnerabilidades son extremadamente valiosas tanto para atacantes como en mercados legítimos de seguridad.
Impacto
Sin parche disponible, todos los sistemas afectados son vulnerablesAlto valor en mercados de exploits (cientos de miles de euros)Uso en ataques dirigidos y APT (Advanced Persistent Threats)Pueden permanecer sin descubrir durante meses o añosImpacto masivo cuando se descubren en software ampliamente utilizado
Ejemplos
Ejemplos históricos de Zero-Days
Log4Shell (CVE-2021-44228) fue un zero-day en Apache Log4j que permitía RCE y afectó a millones de aplicaciones Java globalmente. Antes de su divulgación, se estima que fue explotado activamente durante al menos dos semanas. Los programas de bug bounty de mayor recompensa suelen pagar las cantidades más altas por zero-days críticos.