Tu router, objetivo perfecto: Google explica por qué los hackers han dejado de atacar los navegadores
Por primera vez, los vendedores de software espía superan a los servicios de inteligencia en número de vulnerabilidades detectadas
En 2025 los atacantes utilizaron activamente vulnerabilidades de día cero, aunque el récord de años anteriores se mantuvo. La unidad de análisis de amenazas de Google calculó 90 de esas vulnerabilidades que se emplearon en ataques reales antes de la publicación de los parches. La cifra fue inferior a los 100 casos récord en 2023, pero superior al resultado de 2024, cuando se detectaron 78 problemas similares. El panorama general en los últimos años apenas cambia. El número de ataques se mantiene en el rango de 60–100 vulnerabilidades por año.
El principal cambio de los últimos años está relacionado con el aumento de ataques a la infraestructura corporativa. En 2025 los expertos registraron 43 vulnerabilidades de día cero en productos y dispositivos corporativos, lo que representa el 48% de todos los casos detectados. La cifra fue récord. Los atacantes atacan activamente dispositivos de red, herramientas de protección y otros elementos de la infraestructura en el perímetro de la red. Los enrutadores, conmutadores y pasarelas de red a menudo funcionan sin sistemas de detección de amenazas, por lo que la intrusión en esos dispositivos puede permanecer sin ser detectada durante mucho tiempo.
En ese contexto, el número de ataques a través de navegadores se redujo considerablemente y cayó al nivel mínimo de los últimos años. Los desarrolladores reforzaron la seguridad de los navegadores, por lo que los atacantes cambiaron a otros objetivos. Los sistemas operativos fueron los más atacados. A ellos correspondieron 39 vulnerabilidades de día cero, es decir, el 44% de todos los casos detectados. Se trata tanto de sistemas de escritorio como de plataformas móviles.
El número de ataques a dispositivos móviles volvió a aumentar. En 2025 se detectaron 15 vulnerabilidades móviles de día cero frente a 9 el año anterior. La razón está parcialmente relacionada con la mayor complejidad de los ataques. Muchas operaciones ahora requieren cadenas de vulnerabilidades, a veces de tres o más elementos. En algunos casos, por el contrario, los atacantes alcanzan el objetivo con un solo fallo si logran acceder al servicio o a la aplicación necesarios.
La mayor parte de los ataques persigue dos objetivos: ejecución remota de código y elevación de privilegios. Entre las causas comunes de las vulnerabilidades siguen figurando errores de manejo de memoria, por ejemplo use-after-free y desbordamiento de búfer. Aproximadamente el 35% de los casos correspondieron a problemas de ese tipo. En sistemas corporativos son frecuentes las inyecciones de comandos y los errores de serialización de datos. Tales fallos permiten ejecutar código arbitrario sin métodos de explotación complejos.
Un papel aparte lo desempeñan las empresas que venden herramientas de vigilancia digital. En 2025 esas firmas superaron por primera vez a los servicios de inteligencia estatales en número de ataques detectados que utilizaron vulnerabilidades de día cero. Estos proveedores venden herramientas de intrusión a diversos clientes y con ello amplían el círculo de usuarios de exploits de alto precio.
Entre los estados, las agrupaciones vinculadas a China siguen siendo las más activas. Los expertos atribuyeron al menos diez vulnerabilidades de día cero a grupos de ciberespionaje chinos, incluidos UNC5221 y UNC3886. Estas operaciones suelen dirigirse a dispositivos de red y equipos en el perímetro de la infraestructura. Tomar control de tales sistemas permite mantener el acceso a las redes objetivo durante mucho tiempo.
Los grupos con motivación financiera también intensificaron su actividad. En 2025 los expertos vincularon nueve ataques que usaron vulnerabilidades de día cero con dichos grupos. Parte de las operaciones concluyeron con la instalación de ransomware. Uno de los ejemplos fue la campaña de extorsión a gran escala bajo la marca CL0P. Los atacantes enviaron correos a directivos de empresas y afirmaron haber robado datos del sistema Oracle E-Business Suite. El ataque comenzó varias semanas antes de la publicación de los parches y utilizó las vulnerabilidades CVE-2025-61882 y CVE-2025-61884.
Los analistas también describieron una serie de ataques técnicos complejos. En algunos casos los atacantes evadieron el aislamiento del navegador mediante errores en el sistema operativo o en los controladores de las unidades de procesamiento gráfico. En otra campaña se empleó una cadena de vulnerabilidades contra los dispositivos de acceso remoto SonicWall Secure Mobile Access 1000. El exploit permitía obtener ejecución remota de código y luego elevar privilegios al nivel de administrador del dispositivo.
Un caso separado está relacionado con imágenes en formato DNG en los teléfonos inteligentes Samsung. Los archivos maliciosos explotaban el fallo CVE-2025-21042 en la biblioteca de procesamiento de imágenes Quram. Tras cargar la imagen a través de una aplicación de mensajería, por ejemplo WhatsApp, el sistema procesaba el archivo automáticamente. El error permitía ejecutar código dentro de un servicio del sistema que tiene acceso a toda la mediateca del dispositivo.
Los analistas consideran que en los próximos años la situación podría cambiar a causa de la inteligencia artificial. Estos sistemas pueden acelerar la búsqueda de vulnerabilidades y la creación de exploits, por lo que los ataques podrían producirse con mayor rapidez y a mayor escala. Al mismo tiempo, los desarrolladores de soluciones de seguridad comenzarán a usar las mismas tecnologías para buscar errores en el software antes de que los atacantes puedan aprovechar las vulnerabilidades.