Menciona "día cero" en una reunión y verás cómo cambia el ambiente: suena a amenaza sofisticada, invisible, imposible de detener. Es el villano favorito de las noticias de ciberseguridad. Y sin embargo, para la enorme mayoría de las empresas, el día cero no es lo que debería quitarles el sueño. Lo que de verdad las compromete es mucho más aburrido —y por eso más peligroso—: la vulnerabilidad conocida que nunca se parchó.
Qué es un día cero (zero-day)
Una vulnerabilidad de día cero es una falla que el fabricante todavía no conoce, o para la que aún no existe parche. El nombre viene de ahí: el desarrollador ha tenido "cero días" para corregirla desde que se empezó a aprovechar. Mientras no haya parche, no puedes simplemente actualizar para cerrarla; la defensa depende de mitigaciones indirectas. Un exploit de día cero es el ataque que usa esa falla desconocida antes de que exista remedio.
Por qué asusta más de lo que debería
Aquí va la parte incómoda y honesta. Los días cero son raros, caros y selectivos. Descubrir o comprar uno cuesta muchísimo, así que quien los tiene los reserva para blancos de alto valor —espionaje, objetivos concretos—, no para atacar al azar a una PyME. Obsesionarse con el día cero mientras tienes vulnerabilidades conocidas sin parchar es como blindar la puerta de la bóveda mientras la ventana de al lado sigue abierta. Y los datos lo confirman: los atacantes explotan de forma abrumadora fallas conocidas, no secretas —es el fondo de por qué el parcheo es hoy la brecha número uno—.
La vulnerabilidad conocida: el riesgo que sí es tuyo
En cuanto una vulnerabilidad se hace pública y sale su parche, se convierte en una vulnerabilidad conocida —a veces llamada "n-day"—. Y ahí empieza la paradoja: ahora la conocen todos, incluidos los atacantes, que estudian el parche para entender la falla y luego rastrean internet en masa buscando sistemas sin actualizar. La ventana entre "salió el parche" y "yo lo apliqué" es exactamente el terreno donde ocurren la mayoría de las brechas. A diferencia del día cero, este riesgo es completamente tuyo de resolver: el remedio existe, solo hay que aplicarlo.
Dónde ver qué se está explotando de verdad: el catálogo KEV
La agencia estadounidense de ciberseguridad (CISA) mantiene desde 2021 una lista pública llamada KEV (Known Exploited Vulnerabilities): el catálogo de vulnerabilidades que se ha confirmado que están siendo explotadas en ataques reales, no en teoría. Obliga a las agencias federales de EE.UU. a parcharlas en plazos fijos, y para cualquier organización es la mejor lista de triaje que existe: si una vulnerabilidad está en el KEV, no es hipotética —párchala ya—. Puedes consultarlo directo en el catálogo KEV de CISA.
La lección práctica
No puedes parchar todo al instante, así que hay que priorizar —y el criterio correcto no es "lo más aterrador de las noticias". El día cero es real, pero raro y fuera de tu control directo; la vulnerabilidad conocida sin parchar es común, masiva y totalmente resoluble. Empieza por lo que se sabe que se está explotando, mantén un ritmo de parcheo que cierre la ventana rápido, y deja el pánico por los días cero para las pocas organizaciones que de verdad son su blanco. Cómo encajan estas piezas con el resto del vocabulario de vulnerabilidades lo ordenamos en la guía completa.