IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

Día cero vs. vulnerabilidad conocida: cuál debería quitarte el sueño (spoiler: no es la que crees)

13/07/2026 4 min de lectura Rubén Espinoza

Menciona "día cero" en una reunión y verás cómo cambia el ambiente: suena a amenaza sofisticada, invisible, imposible de detener. Es el villano favorito de las noticias de ciberseguridad. Y sin embargo, para la enorme mayoría de las empresas, el día cero no es lo que debería quitarles el sueño. Lo que de verdad las compromete es mucho más aburrido —y por eso más peligroso—: la vulnerabilidad conocida que nunca se parchó.

Qué es un día cero (zero-day)

Una vulnerabilidad de día cero es una falla que el fabricante todavía no conoce, o para la que aún no existe parche. El nombre viene de ahí: el desarrollador ha tenido "cero días" para corregirla desde que se empezó a aprovechar. Mientras no haya parche, no puedes simplemente actualizar para cerrarla; la defensa depende de mitigaciones indirectas. Un exploit de día cero es el ataque que usa esa falla desconocida antes de que exista remedio.

Por qué asusta más de lo que debería

Aquí va la parte incómoda y honesta. Los días cero son raros, caros y selectivos. Descubrir o comprar uno cuesta muchísimo, así que quien los tiene los reserva para blancos de alto valor —espionaje, objetivos concretos—, no para atacar al azar a una PyME. Obsesionarse con el día cero mientras tienes vulnerabilidades conocidas sin parchar es como blindar la puerta de la bóveda mientras la ventana de al lado sigue abierta. Y los datos lo confirman: los atacantes explotan de forma abrumadora fallas conocidas, no secretas —es el fondo de por qué el parcheo es hoy la brecha número uno—.

La vulnerabilidad conocida: el riesgo que sí es tuyo

En cuanto una vulnerabilidad se hace pública y sale su parche, se convierte en una vulnerabilidad conocida —a veces llamada "n-day"—. Y ahí empieza la paradoja: ahora la conocen todos, incluidos los atacantes, que estudian el parche para entender la falla y luego rastrean internet en masa buscando sistemas sin actualizar. La ventana entre "salió el parche" y "yo lo apliqué" es exactamente el terreno donde ocurren la mayoría de las brechas. A diferencia del día cero, este riesgo es completamente tuyo de resolver: el remedio existe, solo hay que aplicarlo.

Dónde ver qué se está explotando de verdad: el catálogo KEV

La agencia estadounidense de ciberseguridad (CISA) mantiene desde 2021 una lista pública llamada KEV (Known Exploited Vulnerabilities): el catálogo de vulnerabilidades que se ha confirmado que están siendo explotadas en ataques reales, no en teoría. Obliga a las agencias federales de EE.UU. a parcharlas en plazos fijos, y para cualquier organización es la mejor lista de triaje que existe: si una vulnerabilidad está en el KEV, no es hipotética —párchala ya—. Puedes consultarlo directo en el catálogo KEV de CISA.

La lección práctica

No puedes parchar todo al instante, así que hay que priorizar —y el criterio correcto no es "lo más aterrador de las noticias". El día cero es real, pero raro y fuera de tu control directo; la vulnerabilidad conocida sin parchar es común, masiva y totalmente resoluble. Empieza por lo que se sabe que se está explotando, mantén un ritmo de parcheo que cierre la ventana rápido, y deja el pánico por los días cero para las pocas organizaciones que de verdad son su blanco. Cómo encajan estas piezas con el resto del vocabulario de vulnerabilidades lo ordenamos en la guía completa.

#día cero #zero-day #vulnerabilidades #cisa kev #ciberseguridad #fundamentos

Preguntas frecuentes

¿Qué es una vulnerabilidad de día cero?

Es una falla de seguridad que el fabricante aún no conoce o para la que todavía no existe parche. El nombre viene de que el desarrollador ha tenido "cero días" para corregirla desde que empezó a explotarse. Mientras no haya parche, no se puede cerrar actualizando; la defensa depende de mitigaciones indirectas.

¿Es más peligroso un día cero o una vulnerabilidad conocida?

Para la mayoría de las organizaciones, la vulnerabilidad conocida sin parchar es el riesgo mayor. Los días cero son raros, caros y se reservan para blancos de alto valor, mientras que las fallas conocidas se explotan en masa. Los atacantes aprovechan abrumadoramente vulnerabilidades conocidas, no secretas.

¿Qué es el catálogo KEV de CISA?

Es la lista pública de Known Exploited Vulnerabilities que mantiene la agencia de ciberseguridad de Estados Unidos (CISA) desde 2021, con las vulnerabilidades confirmadas como explotadas en ataques reales. Obliga a las agencias federales a parcharlas en plazos fijos y sirve como la mejor lista de priorización para cualquier organización.

¿Qué es una vulnerabilidad "n-day"?

Es una vulnerabilidad ya conocida y con parche disponible. Una vez publicada, los atacantes estudian el parche para entender la falla y rastrean sistemas sin actualizar. El riesgo vive en la ventana entre que sale el parche y que la organización lo aplica; a diferencia del día cero, el remedio ya existe.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

El parche que rompió todo: parchar rápido no es parchar a ciegas (sandbox, anillos y madurez)
Cómo evaluar una solución de endpoint sin caer en el "cuadrante mágico"
EDR en servidores críticos: cuando el falso positivo es peor que el malware