Zero-Days: Mercado, Precios y Ética

Qué es un zero-day

Un zero-day es una vulnerabilidad que el fabricante del software desconoce. No existe parche, no existe mitigación oficial, no existe advisory público. El nombre proviene de que el vendor ha tenido cero días para responder desde que la vulnerabilidad se usa en ataques. Es el arma perfecta: el objetivo no puede defenderse porque no sabe que es vulnerable.

La distinción entre zero-day y n-day es temporal pero crítica. Un zero-day se convierte en n-day en el instante en que el vendor publica un parche o un advisory. A partir de ese momento, la vulnerabilidad es conocida y la responsabilidad de la defensa recae en las organizaciones que deben aplicar el parche. Pero durante las horas, días, semanas o meses en que el zero-day permanece desconocido, no hay defensa directa posible.

Esta asimetría entre ataque y defensa explica por qué los zero-days son las municiones más valoradas del ciberespacio. Un solo zero-day en un software ampliamente desplegado (iOS, Windows, Chrome, WhatsApp) otorga la capacidad de comprometer a millones de dispositivos sin que sus usuarios o fabricantes puedan hacer nada al respecto.

El mercado: tres capas

El mercado de zero-days se estructura en tres capas con actores, motivaciones y marcos legales distintos.

El mercado blanco: bug bounties

Los programas de bug bounty son el canal legítimo por el cual los fabricantes de software pagan a investigadores que reportan vulnerabilidades de forma responsable. Los pagos han escalado dramáticamente en la última década.

Apple Security Bounty paga hasta 2 millones de dólares por una cadena completa de ejecución de código en el kernel de iOS con zero-click y persistencia. Es el bounty público más alto de la industria, introducido en 2019 después de años de críticas por no tener un programa formal.

Google Vulnerability Reward Program ofrece hasta 250.000 dólares por vulnerabilidades críticas en Chrome y Android. En 2024, Google pagó más de 10 millones en bounties. Para vulnerabilidades de Chrome que incluyan un sandbox escape completo, las recompensas superan los 100.000 dólares.

Microsoft Bug Bounty Program ofrece hasta 250.000 dólares por vulnerabilidades críticas en Hyper-V y Azure, y cantidades menores para Windows y Office.

Plataformas de intermediación como HackerOne y Bugcrowd agregan programas de cientos de empresas. HackerOne ha pagado más de 300 millones de dólares acumulados a investigadores desde su creación.

Los bug bounties tienen una ventaja ética clara: la vulnerabilidad se reporta al fabricante, se parchea, y los usuarios quedan protegidos. Su desventaja para el investigador es que los pagos son significativamente menores que los del mercado gris.

El mercado gris: brokers gubernamentales

Los brokers de zero-days actúan como intermediarios entre los investigadores que descubren vulnerabilidades y los gobiernos que las compran para operaciones de inteligencia, vigilancia o capacidades ofensivas. Este mercado opera en una zona legal ambigua: no es ilegal en la mayoría de jurisdicciones, pero los compradores finales y los usos son opacos.

Zerodium, fundada en 2015 por Chaouki Bekrar (previamente fundador de VUPEN), fue durante años el broker más visible. Su lista de precios pública funcionaba como un índice de mercado de facto. En su apogeo, ofrecía hasta 2,5 millones de dólares por una cadena completa de iOS (zero-click, con persistencia) y 2 millones por Android equivalente. Zerodium vendía exclusivamente a gobiernos aliados de EE.UU. y Europa, según sus declaraciones públicas.

En enero de 2025, Zerodium desactivó su sitio web y lo reemplazó por una página con su clave PGP, sugiriendo un cambio operacional significativo. Su salida dejó un vacío que otros brokers intentan llenar.

Crowdfense, fundada en 2017 y con sede en Emiratos Árabes Unidos, elevó los precios considerablemente. Su programa de adquisición de 2024 ofrecía entre 5 y 7 millones de dólares por cadenas completas de iOS, hasta 5 millones por Android, y entre 3 y 3,5 millones por exploits de Chrome y Safari. WhatsApp e iMessage alcanzaban entre 3 y 5 millones.

Exodus Intelligence opera un modelo diferente: además de adquirir zero-days, ofrece un servicio de suscripción donde gobiernos y empresas de defensa reciben un flujo continuo de vulnerabilidades y exploits.

Operation Zero, un broker ruso que apareció públicamente en 2023, ofreció hasta 20 millones de dólares por cadenas completas de móviles, superando todos los precios conocidos. Este broker vende exclusivamente a clientes rusos, lo que lo coloca en una categoría legal y ética distinta.

El mercado negro

El mercado negro de zero-days opera en foros criminales, canales de Telegram y redes de contactos cerradas. Los precios son opacos y las transacciones carecen de garantías. Los compradores son grupos de cibercrimen, operadores de ransomware, y actores estatales que prefieren adquirir capacidades sin dejar rastro contractual.

Las diferencias con el mercado gris son significativas. No hay verificación de fiabilidad del exploit, no hay contrato legal, y el riesgo de estafa es alto. Un investigador que vende en el mercado negro no tiene garantía de cobro, y un comprador no tiene garantía de que el exploit funcione o de que no se haya vendido a múltiples compradores.

Sin embargo, el mercado negro ofrece anonimato y velocidad. Un grupo de ransomware que necesita un exploit para un producto VPN específico puede encontrarlo en horas en los canales adecuados, sin los procesos de due diligence de los brokers legítimos.

Compradores gubernamentales

Los principales compradores de zero-days son las agencias de inteligencia y las fuerzas del orden de gobiernos con capacidades cibernéticas avanzadas.

Estados Unidos

La NSA (National Security Agency) y su unidad TAO (Tailored Access Operations, ahora llamada Computer Network Operations) son los mayores compradores conocidos de zero-days. El presupuesto de la NSA para "actividades de acceso" no es público, pero estimaciones de analistas lo sitúan en cientos de millones de dólares anuales. El Cyber Command y la CIA también adquieren capacidades ofensivas de forma independiente.

Israel

La Unidad 8200 de las Fuerzas de Defensa de Israel es reconocida como una de las agencias de inteligencia de señales más capaces del mundo. Israel además alberga un ecosistema de empresas privadas (NSO Group, Candiru, QuaDream, Paragon) que desarrollan y venden capacidades ofensivas a gobiernos aliados.

Reino Unido

El GCHQ (Government Communications Headquarters) y su brazo ofensivo, el National Cyber Force (NCF, creado en 2020), adquieren y desarrollan capacidades de explotación. El GCHQ mantiene colaboración estrecha con la NSA a través de la alianza Five Eyes.

China

El Ministerio de Seguridad del Estado (MSS) y el Ejército Popular de Liberación (PLA) han desarrollado capacidades ofensivas significativas. La ley de divulgación de vulnerabilidades de 2021 canalizó el talento investigador chino hacia las instituciones del Estado.

Otros compradores

Rusia (GRU, FSB, SVR), Francia (DGSE), Alemania (BND), Emiratos Árabes Unidos, Arabia Saudita y otros gobiernos con presupuestos de inteligencia significativos participan activamente en el mercado.

NSO Group y Pegasus: el caso de estudio

NSO Group se fundó en 2010 en Israel y desarrolló Pegasus, un spyware de grado militar diseñado para infectar smartphones y extraer datos de forma completa: mensajes, llamadas, ubicación, cámara, micrófono, contraseñas.

Capacidades técnicas

Pegasus explotó múltiples zero-days a lo largo de su historia operacional. Los vectores de ataque evolucionaron desde mensajes SMS con enlaces maliciosos (2016) hasta exploits zero-click que no requerían ninguna interacción del usuario. Un ataque documentado en julio de 2021 comprometía iPhones completamente parcheados (iOS 14.6) a través de iMessage sin que el usuario recibiera ni leyera ningún mensaje visible.

La cadena de explotación de Pegasus típicamente combinaba un exploit de iMessage o WhatsApp (acceso inicial), un exploit de sandbox escape (escalada), y un exploit de kernel (acceso completo al dispositivo). Cada eslabón de la cadena requería un zero-day independiente.

El escándalo del Proyecto Pegasus

En julio de 2021, un consorcio de medios liderado por Forbidden Stories y apoyado técnicamente por Amnesty International reveló que Pegasus se había utilizado contra periodistas, activistas de derechos humanos, abogados y políticos en al menos 50 países. La lista de potenciales objetivos incluía más de 50.000 números de teléfono.

Entre los casos documentados: periodistas de Al Jazeera, activistas saudíes (incluyendo personas del círculo de Jamal Khashoggi), el presidente francés Emmanuel Macron, y miembros del Parlamento Europeo.

Consecuencias

En noviembre de 2021, el Departamento de Comercio de EE.UU. incluyó a NSO Group en su Entity List, restringiendo severamente su acceso a tecnología estadounidense. Apple demandó a NSO Group. Meta (WhatsApp) ya había iniciado acciones legales en 2019 y obtuvo un fallo favorable. Varios gobiernos europeos abrieron investigaciones.

NSO Group argumentó consistentemente que Pegasus se vendía solo a gobiernos para combatir el terrorismo y el crimen organizado, y que no tenía control sobre cómo los clientes usaban la herramienta. Este argumento no convenció a los tribunales ni a los reguladores.

El dilema ético: stockpile vs. disclose

El debate central del mercado de zero-days es: ¿deben los gobiernos acumular vulnerabilidades para uso ofensivo o divulgarlas para proteger a sus ciudadanos?

El argumento a favor de la retención

Las agencias de inteligencia argumentan que los zero-days son herramientas necesarias para la seguridad nacional. Permiten acceder a comunicaciones de terroristas, rastrear redes de crimen organizado, y obtener inteligencia sobre adversarios estatales. Divulgar un zero-day al fabricante elimina permanentemente una capacidad que puede haber costado millones de dólares y meses de desarrollo.

Además, argumentan que la probabilidad de que un adversario descubra la misma vulnerabilidad de forma independiente es baja para bugs complejos. Por tanto, retener el zero-day no pone en riesgo significativo a la población general.

El argumento a favor de la divulgación

Los defensores de la divulgación señalan que cada zero-day retenido es una vulnerabilidad que afecta a millones de usuarios sin su conocimiento. El caso WannaCry (2017) es el ejemplo paradigmático: EternalBlue, un exploit de la NSA para Windows, fue robado por el grupo Shadow Brokers y utilizado en un ataque de ransomware que afectó a más de 200.000 sistemas en 150 países, incluyendo hospitales del NHS británico.

Si la NSA hubiera divulgado la vulnerabilidad a Microsoft años antes (la retuvo durante más de cinco años), WannaCry no habría sido posible.

El Vulnerabilities Equities Process (VEP)

EE.UU. formalizó su proceso de decisión en el VEP, un marco interagencial que evalúa cada zero-day según criterios como: ¿cuántos usuarios están expuestos? ¿Existe la vulnerabilidad en productos que usan las infraestructuras críticas de EE.UU.? ¿Cuál es el valor de inteligencia? ¿Cuál es la probabilidad de descubrimiento independiente?

El proceso ha sido criticado por su opacidad. No se publican las decisiones individuales, y los datos disponibles sugieren que la tendencia es hacia la retención. Según funcionarios del gobierno, la mayoría de las vulnerabilidades evaluadas se divulgan, pero la definición de "mayoría" y la selección de qué vulnerabilidades entran en el proceso son discrecionales.

Regulación internacional

El Arreglo de Wassenaar

El Arreglo de Wassenaar (Wassenaar Arrangement) es un régimen de control de exportación multilateral con 42 estados miembros. En 2013, añadió los "sistemas de intrusión" (intrusion software) a su lista de items controlados, intentando regular la exportación de herramientas de hacking y exploits.

La implementación ha sido problemática. La definición de "intrusion software" es lo suficientemente amplia como para cubrir herramientas legítimas de seguridad (penetration testing, investigación de vulnerabilidades) además de spyware ofensivo. EE.UU. intentó implementar las regulaciones en 2015 pero recibió más de 300 comentarios negativos de la industria de seguridad y retrasó la implementación.

En 2021, el Bureau of Industry and Security (BIS) publicó una regla final revisada que requiere licencia de exportación para herramientas de intrusión a países sujetos a embargo de armas o a gobiernos con historial de abusos de derechos humanos.

La ley china de 2021

En septiembre de 2021, China implementó regulaciones que transformaron su ecosistema de investigación de vulnerabilidades. Las nuevas reglas exigen que los investigadores reporten vulnerabilidades al gobierno (MIIT, Ministerio de Industria y Tecnología de la Información) dentro de las 48 horas del descubrimiento. Prohíben la venta de vulnerabilidades a entidades extranjeras. Prohíben la participación en competiciones de hacking extranjeras.

El efecto fue inmediato y visible. Los investigadores chinos, que habían dominado Pwn2Own durante varios años consecutivos (ganando cientos de miles de dólares en premios y demostrando exploits contra Chrome, Safari, Windows, Exchange y otros), dejaron de participar. El talento investigador se redirigió hacia las agencias gubernamentales.

Varios analistas de inteligencia occidental consideran que esta ley incrementó significativamente las capacidades ofensivas cibernéticas de China. El flujo de zero-days que antes se divulgaba a fabricantes o se vendía en el mercado abierto ahora se canaliza hacia el MSS y el PLA.

Regulación europea

La Unión Europea ha tomado medidas contra el spyware comercial tras el escándalo Pegasus. El Parlamento Europeo creó una comisión de investigación (PEGA) en 2022 que documentó el uso de Pegasus y spyware equivalente por parte de gobiernos de países miembros (Hungría, Polonia, España, Grecia) contra periodistas, opositores y abogados.

Las recomendaciones de la comisión incluyen una moratoria sobre la venta de spyware comercial dentro de la UE y la creación de un marco regulatorio europeo para la tecnología de vigilancia. La implementación ha sido lenta y desigual entre estados miembros.

Por qué los zero-days son cada vez más caros

Los precios de los zero-days han aumentado de forma consistente durante la última década. Un exploit de iOS que valía 500.000 dólares en 2015 puede valer 5 a 7 millones en 2026. Tres factores explican la inflación.

Mejores defensas

Los fabricantes de software han invertido masivamente en mitigaciones de seguridad. iOS implementó PAC (Pointer Authentication Codes), PPL (Page Protection Layer), y un sandboxing cada vez más restrictivo. Chrome despliega MiraclePtr para mitigar use-after-free, V8 sandbox para aislar el motor JavaScript, y CET para dificultar ROP. Windows añadió VBS (Virtualization-Based Security), HVCI, y CFG.

Cada nueva mitigación eleva el coste de desarrollo del exploit. Lo que antes requería una vulnerabilidad ahora puede requerir una cadena de tres o cuatro, cada una para evadir una capa de defensa distinta.

Mayor escrutinio

Los programas de bug bounty de alto valor incentivan a miles de investigadores a buscar vulnerabilidades. Google Project Zero, el equipo de Apple Security Engineering, Microsoft Offensive Security Research, y decenas de equipos de investigación académicos analizan constantemente las superficies de ataque más críticas. La probabilidad de que un zero-day permanezca sin descubrir durante años ha disminuido.

Reducción de la superficie de ataque

La eliminación de tecnologías inherentemente inseguras (Flash, Java en el navegador, ActiveX) redujo drásticamente la superficie de ataque disponible. Los exploit kits de 2015 tenían decenas de plugins vulnerables como objetivos. En 2026, los vectores de ataque en navegadores se reducen esencialmente al motor JavaScript y al renderizado de medios.

El ciclo de vida de un zero-day

Un zero-day pasa por fases predecibles desde su descubrimiento hasta su obsolescencia.

Descubrimiento. Un investigador encuentra la vulnerabilidad mediante fuzzing, auditoría de código, análisis diferencial de parches, o investigación dirigida. Este momento es el de máximo valor: nadie más conoce el bug.

Desarrollo del exploit. El descubridor (o un equipo especializado) convierte la vulnerabilidad en un exploit funcional. Esta fase puede durar días o meses, dependiendo de la complejidad de la vulnerabilidad y las mitigaciones que debe evadir.

Uso operacional. Si el zero-day fue adquirido por un gobierno o un grupo de amenazas, se despliega contra objetivos específicos. El uso se mantiene lo más discreto posible para prolongar la vida útil del zero-day. Los operadores sofisticados limitan el número de objetivos y evitan infraestructura que pueda ser atribuida.

Detección. Un equipo de respuesta a incidentes, un vendor de seguridad o un investigador independiente detecta el exploit en uso. Esto puede ocurrir días, meses o años después del primer despliegue. Kaspersky, Google TAG, Citizen Lab de la Universidad de Toronto y Amnesty Tech son algunos de los equipos más activos en la detección de zero-days in the wild.

Parche. El fabricante del software recibe el reporte, desarrolla y publica un parche. El zero-day se convierte en n-day. Su valor cae drásticamente, aunque sigue siendo útil contra sistemas no parcheados.

Obsolescencia. A medida que los usuarios aplican el parche, el número de sistemas vulnerables disminuye y el exploit pierde utilidad práctica. Algunos exploits de vulnerabilidades en software legacy (Windows XP, servidores SCADA) mantienen relevancia durante años porque los sistemas afectados nunca se actualizan.

Estadísticas del mercado

Los datos disponibles sobre zero-days in the wild muestran tendencias claras:

Volumen creciente. Google Project Zero rastreó 97 zero-days explotados in the wild en 2023, un aumento respecto a los 62 de 2022. La tendencia continúa al alza en 2024 y 2025.

Actores estatales dominan. Más del 50% de los zero-days atribuidos corresponden a operaciones de espionaje patrocinadas por estados. China y Rusia lideran en volumen, seguidos por Corea del Norte e Israel (a través de sus proveedores comerciales).

Objetivos predilectos. Los productos más atacados con zero-days son, consistentemente: navegadores web (Chrome, Safari, Firefox), sistemas operativos móviles (iOS, Android), software de correo y colaboración (Exchange, Outlook), y productos de seguridad perimetral (firewalls, VPNs).

Spyware comercial. Un porcentaje significativo y creciente de zero-days es atribuido a proveedores comerciales de spyware (NSO Group, Intellexa, Candiru, Paragon). Google TAG reportó que en 2023, los proveedores de vigilancia comercial fueron responsables de aproximadamente la mitad de todos los zero-days dirigidos a Google y Android.

Implicaciones para organizaciones

Para la mayoría de organizaciones, la defensa contra zero-days no pasa por intentar descubrirlos antes que los atacantes, sino por reducir su impacto.

Asumir que existen. Si tu organización es un objetivo de interés para un gobierno o un grupo de amenazas sofisticado, debes operar bajo la premisa de que existen zero-days capaces de comprometer tus sistemas. La defensa en profundidad, la segmentación de red y la detección de anomalías son más relevantes que cualquier parche.

Priorizar los n-days. La inmensa mayoría de las intrusiones no usan zero-days sino n-days: vulnerabilidades conocidas con parches disponibles que la organización no ha aplicado. El parche diligente de vulnerabilidades conocidas, especialmente las del catálogo KEV de CISA, elimina la mayor parte del riesgo real.

Monitorizar indicadores de compromiso. Las organizaciones de investigación (Citizen Lab, Google TAG, Amnesty Tech) publican regularmente IOCs asociados a campañas de zero-day. Integrar estos IOCs en los sistemas de detección proporciona una capa de defensa contra ataques conocidos, incluso si la vulnerabilidad subyacente aún no se ha parcheado en tu infraestructura.

Evaluar la superficie de ataque. Cuantos menos servicios estén expuestos a Internet, menor es la superficie disponible para zero-days remotos. Los ataques más devastadores de 2024 y 2025 se dirigieron contra VPNs y firewalls expuestos. Eliminar servicios innecesarios y segmentar los necesarios reduce el riesgo de forma directa.