Mosaic VPN LogoMosaic VPN
Panel de controlComenzar
Volver al blog
securityvulnerabilitiesAIzero-daypatching

"De 44 días a cero: cómo la IA aplastó la ventana de los 0-day en 2026"

Mosaic TeamPublicado: 13 de mayo de 2026
Icono de candado sobre una placa de circuito, símbolo de la defensa frente a vulnerabilidades de día cero

Idiomas disponibles

ENZHRUESARID

Durante casi toda la década de 2010, "parchear en menos de un mes" se consideraba buena higiene de seguridad. En 2026, ese consejo está obsoleto. Según el informe M-Trends 2026 de Mandiant, el time-to-exploit medio — el tiempo entre la publicación de una vulnerabilidad y su explotación activa — ha pasado de más de 700 días en 2020 a apenas 44 días en 2025. Y, más llamativo aún: el 28,3% de los CVE se explotan ahora dentro de las 24 horas posteriores a su divulgación.

Esta semana, el Threat Intelligence Group de Google reveló que había frustrado a un grupo de atacantes que intentaba usar un modelo de IA para planear una operación masiva de explotación de vulnerabilidades, incluyendo el intento de usar un modelo de frontera para encontrar un 0-day capaz de evadir la autenticación de dos factores. Según Google, los grupos vinculados a China y Corea del Norte "mostraron un interés significativo en capitalizar la IA para el descubrimiento de vulnerabilidades."

Para los usuarios de a pie — no solo para las empresas — estas cifras vuelven a dibujar el mapa. La ventana entre "ya existe el parche" y "necesitas tenerlo instalado" se mide ahora en horas, no en semanas.

Lo que dicen realmente esos números

Métrica20202025
Time-to-exploit medio700+ días44 días
CVE explotados en 24 h<2%28,3%
Exploits que llegan antes del parcheRaroHabitual

Tres giros se esconden en esas filas:

  1. El desarrollo del exploit ya no es el cuello de botella. Antes, un equipo pequeño y bien dotado necesitaba semanas para convertir una entrada CVE en un exploit funcional. El análisis de código asistido por IA lo ha comprimido a días, a veces horas.
  2. La asimetría se ha invertido. Quien defiende tiene que probar, escalonar y desplegar parches. Quien ataca no tiene que validar nada — solo necesita que funcione una vez.
  3. "Día cero" se está quedando como mala etiqueta. Cuando el exploit llega antes que el parche, el usuario tiene tiempo negativo de reacción.

Cómo la IA acelera al atacante

No hay que imaginarse la mecánica — la revelación de Google de esta semana se lee como un ejemplo de manual. El grupo interceptado usaba un modelo de lenguaje grande para:

  • Analizar entradas CVE y parches, deduciendo el camino vulnerable subyacente
  • Generar código PoC de exploit para refinarlo después
  • Planificar operaciones multietapa, incluidos los bypasses a la autenticación de dos factores
  • Atacar a escala automatizando el reconocimiento de miles de víctimas potenciales

El informe de Mandiant capta el resultado a nivel poblacional: los grupos vinculados a China y Corea del Norte son los adoptantes tempranos más prolíficos de descubrimiento de vulnerabilidades con IA, con actores iraníes y rusos no muy lejos.

La IA no inventa nuevas categorías de vulnerabilidad. Comprime el tiempo entre "el fallo existe" y "un atacante lo está usando contra ti" — que, para un usuario concreto, es la única ventana que importa.

Lo que esto significa para ti

Casi toda la conversación sobre estos números gira en torno a empresas. Esto es lo que cambia para el usuario individual:

1. "Lo actualizo el finde" ya no es seguro

Cuando el 28,3% de los CVE se explota en 24 horas, el tiempo entre que aparece la notificación y pulsas "Instalar ahora" es lo que decide si entras en el objetivo. Un fin de semana de procrastinación ya no es un riesgo pequeño.

2. Los dispositivos viejos están más expuestos que nunca

Si tu teléfono, router o portátil ha pasado el corte de soporte del fabricante, no estás perdiendo "funciones nuevas" — estás perdiendo exactamente los parches que el pipeline de ataque acelerado por IA está hecho para aprovechar. Los dispositivos sin actualizaciones de seguridad son un riesgo activo si los mantienes en línea.

3. La cadena de suministro pesa más que la marca

Una vulnerabilidad en un componente — una biblioteca de imágenes, una pila Bluetooth, un renderizador de fuentes — se propaga a todas las apps que lo usan. Las herramientas de IA hacen barato para los atacantes rastrear el ecosistema global de software para saber qué app envía qué versión de qué biblioteca vulnerable. Tu app favorita y mainstream puede quedar comprometida por una biblioteca de la que nunca oíste.

4. La autenticación es el nuevo perímetro

La operación interceptada por Google apuntaba específicamente a bypassear la autenticación de dos factores. Es el nuevo frente: los atacantes saben que tu contraseña puede estar ya en un volcado, así que invierten en derrotar al segundo factor. Una 2FA fuerte (llaves de hardware, códigos por app) importa más en 2026 que nunca.

5. La higiene de red sigue comprándote tiempo

Aunque exista el exploit, el atacante todavía tiene que entregarlo. Reducir la superficie alcanzable desde internet abierto — DNS cifrado, túnel VPN, no exponer IoT directamente — te compra margen mientras el parche se propaga.

Cinco cosas que puedes hacer esta semana

1. Activa las actualizaciones automáticas en todas partes

Teléfono, portátil, router, hubs de domótica. No confíes en que vas a acordarte. El ciclo de parches es más rápido que cualquier hábito humano de revisar.

  • iOS: Ajustes → General → Actualización de software → Actualizaciones automáticas (todo activado)
  • Android: Ajustes → Sistema → Actualización del sistema + actualización automática de Play Store
  • macOS: Ajustes del sistema → General → Actualización de software → Actualizaciones automáticas
  • Windows: Configuración → Windows Update → Opciones avanzadas → Recibir actualizaciones para otros productos de Microsoft

2. Retira los dispositivos que ya no reciben actualizaciones de seguridad

Comprueba la fecha de "fin de soporte" de tu teléfono. Si ya pasó, el dispositivo es un pasivo — no solo para él mismo, sino para cualquier cuenta a la que entres desde él. Reconviértelo en reproductor multimedia, dónalo para piezas, pero deja de usarlo para correo, banca o mensajería.

3. Sube de nivel tu segundo factor

Si para cuentas importantes (banca, correo, redes) sigues con SMS-2FA, pásate a una app de autenticación (Authy, Google Authenticator, 1Password) o, idealmente, a una llave de seguridad por hardware (YubiKey, Google Titan). Bypassear apps de autenticación o llaves es muchísimo más difícil que bypassear SMS.

4. Usa un gestor de contraseñas — y deja que él las genere

Si tu contraseña es reutilizable, ya está en algún corpus. Un gestor que genere contraseñas aleatorias de 20+ caracteres por servicio significa que el robo de un sitio no encadena al resto.

5. Aprieta tu capa de red

DNS cifrado, una VPN fiable y no exponer directamente dispositivos del hogar a internet (nada de port forwarding a tu NAS salvo que sepas exactamente lo que haces) te dan margen real. La mayoría de ataques oportunistas mueren contra una superficie de red opaca.

Cómo encaja una VPN en la defensa

Una VPN no parchea una vulnerabilidad que ya está en tu dispositivo. Lo que sí puede hacer es reducir cuántos de los ataques que llegan hasta ti acaban tocando ese código vulnerable.

En concreto:

  • Cifrado AES-256 que protege tu tráfico en cualquier red — cafeterías, Wi-Fi de hotel, redes de invitados donde no sabes quién más está conectado
  • Tunelado cifrado de bajo overhead que mantiene la protección activada por defecto, también para streaming y llamadas en tiempo real, para que no la desactives por reflejo cuando importa el rendimiento
  • Protección frente a fugas de DNS que oculta la lista de sitios y servicios que usas — justo lo primero que necesita un atacante que construye una cadena personalizada
  • Kill switch que corta todo el tráfico en el momento en que cae el túnel, para que una reconexión breve no exponga tu dirección real ni tu DNS
  • Una red de servidores distribuida globalmente que te deja elegir puntos de entrada y evitar redes hostiles
  • Bloqueo de dominios maliciosos conocidos que intercepta una parte significativa de la infraestructura de entrega de exploits antes de que tu dispositivo pida siquiera el payload

Súmala a los cinco pasos anteriores y el trabajo del atacante se vuelve significativamente más duro — que, dado lo barato que se le ha vuelto ese trabajo, es el objetivo.

Conclusión

El colapso de la ventana de 0-day no es una tendencia futura. Ocurrió, en silencio, entre 2023 y 2025, y los números del M-Trends 2026 simplemente lo hacen oficial: 44 días. 28,3% en 24 horas. No son estadísticas de empresa. Es la nueva línea base para cada dispositivo que llevas encima.

La buena noticia: ninguna de las defensas es nueva. Actualizaciones, 2FA fuerte, higiene de contraseñas, capa de red limpia. Lo que ha cambiado es el coste de que cualquiera de ellas se relaje. Trata la seguridad como algo que haces esta semana, no algo a lo que llegarás cuando puedas — y estarás bien.

Etiquetas

securityvulnerabilitiesAIzero-daypatching