jueves, 25 de diciembre de 2025
|
Publicado por
el-brujo
|
Editar entrada
El año 2025 representa un momento crucial en la ciberseguridad, mostrando una evolución notable en las técnicas de explotación sin clic que desafían significativamente nuestra comprensión de la seguridad digital. A diferencia de los ataques tradicionales que requieren la interacción del usuario, como hacer clic en un enlace malicioso o descargar un archivo infectado, las explotaciones sin clic operan en las sombras, comprometiendo silenciosamente los dispositivos sin que la víctima haga nada.
El año 2025 representa un momento crucial en ciberseguridad, mostrando una evolución notable en las técnicas de explotación “zero-click” que desafían significativamente nuestra comprensión de la seguridad digital.
A diferencia de los ataques tradicionales que requieren interacción del usuario, como hacer clic en un enlace malicioso o descargar un archivo infectado, los exploits zero-click operan en las sombras, comprometiendo silenciosamente los dispositivos sin ninguna participación de la víctima.
Este año presenció al menos 14 vulnerabilidades “zero-click” significativas que afectaron a miles de millones de dispositivos en todo el mundo, exponiendo una brutal realidad: la superficie de ataque se ha expandido más allá del error humano hacia los procesos automatizados en los que confiamos implícitamente.
La sofisticación y la escala de los ataques “zero-click” en 2025 representan un cambio de paradigma donde la conveniencia se ha convertido en vulnerabilidad, y las funciones invisibles diseñadas para experiencias de usuario fluidas se han transformado en puertas de entrada silenciosas para amenazas persistentes avanzadas.
El Threat Intelligence Group de Google documentó 75 vulnerabilidades de día cero que fueron explotadas activamente en 2024, con la tendencia acelerándose en 2025 a medida que los atacantes se centraron en la infraestructura empresarial.
En la primera mitad de 2025 solo, se revelaron más de 21.500 CVEs nuevos, lo que representa un aumento del 18% con respecto al año anterior.
Más preocupante aún, la ventana de “tiempo de explotación” se redujo a un promedio de solo cinco días en 2024, en comparación con los 32 días de años anteriores, lo que hace que los ciclos de parcheo mensuales tradicionales sean peligrosamente obsoletos.
Esta aceleración refleja las sofisticadas canalizaciones de automatización implementadas por actores estatales, proveedores de vigilancia comercial (CSV) y grupos de ransomware de élite que han industrializado el proceso de explotación.
Las vulnerabilidades “zero-click”, que antes estaban reservadas para la élite del espionaje cibernético, se han convertido en armas de elección en todo el espectro de amenazas.
Plataformas Móviles Bajo Ataque
El ecosistema de Apple, considerado durante mucho tiempo una fortaleza de seguridad, enfrentó ataques implacables durante todo el 2025. CVE-2025-43300, revelado en agosto, reveló una vulnerabilidad crítica de escritura fuera de límites en el framework ImageIO que afecta a iOS, iPadOS y macOS.
Este fallo permitió la ejecución remota de código “zero-click” a través de imágenes DNG maliciosas enviadas a través de aplicaciones de mensajería, sin requerir ninguna interacción del usuario.
La vulnerabilidad se volvió particularmente peligrosa cuando se encadenó con CVE-2025-55177, un fallo de WhatsApp que involucra la autorización incompleta de mensajes de sincronización de dispositivos vinculados.
Juntos, estos exploits formaron una devastadora cadena de ataque “zero-click” que se dirigió a periodistas y actores de la sociedad civil en Europa y Oriente Medio.
WhatsApp confirmó que menos de 200 usuarios fueron atacados en campañas de spyware sofisticadas, con víctimas que incluyen defensores de los derechos humanos y profesionales de los medios.
El spyware Graphite de Paragon Solutions explotó CVE-2025-43200, un fallo lógico en iOS que permitía que las fotos o videos creados maliciosamente compartidos a través de iCloud Links activaran la ejecución remota de código sin requerir interacción del usuario.
El análisis forense de Citizen Lab confirmó con gran confianza que periodistas europeos fueron comprometidos mientras ejecutaban iOS 18.2.1, un sistema totalmente actualizado en el momento de la infección.
Apple corrigió la vulnerabilidad en iOS 18.3.1, pero la divulgación pública retrasada hasta junio de 2025 destacó la dinámica del juego del gato y el ratón de la guerra cibernética moderna.
Los dispositivos Samsung Galaxy tampoco se libraron. CVE-2025-21042, explotado como un día cero antes del parche de abril de 2025 de Samsung, entregó el spyware LANDFALL a través de archivos de imagen DNG maliciosos enviados a través de WhatsApp.
Este spyware de grado comercial para Android atacó dispositivos insignia, incluidos los de las series Galaxy S22-S24, lo que permitió capacidades de vigilancia integrales, incluido la grabación de llamadas, el seguimiento de la ubicación y la exfiltración de mensajes, todo sin el conocimiento del usuario.
La vulnerabilidad NICKNAME, descubierta por iVerify en junio de 2025, expuso un fallo de corrupción de memoria use-after-free en el proceso imagent de iOS.
Activado por actualizaciones rápidas de nombres enviados a través de iMessage, este exploit “zero-click” apareció en menos del 0,001% de los registros de fallos, pero afectó desproporcionadamente a personas de alto perfil, incluidos políticos, periodistas y ejecutivos de empresas de IA en los Estados Unidos y la Unión Europea.
Si bien Apple corrigió el fallo en iOS 18.3, la evidencia forense sugirió una explotación activa dirigida a personas asociadas con actividades contrarias a los intereses del Partido Comunista Chino.
Si bien las plataformas móviles acapararon los titulares, la infraestructura empresarial surgió como el lugar de caza preferido de los atacantes.
CVE-2025-21298, una vulnerabilidad OLE de Windows con una puntuación CVSS de 9,8, permitió la ejecución remota de código “zero-click” a través de documentos RTF especialmente diseñados en Microsoft Outlook.
Cuando las víctimas abrían o incluso visualizaban correos electrónicos maliciosos, el fallo se activaba automáticamente, otorgando a los atacantes privilegios completos del sistema.
El ecosistema de IA de Microsoft tampoco fue inmune. CVE-2025-32711, apodado EchoLeak, representó la primera vulnerabilidad “zero-click” contra un agente de IA.
Descubierta en Microsoft 365 Copilot, este fallo crítico (CVSS 9.3) permitió a los atacantes filtrar datos confidenciales de la organización simplemente enviando un correo electrónico diseñado, sin necesidad de clics del usuario.
La vulnerabilidad explotó cómo el motor de generación aumentada por recuperación de Copilot mezclaba entradas externas no confiables con datos internos privilegiados, creando una ruta automática de fuga de datos a través de referencias de imágenes incrustadas.
El agente ChatGPT Deep Research de OpenAI fue víctima de ShadowLeak, una vulnerabilidad “zero-click” del lado del servidor que permitió el robo silencioso de datos de Gmail.
Cuando se conectaba a Gmail y se navegaba, un solo correo electrónico malicioso que contenía comandos de inyección de avisos ocultos podía activar al agente de IA para filtrar de forma autónoma información confidencial de la bandeja de entrada directamente desde la infraestructura en la nube de OpenAI, sin dejar rastros de red para que las defensas empresariales detectaran.
Protocolos de Red Propagables
El protocolo AirPlay de Apple albergó una familia de 17 vulnerabilidades colectivamente llamadas AirBorne. La combinación más peligrosa de CVE-2025-24252 y CVE-2025-24206 permitió la ejecución remota de código “zero-click” en dispositivos macOS conectados a la misma red.
Lo que hizo que estos fallos fueran particularmente amenazantes fue su naturaleza propagable: el código malicioso podía propagarse de forma autónoma de un dispositivo a otro sin ninguna interacción humana.
CVE-2025-24132 extendió esta amenaza a dispositivos de terceros que utilizan el SDK de AirPlay, incluidos altavoces inteligentes y sistemas CarPlay.
La vulnerabilidad React2Shell (CVE-2025-55182) recibió una puntuación CVSS perfecta de 10,0, lo que indica un fallo crítico de ejecución remota de código no autenticado en React Server Components y Next.js.
Afectando a versiones de React, este fallo permitió a los atacantes realizar acciones no autorizadas en los sistemas vulnerables.
Los proveedores de spyware comercial aprovecharon esta vulnerabilidad para infiltrarse en los sistemas de las víctimas.
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.
Microsoft presenta BitLocker acelerado por hardwar...
Entradas populares
Un usuario envió 96GB de RAM DDR5 a CORSAIR para un RMA y recibió módulos falsos con RGB que funcionaban como lámparas debido a la crisis ...
Si llevas tiempo viendo pelis y series online, seguro que has oído hablar de Kodi y Stremio como dos de los centros multimedia más potentes...
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que...
Un año de exploits zero clic
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.