Zero-Day Clock: la IA llevó la explotación de bugs de 1 año a 1 día

El mundo de la ciberseguridad lleva meses comentando que las herramientas asistidas por IA están encontrando vulnerabilidades más rápido que nunca. Incluso medios no técnicos cubrieron el bot Mythos de Anthropic, descrito por algunos analistas como una "superarma" del rubro. La ventana estándar de 90 días para divulgación responsable está dejando de tener sentido, y la industria empieza a pedir números, no metáforas.

Esos números ahora los entrega el Zero-Day Clock (ZDC), un proyecto creado por Sergej Epp desde Sysdig y firmado por casi todas las grandes empresas de tecnología y ciberseguridad.

La cifra que define el momento: de 1 año a 1 día

El dato central es simple y devastador: el tiempo promedio entre que se descubre una vulnerabilidad y se la explota cayó de casi un año en 2021 a poco más de un día en 2026, y sigue acortándose. La proyección del proyecto para 2027 es de una hora, y eventualmente de un minuto.

El segundo gráfico del proyecto cuantifica el cambio de la otra punta del problema: el porcentaje de zero-day exploits, es decir, vulnerabilidades que los atacantes ya estaban usando antes de la divulgación oficial. Subió de 31% hace cinco años a 73,2% al día de hoy. Mirado al revés, las vulnerabilidades no explotadas pasaron del 60-70% en 2021 a un magro 25% actualmente, y solo al momento de la divulgación.

Siguiendo la curva en el eje del tiempo, muy pocas vulnerabilidades quedan sin explotar más de un par de semanas. Cero vulnerabilidades quedan sin uso una vez pasadas las seis semanas, en contraste con un 24% el año pasado.

Punta de iceberg

El dataset es amplio pero acotado: solo rastrea vulnerabilidades divulgadas públicamente con explotación conocida. Los investigadores del ZDC advierten explícitamente: "solo seguimos exploits públicamente visibles. Pueden existir exploits privados o de Estados-nación antes de eso". Es decir, los gráficos podrían estar mostrando solo la punta del iceberg.

¿Qué propone el ZDC?

El proyecto publicó un call to action con varias recomendaciones. Algunas son fáciles de adoptar; otras, políticamente espinosas.

Las técnicas:

• Asegurarse de que firmware, software, frameworks y hardware tengan todas las features de seguridad activadas por defecto.
• Adoptar arquitecturas zero-trust siempre que sea posible.
• Migrar a lenguajes memory-safe como Rust, porque el 70% de las vulnerabilidades son consecuencia de bugs de seguridad de memoria, los típicos C y C++.
• Diseñar sistemas que sean desechables por defecto: una máquina comprometida debería poder restaurarse sin esfuerzo.
• Promover herramientas IA defensivas open source (un equivalente abierto a Mythos), para que quienes defienden tengan el mismo nivel de capacidades automatizadas que los atacantes.

Las políticas (más complejas):

• Hacer responsables legalmente a los fabricantes de software por vulnerabilidades dañinas. El experto Bruce Schneier lo formula con dureza: "Ninguna industria en los últimos 150 años ha mejorado su seguridad sin ser forzada por el Estado". Su argumento adicional: un producto inseguro, técnicamente débil pero que llega primero al mercado o es más fácil de usar, gana siempre contra un competidor mejor desarrollado.
• Revisar leyes de IA que terminan dando ventaja a los atacantes. El ejemplo que pone el ZDC es la iniciativa "Stop the Clock" de la Unión Europea, que busca frenar el avance de la IA pero termina golpeando a los defensores, mientras los atacantes (que no se atan a regulaciones) siguen acelerando.
• Tratar la seguridad del software como prioridad geopolítica y asignar fondos públicos al rubro.
• Incluir a investigadores de ciberseguridad en el proceso legislativo, porque quienes redactan las leyes no siempre entienden los detalles técnicos de lo que están regulando.

El cambio de era

Lo que el Zero-Day Clock describe no es un futuro distante, es el presente. Si una vulnerabilidad típica se explota en un día, la noción de "ventana de parche" se vuelve casi ficticia para la mayoría de las organizaciones. El movimiento hacia automatización defensiva (parcheo automático, segmentación agresiva, rollback rápido) deja de ser una buena práctica para volverse el único modelo viable. Para Chile y Latinoamérica, donde gran parte del sector público sigue con stacks heredados sin políticas de parcheo automatizado, la implicación operativa es directa: la curva de exposición se está moviendo más rápido que cualquier programa nacional de ciberseguridad lanzado en la última década.