Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2026 S2 Grupo
Voces Expertas

Exploits: desarrollo, aprovisionamiento y uso

24 Feb 2026

Introducción

Los elementos tecnológicos, como el software (incluyendo firmware) o el hardware, pueden presentar fallos y errores. Cuando estos afectan a la seguridad, se les conoce comúnmente como bugs, y dan lugar a vulnerabilidades en el sistema. Una vulnerabilidad puede definirse como una cadena de debilidades unidas por causalidad, que comienza con un bug y termina en un error final que, si se explota, deriva en un fallo de seguridad.

Los actores de amenazas —desde grupos con motivación económica hasta agencias gubernamentales y actores ofensivos del sector privado (PSOA)— explotan vulnerabilidades en la mayoría de sus operaciones. Para que una vulnerabilidad pueda ser explotada, debe comprenderse y desarrollarse un código específico para aprovecharla. Este código es el exploit. Por lo general, los exploits se integran en herramientas ofensivas, también conocidas como ciberarmas. Si establecemos un símil: las herramientas son las armas, los exploits son las balas y las vulnerabilidades, los objetivos.

Existen distintos tipos de herramientas ofensivas. Las herramientas de explotación permiten cargar y lanzar exploits contra objetivos. La más conocida es Metasploit. Por otro lado, las herramientas de post-explotación amplían el acceso inicial logrado mediante la explotación, permitiendo movimientos laterales, persistencia o exfiltración. Metasploit también incluye capacidades de post-explotación, al igual que Cobalt Strike, PoshC2 o Empire.

Estas herramientas pueden ser tanto comerciales como de código abierto, con diferentes licencias. Algunos actores desarrollan sus propias capacidades ofensivas o contratan a terceros especializados para ello. Estas herramientas a medida suelen ser más difíciles de detectar y se utilizan tanto en operaciones militares en el ciberespacio como en campañas de ciberdelincuencia o auditorías de seguridad.

En resumen, los bugs generan vulnerabilidades, y los actores de amenazas las atacan utilizando exploits. Este documento analiza el aprovisionamiento de exploits y su integración en herramientas ofensivas.

Resumen

Explotar vulnerabilidades es un requisito imprescindible para los actores ofensivos. Para que una vulnerabilidad sea explotada, primero debe ser identificada, y posteriormente debe desarrollarse y prepararse un exploit que pueda integrarse en herramientas de ciberseguridad, a veces denominadas armas cibernéticas. Existen diversas formas de dotarse de estas capacidades, que van desde el desarrollo propio hasta la adquisición comercial.

Los exploits de día cero (0-day), que atacan vulnerabilidades desconocidas para el fabricante, son piezas de código especialmente valiosas y difíciles de obtener, cuyo precio puede alcanzar los 3 millones de euros. Aunque no son los más utilizados en operaciones ofensivas, existen mecanismos para aprovisionarlos y cargarlos en herramientas ofensivas listas para su uso. La fase de explotación es el paso final, y permite al actor ofensivo alcanzar sus objetivos.

En este documento se expone el proceso de integración de exploits en herramientas de ciberseguridad.

Los exploits

Conceptos como 0-day, 1-day y N-day se aplican habitualmente tanto a vulnerabilidades como a exploits. Estos conceptos hacen referencia a la disponibilidad de un parche. Una vulnerabilidad 0-day es aquella desconocida para el fabricante, por lo que no existe parche disponible. Una vulnerabilidad 1-day ya tiene un parche publicado, pero este aún no se ha desplegado ampliamente. Finalmente, una vulnerabilidad N-day es más antigua y ya cuenta con un parche publicado desde hace tiempo; son ampliamente conocidas y los parches están fácilmente disponibles. Esta misma clasificación aplica a los exploits: un exploit 0-day apunta a una vulnerabilidad 0-day, mientras que un exploit N-day apunta a una N-day.

Conseguir un exploit N-day es sencillo, la vulnerabilidad es conocida desde hace tiempo, por lo que desarrolladores de todo el mundo han podido analizarla y generar código para explotarla. La mayoría de estos exploits se publica en foros abiertos, y cualquier actor de amenazas puede descargarlos fácilmente. Sin embargo, al ser de acceso público, también son fáciles de detectar y bloquear, y además ya existe un parche para solucionarlos. Por estas razones, su utilidad es limitada.

En el extremo opuesto, conseguir un exploit 0-day es muy difícil. Son piezas de código valiosas tanto desde el punto de vista operacional como económico. En la siguiente sección se analiza su valor.

El valor de los exploits

El valor de un exploit depende de varios factores, siendo los más relevantes:

  • Las tecnologías objetivo,

  • El nivel de compromiso que permite alcanzar,

  • El grado de remoteness (si puede ejecutarse de forma remota o necesita acceso local),

  • Y la interacción del usuario requerida para que funcione.

Una vez que un exploit se hace público, su valor disminuye rápidamente, especialmente si ya hay parches disponibles. En cambio, un exploit 0-day mantiene un valor muy alto, ya que permite explotar vulnerabilidades desconocidas hasta que se descubren.

Este valor es tanto operacional como económico, ya que determina su precio en el mercado. Las tecnologías ampliamente utilizadas (por ejemplo, sistemas operativos como Windows, Linux, iOS, Android; servidores como Apache, Exchange; y dispositivos de red como los de Cisco o FortiNet) incrementan el valor de un 0-day. Por ejemplo, un exploit para Linux, con más de un 4% de cuota de mercado, puede permitir el acceso a millones de sistemas, mientras que uno para FreeBSD (0,1% de cuota) tiene un alcance mucho más reducido.

El nivel de compromiso también es clave. Los exploits de cadena completa (full chain) combinan varias vulnerabilidades para lograr un control total del sistema, incluyendo la persistencia. Estos exploits son especialmente valiosos en plataformas modernas con múltiples capas de seguridad.

El grado de remoteness se refiere a si el exploit puede ejecutarse de forma remota o necesita acceso local. Los exploits remotos son más valiosos, ya que no requieren presencia previa en el sistema objetivo. Algunos ejemplos incluyen:

  • Remote File Inclusion (RFI)

  • Remote Code Execution (RCE)

En cambio, los exploits locales requieren acceso previo y se basan en vulnerabilidades como:

  • Local File Inclusion (LFI)

  • Local Code Execution (LCE)

Otro factor crítico es la interacción del usuario. Los exploits más valiosos son los de tipo “zero-click”, que no requieren ninguna acción por parte del usuario para ejecutarse. Cuantas más interacciones requiera un exploit, menos valor tiene.

En conjunto, los exploits más caros suelen ser remotos, de cadena completa, zero-click, y dirigidos a sistemas como iOS, Android o Windows. Debido a su sofisticación, suelen usarse en operaciones de alto valor.

Provisión de exploits

Una vez entendidos los conceptos básicos sobre los exploits, surge una pregunta fundamental: ¿cómo se consiguen? Existen múltiples formas de obtener un exploit, que van desde métodos legales hasta otros más opacos. La obtención de exploits 0-day es especialmente interesante, ya que, como se ha indicado, son los más valiosos tanto desde el punto de vista operacional como económico.

Los exploits pueden aprovisionarse mediante diferentes técnicas. El marco MITRE ATT&CK contempla como válidas dos grandes opciones: el desarrollo y la obtención (ya sea mediante compra, robo o descarga). Los exploits 0-day suelen desarrollarse o adquirirse (comprados o robados), mientras que los exploits 1-day o N-day también pueden descargarse. Por supuesto, esta opción no es aplicable a los 0-day.

El desarrollo de exploits es complejo y en ocasiones frustrante. La dificultad radica en que las tecnologías más utilizadas hoy en día son modernas y seguras, e incorporan diversas técnicas de protección como la aleatorización del espacio de direcciones (ASLR) o arquitecturas de seguridad en capas. Estas contramedidas dificultan la explotación y hacen que encontrar 0-days relevantes sea una tarea ardua. Además, incluso tras meses de investigación, no hay garantía de éxito, lo que puede provocar agotamiento en los investigadores.

Sin embargo, identificar vulnerabilidades 0-day en sistemas menos protegidos (por ejemplo, routers domésticos o dispositivos IoT) es más sencillo, aunque su utilidad práctica es limitada.

Por otro lado, existe la opción de obtener un exploit sin desarrollarlo. Tal y como indica MITRE ATT&CK, esto puede hacerse a través de la compra, el robo o la descarga. Descargar exploits es la vía más sencilla y económica, aunque solo aplicable a 1-day y N-day. Estos exploits suelen estar disponibles en repositorios públicos, donde pueden ser utilizados por terceros, incluyendo PSOA, ciberdelincuentes o incluso script kiddies.

Por supuesto, no existen repositorios públicos para exploits 0-day. Debido a su valor, si no se desarrollan de forma interna, solo es posible comprarlos o robarlos. En cuanto a la compra, se puede recurrir a los mercados blanco, negro y gris:

  • Mercado blanco: programas de recompensas (bug bounty) ofrecidos por los fabricantes.

  • Mercado negro: redes clandestinas e ilegales.

  • Mercado gris: entornos ambiguos en los que se comercializan vulnerabilidades no divulgadas, lo que plantea serios dilemas éticos.

Los actores de amenazas —desde estados nación hasta bandas criminales o empresas privadas con capacidades ofensivas— pueden adquirir exploits 0-day en mercados grises o negros. El precio dependerá del valor del exploit, es decir, de factores como el tipo de tecnología objetivo o el nivel de interacción requerido. Por ejemplo, un exploit 0-day de cadena completa y zero-click para sistemas móviles puede alcanzar los 3 millones de euros.

Algunas formas de robar exploits 0-day pueden acarrear consecuencias legales, como infiltrarse en redes de investigadores o fabricantes. No obstante, existen métodos menos comprometidos como el uso de honeypots, que permiten identificar 0-days en uso activo en la red.

Cabe destacar que los exploits 0-day más valiosos no se utilizan de forma masiva. Por ejemplo, nadie lanza un RCE zero-click contra todos los servidores Apache de Internet. Sin embargo, los honeypots sí pueden detectar exploits 0-day más comunes, utilizados para propagar botnets o redes ORB mediante la explotación de routers domésticos o dispositivos IoT.

Utilización de exploits

Una vez aprovisionados, los exploits deben ser preparados (staged) para que puedan utilizarse eficazmente. Normalmente, un exploit es un fragmento de código escrito en un lenguaje de programación determinado, o incluso un programa binario que explota una vulnerabilidad concreta. Para ser funcional, debe integrarse en una herramienta ofensiva, adaptándose si es necesario a los requisitos del entorno o del objetivo. En resumen, debe prepararse para su uso en operación.

La mayoría de las herramientas ofensivas que incorporan capacidades de explotación, como Metasploit, permiten cargar exploits. El tipo de exploit admitido y su forma de integración dependen de la herramienta utilizada. Aunque el proceso de preparación es habitual, en ciertos casos el exploit puede utilizarse de forma autónoma, sin necesidad de integración previa. Esto depende del tipo de exploit.

Una vez integrados en herramientas de ciberseguridad ofensiva, llega el momento de utilizarlos contra un objetivo. Es importante destacar que incluso utilizando un exploit 0-day, la operación puede ser detectada por mecanismos de seguridad convencionales si no se ejecuta adecuadamente. Un 0-day hace referencia a una vulnerabilidad desconocida por el fabricante, no a una técnica de explotación indetectable. Por eso, las medidas de evasión (OPSEC) deben considerarse imprescindibles en cualquier operación, independientemente del tipo de exploit usado. Como se mencionó antes: el exploit es la bala, pero esta bala normalmente se dispara desde una herramienta de explotación, la arma.

Conclusiones

Los exploits pueden clasificarse según su objetivo: desde aquellos que apuntan a vulnerabilidades conocidas y parcheadas, hasta los 0-days, que son los más peligrosos y valiosos. Como ocurre con casi todos los componentes del arsenal de un actor de amenazas, los exploits deben ser aprovisionados y preparados antes de utilizarse contra un sistema.

El valor de un exploit, tanto a nivel operacional como económico, depende de sus características. Por ejemplo, una cadena de exploits 0-day dirigida a tecnologías ampliamente utilizadas, que no requiere interacción del usuario y permite persistencia tras reinicio, puede alcanzar un precio de 3 millones de euros. Por el contrario, un exploit para una vulnerabilidad bien conocida en una tecnología poco usada, y ya parcheada, suele estar disponible de forma gratuita.

Una vez aprovisionado, el exploit suele integrarse en herramientas ofensivas como Metasploit antes de su uso. Estas herramientas, que pueden ser open source o desarrollos a medida, son claves junto con el exploit para lograr el éxito de la operación. El tercer componente esencial es la evasión, es decir, el uso de técnicas para evitar ser detectado.

Por supuesto, la explotación debe realizarse únicamente sobre sistemas autorizados, como parte de proyectos legítimos de evaluación de seguridad. La explotación puede afectar a la confidencialidad, integridad y disponibilidad de los datos y sistemas, por lo que debe planificarse, ejecutarse y documentarse cuidadosamente, siempre con el objetivo de mejorar la seguridad del cliente.

Por último, conviene subrayar que muchas organizaciones manifiestan preocupación por los exploits 0-day y las vulnerabilidades desconocidas. Sin embargo, la realidad es que los actores de amenazas, incluso los más avanzados, no dependen de exploits 0-day en la mayoría de sus operaciones. No lo necesitan, porque muchas organizaciones —incluso las más preocupadas por los 0-days— no aplican una política de parches adecuada, no monitorizan actividades sospechosas y no refuerzan sus perímetros de seguridad. Por ello, la mayoría de las organizaciones deberían centrar su atención en los exploits N-day, mucho más comunes y efectivos en entornos mal protegidos.

Por ello, muchas organizaciones deberían replantear sus prioridades: más allá de la preocupación por los exploits 0-day, el verdadero riesgo está en las vulnerabilidades conocidas que no se corrigen. La mayoría de los incidentes graves se originan en entornos donde no se aplican parches, no se monitoriza en tiempo real y no existe capacidad de respuesta efectiva. Para afrontar este escenario, es esencial adoptar un enfoque estructurado que combine la gestión proactiva de vulnerabilidades, la visibilidad continua y la respuesta coordinada ante amenazas activas.

En este contexto, contar con un equipo de Red Team especializado permite evaluar la resiliencia real de los sistemas frente a escenarios de ataque plausibles, identificando debilidades antes de que lo hagan actores maliciosos. Y disponer de un servicio de Detección y Respuesta Gestionada (EMDR) integrado con un SOC experto —como el de S2GRUPO— proporciona la capacidad de actuar con rapidez y precisión cuando la amenaza es real.

Porque en ciberseguridad, lo que más impacto genera no es lo desconocido, sino lo conocido y desatendido.

Artículos relacionados
Rusia: amenaza virtual, física… y mental.
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día