De los 58 exploits de día cero en software que el Proyecto Zero (Project Zero, creado hace años o GPZ por sus iniciales) de Google rastreó en 2021, sólo dos fueron particularmente novedosos, mientras que el resto se basaba en las mismas técnicas una y otra vez, según las palabras de los ingenieros de Google.

Entre las conclusiones de este grupo de seguridad de Google tenemos que 2021 fue un año récord en cuanto al número de fallos de día cero en software como Chrome, Windows, Safari, Android, iOS, Firefox, Office y Exchange que Google Project Zero (GPZ) comprobó que se habían explotado antes de que los proveedores hubieran sacado un parche para ponerles remedio.

Esta cifra supone el doble de la tasa anual media que esta unidad de Google ha ido registrando desde el año 2014.

Ha mejorado la detección

La empresa recuerda que el hecho de que un fallo no se haya detectado no significa que no se haya utilizado. Google ha argumentado que la detección está mejorando. Pero también se encontró una laguna de información: sólo había cinco muestras de los exploits utilizados contra cada una de las 58 vulnerabilidades.

Maddie Stone, investigadora de GPZ, señala en un blog que "sin la muestra del exploit o una redacción técnica detallada basada en la muestra, sólo podemos centrarnos en solucionar la vulnerabilidad en lugar de mitigar el método de explotación".

Este enfoque significa que los atacantes pueden seguir utilizando sus métodos de explotación existentes …