Vulnerabilidades de «zero-click»: qué son y cómo funcionan

click ejecutan código remoto sin necesidad de que el usuario realice ninguna acción. No hay que click ningún enlace click descargar ningún archivo adjunto. El ataque comienza en el momento en que el software receptor procesa los datos entrantes. Para los ciberdelincuentes, el correo electrónico es una de las formas más fiables de enviar esos datos.

La formación tradicional en concienciación sobre seguridad insta a los empleados a mantenerse alerta: verificar el remitente, no abrir archivos adjuntos inesperados y no click enlaces sospechosos. Ese modelo parte de la base de que hay una decisión humana entre el atacante y la ejecución.click no lo hacen.

Para los responsables de seguridad que evalúan el nivel de riesgo de su organización, esa diferencia es significativa.

Cómo funcionan los exploits sin clic

Los atacantes crean una entrada maliciosa diseñada para aprovechar una vulnerabilidad en el software que procesa automáticamente los datos entrantes. El ataque se produce en el momento en que la aplicación analiza el contenido. No se requiere ninguna acción por parte del usuario.

Esto difiere fundamentalmente del phishing. El phishing se basa en la ingeniería social para convencer al usuario de que realice una acción.click se aprovechan de las vulnerabilidades del software y no requieren ninguna intervención humana. Eso es lo que los hace especialmente difíciles de contrarrestar.

El correo electrónico es uno de los canalesclick más fiables, ya que los clientes de correo electrónico analizan el contenido entrante por defecto. Por lo general, los encabezados, el cuerpo del mensaje, los archivos adjuntos y los enlaces se procesan automáticamente. Ese comportamiento de análisis es esencial para el funcionamiento del correo electrónico, y es precisamente el mismo que aprovechanclick ».

Las consecuencias son graves. Una vez que un atacante consigue acceder al sistema, puede instalar malware, sustraer datos o desplazarse lateralmente por la red antes de que el departamento de TI se dé cuenta de lo que ha ocurrido. En entornos grandes y distribuidos, el margen para la detección es reducido y el daño potencial es considerable.

Vulnerabilidades explotadas en la vida real sin necesidad de hacer clic

No se trata de riesgos teóricos. Tres vulnerabilidades documentadas entre 2024 y 2025 demuestran con qué frecuencia se ha utilizado la bandeja de entrada del correo electrónico como mecanismo de entrega y lo poco que se requería la intervención del usuario.

CVE-2024-30103: Microsoft Outlook

En abril de 2024, los investigadores de Morphisec descubrieron una vulnerabilidad crítica en Microsoft Outlook que permitía a los atacantes ejecutar código en el momento en que se abría un correo electrónico malicioso. La vulnerabilidad utilizaba formularios de Outlook inyectados para lograr la ejecución remota de código. La función de apertura automática de correos electrónicos de Outlook eliminaba por completo la necesidad de interacción.

Morphisec advirtió de que, dada la sencillez del exploit, era probable que los atacantes lo utilizaran para obtener acceso inicial. Los atacantes que aprovecharan la vulnerabilidad podrían ejecutar código arbitrario con los mismos privilegios que el usuario, lo que podría dar lugar a un compromiso total del sistema. Microsoft corrigió la vulnerabilidad en su actualización del «Patch Tuesday» de 2024. El CVE tiene una puntaje CVSS puntaje 8,8.

CVE-2025-21298: OLE de Windows

Esta vulnerabilidad de la tecnología Object Linking and Embedding (OLE) de Windows, revelada en enero de 2025, permitía a los atacantes ejecutar código de forma remota a través de un documento RTF especialmente diseñado. La falla se encontraba en el archivo ole32.dll, donde se producía un error de doble liberación de memoria al procesar objetos OLE incrustados.

Bastaba con abrir o previsualizar el correo electrónico malicioso en Microsoft Outlook para que se desencadenara el ataque. No se requería ninguna otra acción por parte del usuario. Se ha clasificado como crítica, con una puntaje CVSS puntaje 9,8.

CVE-2025-32711 (EchoLeak): Microsoft 365 Copilot

En junio de 2025, Aim Labs, la división de investigación de Aim Security, dio a conocer EchoLeak, el primerclick documentado contra un agente de IA. La vulnerabilidad afectaba a Microsoft 365 Copilot y no requería ninguna interacción por parte del usuario más allá de recibir un correo electrónico.

Un atacante solo tenía solo enviar un correo electrónico manipulado a una víctima. Microsoft 365 Copilot procesaba las instrucciones ocultas de inyección de comandos incrustadas en el correo electrónico y filtraba datos confidenciales (como registros de chat, documentos y correos electrónicos) sin que el destinatario tuviera que realizar ninguna acción.

La vulnerabilidad CVE tiene una puntaje CVSS puntaje 9,3. Microsoft solucionó el problema en junio de 2025.

Las tres vulnerabilidades tienen un punto en común: la bandeja de entrada del correo electrónico fue el medio de transmisión, y el ataque se llevó a cabo antes de que el usuario tomara ninguna decisión. En todos los casos, la vulnerabilidad se encontraba en un software que funcionaba exactamente según lo previsto.

Prevención de vulnerabilidades de «zero-click»

click no tienen una solución única. Requieren un conjunto de medidas de control que aborden diferentes aspectos de la superficie de ataque. Las medidas que se indican a continuación no eliminan el riesgo por completo, pero, en conjunto, reducen la exposición de forma significativa.

Actualiza el firmware y el software de forma continua. La mayoríaclick documentados se aprovechan de vulnerabilidades conocidas para las que ya existen parches. El retraso en la aplicación de los parches es lo que mantiene a la mayoría de las empresas expuestas a riesgos. Aplica los parches tan pronto como se publiquen, dando prioridad a los clientes de correo electrónico, los componentes del sistema operativo y el software que procesa datos externos.

Aplica controles a nivel de red. Los controles de red pueden bloquear el tráfico malicioso antes de que llegue al software vulnerable. La segmentación de la red limita el alcance de un atacante tras la ejecución, restringiendo el movimiento lateral y reduciendo el daño que puede causar una vez que ha entrado.

Restringe las aplicaciones y los servicios de alto riesgo. Los servicios que procesan automáticamente contenido externo constituyen la vía de ejecución en la que se basanclick ». Desactivarlos o restringirlos reduce el número de posibles puntos de entrada.

Refuerza la seguridad de los dispositivos y endurece los controles de acceso. El refuerzo de la seguridad limita el acceso de los componentes comprometidos y reduce el daño que un atacante puede causar una vez que ha logrado entrar. Entre las medidas se incluyen la desactivación de servicios innecesarios, la restricción de la ejecución en segundo plano y el endurecimiento de los permisos de las aplicaciones.

El papel de la autenticación del correo electrónico

click son un problema con múltiples facetas que requiere una respuesta integral. La aplicación de parches, los controles de red, el refuerzo de la seguridad de los dispositivos y los controles de acceso abordan, cada uno de ellos, una parte diferente de la superficie de ataque.

La autenticación del correo electrónico se centra en la propia capa de entrega. Una DMARC de p=reject impide que los correos electrónicos no autenticados y suplantados lleguen a las bandejas de entrada. No corrige las vulnerabilidades del software ni evita los ataques enviados desde cuentas legítimas pero comprometidas. Lo que hace es eliminar un vector de entrega principal paraclick transmitidas por correo electrónico que se originan en fuentes suplantadas o no autorizadas.

reporte DMARC agregadosreporte los equipos de seguridad información sobre todas las fuentes que envían correos electrónicos desde su dominio, incluidos los remitentes no autorizados de los que no tienen constancia.

Sendmarc ayuda a los equipos a:

• Reduzca el riesgo y evite los envíos no autorizados. Nuestra plataformaDMARC ayuda a las empresas a aplicar p=reject en todos los dominios de envío y ofrece reporte agregados reporte proporcionan a los equipos una visión unificada de DMARC de DNS, SPF, DKIM y DMARC .
• Protege la reputación de tu marca contra la suplantación de identidad y la usurpación. Lookalike Domain Defense identifica los dominios diseñados para suplantar a su organización antes de que se utilicen en campañas dirigidas a empleados, clientes o socios.
• Detectar credenciales de empleados comprometidas. Breach Detection revela las credenciales expuestas antes de que los atacantes las aprovechen. Las cuentas comprometidas pueden enviar correos electrónicos que superan los controles de autenticación, y detectar una violación de seguridad a tiempo ayuda a prevenir su explotación.
• Mantenga mejoras continuas en materia de seguridad. Sendmarc ofrece optimización y supervisión continuas. Los equipos de seguridad obtienen una visibilidad constante de su estado de autenticación sin la carga de trabajo manual que ello supone.

Que lleguen correos electrónicos no autenticados a las bandejas de entrada supone un riesgo innecesario. Comprueba qué se está enviando actualmente desde tu dominio y qué no debería enviarse.