Si tienes entre manos una vulnerabilidad de día cero, tienes un problema. A continuación te explicamos qué significa y qué puedes hacer para evitar ser víctima de uno de estos ataques.
El término «zero day o día cero» es bastante común en el mundo de la ciberseguridad. En los últimos meses, las principales empresas tecnológicas, desde Microsoft y Google hasta Apple, han tenido que parchear fallos de día cero, pero ¿qué significa esto? Aquí te explicamos cómo funcionan y cómo protegerte.
¿Por qué se llama zero day o día cero?
El término «zero day o día cero» se refiere a una vulnerabilidad que existe en la naturaleza sin el conocimiento del fabricante del software, dejándolo abierto al ataque. Una vez que descubren el problema, tienen «cero días» para solucionarlo porque ya están en peligro. La empresa de software de seguridad Kaspersky señala que hay tres formas principales de concebir un día cero:
Vulnerabilidad de día cero: Debilidad del software que puede explotarse y que los atacantes descubren antes de que el fabricante lo sepa.
Exploit de día cero: El método que utiliza un atacante para acceder al sistema utilizando esa vulnerabilidad de día cero.
Ataque de día cero: Cuando los malos actores utilizan un exploit de día cero para entrar en un sistema y robar datos o causar daños.
Por tanto, la vulnerabilidad es el punto débil, el exploit es el método que utilizan los malos actores para entrar y el ataque es cuando esos malos actores utilizan esa vulnerabilidad para causar daños. A veces los términos se utilizan indistintamente, pero no son exactamente lo mismo.
¿Cómo funcionan los ataques de día cero?
Incluso cuando los desarrolladores y fabricantes de software comprueban con exhaustividad que sus productos no tengan fallos, se producen errores, y los hackers se dedican a buscar puntos débiles o lagunas que puedan explotar en su propio beneficio.
Una vez que un ciberatacante encuentra esa vulnerabilidad, puede escribir un segmento de código para aprovecharla. Lo que ese código sea y haga dependerá del tipo de vulnerabilidad que hayan descubierto. A veces, los atacantes pueden obtener acceso al sistema simplemente utilizando un exploit de día cero. Si no pueden, intentarán engañar a alguien para que les deje entrar.
Los ciberatacantes suelen hacerlo a través de la ingeniería social, técnicas que juegan con la psicología humana para engañar a los usuarios y hacerles bajar la guardia. Las estafas de phishing, que envían mensajes amenazadores para asustar a la gente y hacer que realice una acción deseada, son un caso de libro de texto de ingeniería social. Un correo electrónico falso que parece enviado por su banco, por ejemplo, dice que su cuenta ha sido pirateada y le dice que «haga clic aquí para verificar los detalles de su cuenta». La ingeniería social se utiliza en casi cualquier tipo de ciberataque, desde estafas de malware a ataques USB, porque funciona con la frecuencia suficiente para ser útil.
Una vulnerabilidad de día cero puede existir durante meses antes de ser detectada. Durante ese tiempo, los atacantes pueden salirse con la suya robando o copiando datos y dañando sistemas sensibles hasta que el fabricante del software aplique una solución.
Los hackers malintencionados suelen vender información sobre vulnerabilidades de día cero en la Darknet por grandes sumas de dinero. Mientras los únicos que conozcan estos exploits sean los atacantes, seguirán siendo una amenaza.
Los ataques de día cero pueden perturbar mucho más que las contraseñas de correo electrónico o incluso los datos bancarios. Los objetivos van desde contraseñas e información personales hasta vulnerabilidades en dispositivos conectados al «Internet de las Cosas».
¿Cómo se descubren los ataques de día cero?
La buena noticia es que no son sólo los hackers malintencionados los que buscan estos puntos débiles. Las empresas de software y tecnología a menudo emplean hackers de «sombrero blanco» o «sombrero gris» para probar sus sistemas contra ataques y descubrir vulnerabilidades antes de que sus productos salgan al mercado.
Una vez descubiertas, estas vulnerabilidades se publican en foros públicos que los profesionales del sector saben que deben consultar. Algunos proveedores también se dedican a recopilar y compartir vulnerabilidades. La rama de inteligencia en la nube de Cisco, llamada Talos Intelligence, es una de esas empresas que enumera las vulnerabilidades notificadas por los usuarios, incluidos los días cero, en su sitio web. El canal de YouTube de formación en TI CBT Nuggets profundiza en este tema en uno de sus vídeos.
Las empresas tecnológicas también pagan «recompensas por fallos» a hackers o investigadores independientes que encuentran vulnerabilidades en sus productos. Estos programas crean un incentivo para que los hackers expertos prueben constantemente un sistema o programa informático y comuniquen sus hallazgos al desarrollador.
Las amenazas de día cero son difíciles de detectar, porque la información sobre ellas sólo se hace pública una vez descubiertas y a menudo sólo se descubren después de un ataque. Esas pruebas pueden ser datos que faltan, fallos en el sistema, algoritmos que se comportan de forma inadecuada o falta de cifrado.
Las pruebas de ataques de día cero también pueden adoptar la forma de tráfico inesperado o actividad de exploración. Si un sistema se ha visto comprometido y está enviando datos de forma encubierta al origen del ataque, por ejemplo, podrías observar un tráfico en el servidor mayor de lo normal.
A menudo se utiliza una mezcla de bases de datos de malware existentes, la observación del sistema en busca de comportamientos extraños y el aprendizaje automático para detectar nuevas amenazas de día cero, señala Kaspersky. La información sobre el comportamiento anterior del malware y las interacciones pasadas del sistema se utiliza para determinar si algo es sospechoso y debe ser marcado para su investigación. La IA, en particular, puede analizar una gran cantidad de datos, lo que le proporciona un sólido marco de referencia para combatir nuevas amenazas.
¿Cómo protegerse de los ataques de día cero?
La naturaleza de los ataques de día cero hace que sea difícil protegerse contra ellos, pero es posible defenderse en cierta medida. Para empezar, mantén todos tus sistemas y software actualizados. En 2017, los ataques del ransomware WannaCry se generaron a partir de una lista robada de vulnerabilidades en los sistemas de Microsoft, muchas de las cuales podrían haberse protegido descargando un parche de actualización gratuito. Así que, por muy tentador que sea, no sigas haciendo clic en «recuérdamelo más tarde».
Descargar sólo las aplicaciones que sabes que son necesarias y que realmente vas a utilizar también te ayudará a protegerte. Cuantas más aplicaciones tengas, más vías de acceso a tu sistema tendrá un atacante.
Los programas antivirus y antimalware son una ventaja. Suelen basarse en datos de amenazas anteriores, pero se actualizan a menudo. Un buen software puede seguir protegiendo contra muchas amenazas, así que configura estos programas para que ejecuten automáticamente escaneos regulares de todo tu sistema para que no te olvides de utilizarlos. Para una capa de seguridad adicional, un cortafuegos es una opción, aunque puede resultar excesivo en los tiempos que corren.
Por último, edúcate a ti mismo y/o a los miembros de tu organización. Todo el mundo puede mejorar su higiene digital en Internet y cuanto más conozca la gente las tácticas habituales de ingeniería social utilizadas por los atacantes, menos éxito tendrán.
La entrada ¿Qué son los ataques y exploits de día cero? se publicó primero en spaintechblog.
