Puede que no piense dos veces en el software que utiliza para hacer funcionar sus ordenadores y dispositivos, pero detrás de la interfaz hay un código muy complejo que puede haber llevado años a un gran equipo de desarrolladores escribir y poner a punto. A pesar de sus esfuerzos, los desarrolladores pueden pasar por alto fallos del software. Aunque algunos defectos sólo afectan a la experiencia del usuario, otros son mucho más graves.
Un fallo de día cero es cualquier vulnerabilidad de software explotable por piratas informáticos que aún no tiene parche. Es posible que los desarrolladores del software no conozcan la debilidad, estén desarrollando una solución para ella o la estén ignorando. Como puede imaginarse, una vulnerabilidad de este tipo puede dar lugar a una brecha crítica de ciberseguridad.
¿Por qué se llama día cero?
Mucha gente quiere saber por qué los expertos llaman a este tipo de exploits informáticos vulnerabilidades de día cero y no otra cosa. Hay que reconocer que el nombre tiene algo de sarcasmo. La gente del mundo de la informática se refiere a ello como un ataque de día cero, porque los creadores del software tienen cero días para responder después de que los hackers se hayan aprovechado de él. Es como cerrar la puerta del establo cuando el lobo ya ha entrado. Claro que se pueden prevenir futuros ataques, pero eso no sirve de consuelo a la oveja perdida.
Una vez que la vulnerabilidad de día cero se hace pública, ya no es un fallo de día cero, es sólo una vulnerabilidad. Por lo general, los fabricantes se esfuerzan al máximo para desarrollar un parche que corrija el fallo en cuanto lo conocen.
¿Cómo se descubren los fallos de día cero?
Con los fabricantes trabajando horas extras para minimizar las vulnerabilidades, notará que su software se actualiza con bastante regularidad. A veces, las actualizaciones de seguridad se publican incluso el mismo día en que se estrena el software. Aunque a los desarrolladores les gusta encontrar agujeros de seguridad internamente, tampoco les importa recibir ayuda externa.
Hackers de sombrero blanco
White hat hacker es un término arcaico para referirse a un hacker ético. Las empresas contratan a estos especialistas para mejorar la seguridad de la red. Identificar posibles fallos de día cero puede formar parte del trabajo.
Hackers de sombrero gris
Los hackers de sombrero gris son como los de sombrero blanco, salvo que no trabajan de forma oficial. Estos hackers pueden intentar encontrar fallos de día cero con la esperanza de conseguir un trabajo en la empresa, ganar notoriedad o simplemente por entretenimiento. Un hacker de sombrero gris nunca se aprovecha de los fallos que descubre. Un ejemplo es cuando un hacker explotó una vulnerabilidad en la plataforma de criptomonedas Poly Network para hacerse con tokens por valor de 600 millones de dólares antes de devolver la suma.
Concursos
Muchas empresas de software organizan eventos de hacking y pagan a los hackers dinero y premios por encontrar exploits. Aquí, los hackers encuentran fallos en sistemas operativos, navegadores web y aplicaciones para dispositivos móviles y ordenadores. Un ejemplo reciente es el de dos especialistas en seguridad holandeses que se llevaron a casa 200.000 dólares por descubrir un día cero de Zoom en Pwn2Own.
Investigadores
Los investigadores de empresas de ciberseguridad como Malwarebytes buscan exploits como parte de su trabajo. Cuando los investigadores encuentran un exploit antes que los ciberdelincuentes, suelen comunicarlo a los fabricantes antes de hacerlo público. Al dar ventaja a los fabricantes, los investigadores pueden minimizar las posibilidades de que los piratas informáticos lancen ataques de día cero.
¿Cómo se descubren los ataques de día cero?
Un usuario de software se da cuenta de que es el objetivo de un ataque de día cero cuando su sistema se comporta de forma inusual o cuando un hacker utiliza el exploit para lanzar malware amenazador como ransomware. Los investigadores también pueden descubrir un ataque de día cero después de un suceso. Por ejemplo, tras el ataque estatal Stuxnet contra Irán, investigadores de todo el mundo se dieron cuenta de que se trataba de un ataque de gusano de día cero. A veces, un ataque de día cero es reconocido por un fabricante después de que un cliente informe de una actividad inusual.
¿Son frecuentes los ataques de día cero?
Los ataques de día cero, como el del gusano Stuxnet, tienen objetivos específicos y no afectan a los usuarios habituales de ordenadores. Por su parte, empresas de renombre como Microsoft, Apple y Google suelen corregir los ataques de día cero lo antes posible para proteger su reputación y la de sus usuarios. A menudo, la solución se publica antes de que el usuario medio se vea afectado. Aún así, los días cero no deben tomarse a la ligera porque su impacto puede ser muy perjudicial.
¿Cómo se produce un ataque de día cero?
- Identificación: Los piratas informáticos encuentran vulnerabilidades no notificadas en el software mediante pruebas o comprando en mercados negros en los bajos fondos de Internet como Dark Web.
- Creación: Los actores de amenazas crean kits, scripts o procesos que pueden explotar las vulnerabilidades recién encontradas.
- Inteligencia: Los atacantes ya tienen un objetivo en mente o utilizan herramientas como bots, sondeos o escáneres para encontrar objetivos rentables con sistemas explotables.
- Planificación: Los piratas informáticos evalúan los puntos fuertes y débiles de su objetivo antes de lanzar un ataque. Pueden utilizar la ingeniería social, espías o cualquier otra táctica para infiltrarse en un sistema.
- Ejecución: Con todo listo, los atacantes despliegan su software malicioso y explotan la vulnerabilidad.
Cómo mitigar los ataques de día cero
Impedir que los atacantes aprovechen vulnerabilidades desconocidas para penetrar en su sistema es, sin duda, todo un reto. Es fundamental cerrar los vectores de amenaza que un actor puede utilizar para infiltrarse en su red con capas de protección y prácticas más seguras. He aquí algunos consejos que pueden ayudarle a detectar y prevenir amenazas desconocidas:
- No utilices software antiguo. Los hackers pueden crear más fácilmente exploits para software que el proveedor ya no soporta.
- Utilice herramientas antivirus avanzadas que cuenten con aprendizaje automático, detección de comportamientos y mitigación de exploits. Estas funciones pueden ayudar a las herramientas de ciberseguridad a detener amenazas con firmas desconocidas.
- En las empresas:
- Forme a los empleados para identificar los ataques de ingeniería social, como el spear-phishing, que los hackers pueden utilizar como vector de ataque.
- Adopte soluciones de detección y respuesta a puntos finales (EDR ) para supervisar y proteger sus puntos finales.
- Mejore la seguridad de la red con cortafuegos, VPN privadas e IPsec.
- Segmente sus redes con sólidos controles de acceso a la red.
Noticias sobre los días cero
- Log4j zero-day "Log4Shell" llega justo a tiempo para arruinar tu fin de semana
- Windows La vulnerabilidad del instalador se convierte en un día cero activamente explotado
- ¡Parche ya! Explotación activa del día cero de FatPipe VPN
- ¡Parche ya! Microsoft tapona activamente los días cero explotados y otras actualizaciones
- Google parchea una vulnerabilidad de día cero, y otras, en Android
- ¡Parche ya! Apache corrige una vulnerabilidad de día cero en el servidor HTTP
- Actualización Google Chrome corrige dos zero-days in-the-wild
- Apple lanza una actualización de emergencia: Parche, pero que no cunda el pánico
- El día cero HiveNightmare permite a cualquiera ser SYSTEM en Windows 10 y 11
- PrintNightmare 0-day puede utilizarse para hacerse con el control de los controladores de dominio de Windows .
- Microsoft corrige siete días cero, incluidos dos objetivos de PuzzleMaker, Google corrige un grave fallo de Android
- El descubrimiento del día cero de Zoom hace que las llamadas sean más seguras y que los hackers se enriquezcan con 200.000 dólares