Un exploit de día cero es un vector o técnica de ciberataque que aprovecha un fallo de seguridad desconocido o no corregido en el software, hardware o firmware de un ordenador. El término "día cero" hace referencia al hecho de que el proveedor de software o dispositivos dispone de un total de cero días, es decir, que no dispone de tiempo alguno para corregir el fallo, ya que los agentes maliciosos pueden utilizarlo para acceder a los sistemas vulnerables.
La vulnerabilidad desconocida o no abordada se denomina vulnerabilidad de día cero o amenaza de día cero. Un ataque de día cero se produce cuando un actor malintencionado utiliza un exploit de día cero para introducir malware, robar datos o causar daños a usuarios, organizaciones o sistemas.
Un concepto similar pero distinto, el malware de día cero, es un virus u otra forma de malware cuya firma es desconocida o aún no está disponible, y por tanto resulta indetectable para muchas soluciones de software antivirus u otras tecnologías de detección de amenazas basadas en firmas.
El equipo X-Force Threat Intelligence de IBM ha registrado 7327 vulnerabilidades de día cero desde 1988. Aunque esto supone sólo el tres por ciento de todas las vulnerabilidades de seguridad registradas, las vulnerabilidades de día cero (especialmente las de sistemas operativos o dispositivos informáticos de uso generalizado) se encuentran entre los riesgos de seguridad más graves, porque dejan a un gran número de usuarios u organizaciones enteras totalmente expuestos a la ciberdelincuencia hasta que el proveedor o la comunidad de ciberseguridad identifican el problema y publican una solución.
Una vulnerabilidad de día cero existe en una versión de un sistema operativo, aplicación o dispositivo desde el momento de su lanzamiento, cosa que el proveedor de software o el fabricante de hardware ignoran. La vulnerabilidad puede pasar desapercibida durante días, meses o años hasta que alguien la encuentre.
En el mejor de los casos, los investigadores de seguridad o los desarrolladores de software descubren el fallo antes que los actores de amenazas. A veces, sin embargo, son los hackers los primeros en dar con la vulnerabilidad.
Independientemente de quién descubra el fallo, suele hacerse público poco después. Los vendedores y los profesionales de la seguridad suelen informar a los clientes para que tomen precauciones. Los hackers, por su parte, pueden hacer circular la amenaza entre ellos, de manera que los investigadores la detectan observando la actividad de los ciberdelincuentes. Algunos proveedores pueden mantener en secreto una vulnerabilidad hasta que hayan desarrollado una actualización de software u otra corrección, pero esto puede resultar una apuesta arriesgada: si los hackers descubren el fallo antes de que los proveedores lo parcheen, estos podrían pillar desprevenidas a las organizaciones.
El conocimiento de cualquier nuevo fallo de día cero desencadena una carrera entre los profesionales de la seguridad que trabajan en una solución y los hackers que desarrollan un exploit de día cero que aprovecha la vulnerabilidad para introducirse en un sistema. Una vez que los hackers desarrollan un exploit de día cero viable, lo utilizan para lanzar un ciberataque.
A menudo, los hackers son capaces de desarrollar exploits más rápido de lo que los equipos de seguridad desarrollan parches. Según una estimación (enlace externo a ibm.com), los exploits suelen estar disponibles en los 14 días siguientes a la divulgación de una vulnerabilidad. Sin embargo, una vez que comienzan los ataques de día cero, los parches suelen llegar en pocos días. Esto se debe a que los proveedores pueden utilizar la información de los ataques para localizar el fallo que deben corregir. Así pues, aunque las vulnerabilidades de día cero pueden ser peligrosas, los hackers no suelen poder explotarlas durante mucho tiempo.
Stuxnet era un sofisticado gusano informático que sacaba provecho de cuatro vulnerabilidades de software de día cero diferentes en los sistemas operativos Microsoft Windows. En 2010, Stuxnet se utilizó en una serie de ataques contra instalaciones nucleares en Irán. Una vez que el gusano había penetrado en los sistemas informáticos de una central nuclear, enviaba órdenes maliciosas a las centrifugadoras utilizadas para enriquecer uranio. Estas órdenes hicieron que las centrifugadoras giraran lo suficientemente rápido como para averiarse. En total, Stuxnet causó desperfectos en 1 000 centrifugadoras.
Los investigadores creen que los gobiernos estadounidense e israelí colaboraron en la construcción de Stuxnet, pero esto es solo una conjetura.
Log4Shell era una vulnerabilidad de día cero en Log4J, una biblioteca Java de código abierto utilizada para registrar mensajes de error. Los hackers podían utilizar el fallo Log4Shell para controlar a distancia casi cualquier dispositivo que ejecute aplicaciones Java. Dado que Log4J se utiliza en programas populares como Apple iCloud y Minecraft, cientos de millones de dispositivos estaban en peligro. La base de datos Common Vulnerabilities and Exposures (CVE) de MITRE otorgó a Log4Shell la máxima puntuación de riesgo posible, un 10 sobre 10.
El fallo Log4Shell estaba presente desde 2013, pero los hackers no empezaron a sacarle provecho hasta 2021. La vulnerabilidad se parcheó poco después de su descubrimiento, pero los investigadores de seguridad detectaron más de 100 ataques Log4Shell por minuto en su punto álgido de actividad. (enlace externo a ibm.com).
A principios de 2022, hackers norcoreanos explotaron una vulnerabilidad de ejecución remota de código de día cero en los navegadores web Google Chrome. Los hackers utilizaban correos electrónicos de phishing para remitir a las víctimas a sitios falsos, que aprovechaban la vulnerabilidad de Chrome para instalar spyware y malware de acceso remoto en los equipos de las víctimas. La vulnerabilidad se parcheó después de salir a la luz, pero los hackers ocultaron bien sus huellas y los investigadores no saben exactamente qué datos se robaron.
Los ataques de día cero son algunas de las ciberamenazas más difíciles de combatir. Los hackers pueden aprovechar vulnerabilidades de día cero antes incluso de que sus objetivos las conozcan, lo que permite a los actores de amenazas colarse en las redes sin ser detectados.
Incluso si la vulnerabilidad es de dominio público, puede pasar un tiempo antes de que los proveedores de software publiquen un parche, lo que deja a las organizaciones expuestas y desprotegidas entretanto.
Durante los últimos años, se ha incrementado la frecuencia con la que los piratas informáticos aprovechan las vulnerabilidades de día cero. Un informe de Mandiant de 2022 descubrió que solo en 2021 se explotaron más vulnerabilidades de día cero que en todo el periodo comprendido entre 2018 y 2020 (enlace externo a ibm.com).
El incremento de los ataques de día cero está probablemente relacionado con el hecho de que las redes de las empresas son cada vez más complejas. Hoy en día, las organizaciones confían en una mezcla de aplicaciones en la nube y locales, dispositivos propiedad de la empresa y de los empleados, y dispositivos del Internet de las Cosas (IoT) y de tecnología operativa (TO). Todos amplían la superficie de ataque de una organización, puesto que las vulnerabilidades de día cero podrían estar ocultas en cualquiera de ellos.
Dadas las valiosas oportunidades que ofrecen los fallos de día cero a los hackers, los ciberdelincuentes comercian ahora con vulnerabilidades y exploits de día cero en el mercado negro a cambio de cuantiosas sumas. Por ejemplo, en 2020, los hackers vendían los días cero de Zoom por nada menos que 500.000 dólares (enlace externo a ibm.com).
Asimismo, se sabe que los actores estatales también buscan fallos de día cero. Muchos optan por no revelar los días cero que encuentran y optan en su lugar por crear sus propios exploits secretos de día cero para utilizarlos contra sus adversarios. Muchos proveedores e investigadores de seguridad han criticado esta práctica, argumentando que pone en peligro a las organizaciones que no son conscientes de ello.
Los equipos de seguridad suelen estar en desventaja con las vulnerabilidades de día cero. Dado que estos fallos son desconocidos y no tienen parche, las organizaciones no pueden tenerlos en cuenta en la gestión de riesgos de ciberseguridad ni en los esfuerzos de mitigación de vulnerabilidades.
Sin embargo, hay ciertas medidas que las empresas pueden tomar para descubrir más vulnerabilidades y disminuir el impacto de los ataques de día cero.
Gestión de parches: los proveedores se apresuran a sacar parches de seguridad en cuanto detectan la existencia de días cero, pero muchas organizaciones no aplican estos parches con la suficiente rapidez. Un programa formal de gestión de parches puede ayudar a los equipos de seguridad a estar al tanto de estos parches críticos.
Gestión de vulnerabilidades: las evaluaciones en profundidad de vulnerabilidades y las pruebas de penetración pueden ayudar a las empresas a encontrar vulnerabilidades de día cero en sus sistemas antes de que lo hagan los hackers.
Gestión de la superficie de ataque (ASM): las herramientas de ASM permiten a los equipos de seguridad identificar todos los activos de sus redes y examinarlos en busca de vulnerabilidades. Las herramientas ASM evalúan la red desde la perspectiva de un hacker, centrándose en la forma en que los actores de amenazas tienden a explotar los activos para obtener acceso. Dado que las herramientas de ASM ayudan a las organizaciones a ver sus redes a través de los ojos de un atacante, pueden ayudar a descubrir vulnerabilidades de día cero.
Información sobre amenazas: los investigadores de seguridad suelen ser de los primeros en detectar vulnerabilidades de día cero. Las organizaciones que se mantienen al día con la inteligencia de amenazas externas suelen enterarse antes de las nuevas vulnerabilidades de día cero.
Métodos de detección basados en anomalías: el malware de día cero puede eludir los métodos de detección basados en firmas, pero las herramientas que utilizan el machine learning para localizar actividades sospechosas en tiempo real suelen ser capaces de detectar ataques de día cero. Entre las soluciones de detección de anomalías más comunes se encuentran el análisis del comportamiento de usuarios y entidades (UEBA), las plataformas de detección y respuesta ampliadas (XDR), las herramientas de detección y respuesta de endpoints (EDR) y algunos sistemas de detección y prevención de intrusiones.
Arquitectura zero trust: si un pirata informático aprovecha una vulnerabilidad de día cero para entrar en una red, la arquitectura de confianza cero puede limitar los daños. El zero trust utiliza la autenticación continua y el acceso con mínimos privilegios para impedir los movimientos laterales y bloquear el acceso de los agentes malintencionados a los recursos sensibles.
Mejore rápidamente la ciberresilencia de su organización. Gestione la evolución de su huella digital, detecte la computación fantasma y alcance su objetivo con resultados correlacionados y basados en hechos adversos.
El 81% de los profesionales de SOC dicen que se ven ralentizados por la investigación manual.1 Acelere las investigaciones de alertas con IBM Security QRadar Suite, una selección modernizada de tecnologías de seguridad que ofrece una experiencia de analista unificada creada con IA y automatizaciones.
Adopte un programa de gestión de vulnerabilidades que identifique, priorice y gestione la corrección de fallos, refuerce su resistencia a los ataques, acorte los plazos de corrección y ayude a mantener el cumplimiento de la normativa.
Aprenda todo lo que necesita saber sobre los exploits de día cero y el papel crucial que desempeñan en la seguridad. Elaborado por Randori, una compañía de IBM.
Los ciberataques son intentos de robar, exponer, alterar, inhabilitar o destruir los activos de otra persona a través del acceso no autorizado a los sistemas informáticos.
La gestión de vulnerabilidades es la detección y resolución continuas de errores de seguridad en la infraestructura y el software de TI de una organización.
Notas a pie de página
1 Resultados del estudio del Centro de Operaciones de Seguridad Global (PDF), realizado por Morning Consult y patrocinado por IBM, marzo de 2023