¿Qué es un exploit de día cero?

La vulnerabilidad desconocida o no abordada se denomina vulnerabilidad de día cero o amenaza de día cero. Un ataque de día cero se produce cuando un actor malintencionado utiliza un exploit de día cero para introducir malware, robar datos o causar daños a usuarios, organizaciones o sistemas.

Un concepto similar pero distinto, el malware de día cero, es un virus o malware cuya firma es desconocida o aún no está disponible, y por tanto resulta indetectable para muchas soluciones de software antivirus u otras tecnologías de detección de amenazas basadas en firmas.

El equipo X-Force Threat Intelligence de IBM ha registrado 7327 vulnerabilidades de día cero desde 1988, lo que supone solo el 3 % de todas las vulnerabilidades de seguridad registradas. Sin embargo, las vulnerabilidades de día cero, especialmente en sistemas operativos o dispositivos informáticos de uso generalizado, suponen un grave riesgo para la seguridad. Dejan a un gran número de usuarios y organizaciones enteras expuestas a la ciberdelincuencia hasta que el proveedor o la comunidad de ciberseguridad identifican el problema y publican una solución.

Una vulnerabilidad de día cero existe en una versión de un sistema operativo, aplicación o dispositivo desde el momento de su lanzamiento, cosa que el proveedor de software o el fabricante de hardware ignoran. La vulnerabilidad puede pasar desapercibida durante días, meses o años hasta que alguien la encuentre.

En el mejor de los casos, los investigadores de seguridad o los desarrolladores de software descubren el fallo antes que los actores de amenazas. Sin embargo, a veces los hackers encuentran antes la vulnerabilidad.
Independientemente de quién descubra el fallo, suele hacerse público poco después. Los vendedores y los profesionales de la seguridad suelen informar a los clientes para que tomen precauciones. Los hackers, por su parte, pueden hacer circular la amenaza entre ellos, de manera que los investigadores la detectan observando la actividad de los ciberdelincuentes. Algunos proveedores pueden mantener en secreto una vulnerabilidad hasta que hayan desarrollado una actualización de software u otra corrección, pero esta estrategia puede ser arriesgada. Si los hackers descubren el fallo antes de que los proveedores lo parcheen, estos podrían pillar desprevenidas a las organizaciones.

El conocimiento de cualquier nuevo fallo de día cero desencadena una carrera entre los profesionales de la seguridad que trabajan en una corrección y los hackers que desarrollan un exploit de día cero que aprovecha la vulnerabilidad para introducirse en un sistema. Una vez que los hackers desarrollan un exploit de día cero viable, lo utilizan para lanzar un ciberataque.

A menudo, los hackers son capaces de desarrollar exploits más rápido de lo que los equipos de seguridad desarrollan parches. Según una estimación, las explotaciones suelen estar disponibles a los 14 días de la revelación de una vulnerabilidad. Sin embargo, una vez que comienzan los ataques de día cero, los parches suelen estar disponibles en pocos días, ya que los proveedores utilizan la información de los ataques para localizar el fallo que deben corregir. Así pues, aunque las vulnerabilidades de día cero pueden ser peligrosas, los hackers no suelen poder explotarlas durante mucho tiempo.

Stuxnet era un sofisticado gusano informático que sacaba provecho de cuatro vulnerabilidades de software de día cero diferentes en los sistemas operativos Microsoft Windows. En 2010, Stuxnet se utilizó en una serie de ataques contra instalaciones nucleares en Irán. Una vez que el gusano penetraba en los sistemas informáticos de una central nuclear, enviaba órdenes maliciosas a las centrifugadoras utilizadas para enriquecer uranio. Estas órdenes hacían que las centrifugadoras giraran lo suficientemente rápido como para averiarse. En total, Stuxnet causó desperfectos en 1000 centrifugadoras.

Los investigadores creen que los gobiernos estadounidense e israelí trabajaron juntos en la creación de Stuxnet, pero esta teoría no está confirmada.

Log4Shell era una vulnerabilidad de día cero en Log4J, una biblioteca Java de código abierto utilizada para registrar mensajes de error. Los hackers podían utilizar el fallo Log4Shell para controlar a distancia casi cualquier dispositivo que ejecute aplicaciones Java. Dado que Log4J se utiliza en programas populares como Apple iCloud y Minecraft, cientos de millones de dispositivos estaban en peligro. La base de datos Common Vulnerabilities and Exposures (CVE) de MITRE otorgó a Log4Shell la máxima puntuación de riesgo posible, un 10 sobre 10.

El fallo Log4Shell estaba presente desde 2013, pero los hackers no empezaron a explotarlo hasta 2021. La vulnerabilidad se parcheó poco después de su descubrimiento, pero los investigadores de seguridad detectaron más de 100 ataques Log4Shell por minuto en su punto álgido de actividad.

A principios de 2022, hackers norcoreanos explotaron una vulnerabilidad de ejecución remota de código de día cero en los navegadores web Google Chrome. Los hackers utilizaban correos electrónicos de phishing para remitir a las víctimas a sitios falsos, que aprovechaban la vulnerabilidad de Chrome para instalar spyware y malware de acceso remoto en los equipos de las víctimas. La vulnerabilidad se parcheó rápidamente, pero los hackers cubrieron bien sus huellas y los investigadores no saben exactamente qué datos fueron robados.

Los ataques de día cero son algunas de las ciberamenazas más difíciles de combatir. Los hackers pueden aprovechar vulnerabilidades de día cero antes incluso de que sus objetivos las conozcan, lo que permite a los actores de amenazas colarse en las redes sin ser detectados.

Incluso si la vulnerabilidad es de dominio público, puede pasar un tiempo antes de que los proveedores de software publiquen un parche, lo que deja a las organizaciones expuestas y desprotegidas entretanto.

En la actualidad, los hackers explotan con mayor frecuencia las vulnerabilidades de día cero. Un informe de Mandiant de 2022 reveló que solo en 2021 se explotaron más vulnerabilidades de día cero que en todo el período 2018-2020 juntos.

El incremento de los ataques de día cero está probablemente relacionado con el hecho de que las redes de las empresas son cada vez más complejas. Hoy en día, las organizaciones confían en una mezcla de aplicaciones en la nube y locales, dispositivos propiedad de la empresa y de los empleados, y dispositivos del Internet de las Cosas (IoT) y de tecnología operativa (TO). Todos estos factores amplían la superficie de ataque de una organización, puesto que las vulnerabilidades de día cero podrían estar ocultas en cualquiera de ellos.

Dadas las valiosas oportunidades que ofrecen los fallos de día cero a los hackers, los ciberdelincuentes comercian ahora con vulnerabilidades y exploits de día cero en el mercado negro a cambio de cuantiosas sumas. Por ejemplo, en 2020, los hackers vendían vulnerabilidades de día cero de Zoom por 500 000 dólares.

Asimismo, se sabe que los actores estatales también buscan fallos de día cero. Muchos optan por no revelar los días cero que encuentran y optan en su lugar por crear sus propios exploits de día cero secretos para utilizarlos contra sus adversarios. Muchos proveedores e investigadores de seguridad critican esta práctica, argumentando que pone en peligro a las organizaciones que no son conscientes de ello.

Los equipos de seguridad suelen estar en desventaja con las vulnerabilidades de día cero. Dado que estos fallos son desconocidos y no tienen parche, las organizaciones no pueden tenerlos en cuenta en la gestión de riesgos de ciberseguridad ni en los esfuerzos de mitigación de vulnerabilidades.

Sin embargo, las empresas pueden tomar medidas para descubrir más vulnerabilidades y disminuir el impacto de los ataques de día cero.

Gestión de parches: los proveedores se apresuran a sacar parches de seguridad cuando detectan la existencia de días cero, pero muchas organizaciones no aplican estos parches con la suficiente rapidez. Un programa formal de gestión de parches puede ayudar a los equipos de seguridad a mantenerse al día de estos parches críticos.

Gestión de vulnerabilidades: las evaluaciones en profundidad de vulnerabilidades y las pruebas de penetración pueden ayudar a las empresas a encontrar vulnerabilidades de día cero en sus sistemas antes de que lo hagan los hackers.

Gestión de la superficie de ataque (ASM): las herramientas de ASM permiten a los equipos de seguridad identificar todos los activos de sus redes y examinarlos en busca de vulnerabilidades. Las herramientas ASM evalúan la red desde la perspectiva de un hacker, centrándose en la forma en que los actores de amenazas tienden a explotar los activos para obtener acceso. Dado que las herramientas de ASM ayudan a las organizaciones a ver sus redes a través de los ojos de un atacante, pueden ayudar a descubrir vulnerabilidades de día cero.

Información sobre inteligencia de amenazas: los investigadores de seguridad suelen ser de los primeros en detectar vulnerabilidades de día cero. Las organizaciones que se mantienen al día con la inteligencia de amenazas externas suelen enterarse antes de las nuevas vulnerabilidades de día cero.

Métodos de detección basados en anomalías: el malware de día cero puede eludir los métodos de detección basados en firmas, pero las herramientas que utilizan el machine learning para localizar actividades sospechosas en tiempo real suelen ser capaces de detectar ataques de día cero. Entre las soluciones de detección de anomalías más comunes se encuentran el análisis del comportamiento de usuarios y entidades (UEBA), las plataformas de detección y respuesta ampliadas (XDR), las herramientas de detección y respuesta de endpoints (EDR) y algunos sistemas de detección y prevención de intrusiones.

Arquitectura zero trust: si un hacker explota una vulnerabilidad de día cero para entrar en una red, la arquitectura zero trust puede limitar los daños. El zero trust utiliza la autenticación continua y el acceso con mínimos privilegios para impedir los movimientos laterales y bloquear el acceso de los agentes malintencionados a los recursos sensibles.