¿Qué es un ataque de día cero?

La vulnerabilidad desconocida o no abordada se conoce como vulnerabilidad de día cero o amenaza de día cero. Un ataque de día cero tiene lugar cuando un actor malicioso emplea una exploración de día cero para implantar malware, robar datos o dañar de otra forma a usuarios, organizaciones o sistemas.

Un concepto similar pero distinto, el malware de día cero, es un virus o malware cuya firma es desconocida o aún no está disponible y, por tanto, es indetectable por muchas soluciones de software antivirus u otras tecnologías de detección de amenazas basadas en firmas.

El equipo de inteligencia de amenazas de X-Force de IBM registró 7,327 vulnerabilidades de día cero desde 1988, lo que representa solo el 3 % por ciento de todas las vulnerabilidades de seguridad registradas. Sin embargo, las vulnerabilidades de día cero, especialmente en sistemas operativos o dispositivos informáticos ampliamente utilizados, representan un grave riesgo para la seguridad. Dejan un gran número de usuarios u organizaciones enteras abiertas a la ciberdelincuencia hasta que el proveedor o la comunidad de ciberseguridad identifique el problema y libere una solución.

La vulnerabilidad de día cero se encuentra en una versión de un sistema operativo, aplicación o dispositivo desde el momento de su lanzamiento, pero el proveedor de software o el fabricante de hardware no lo saben. La vulnerabilidad puede permanecer sin detectarse durante días, meses o años hasta que alguien la descubre.

En el mejor de los casos, los investigadores de seguridad o desarrolladores de software encuentran la falla antes que los actores de amenazas. Sin embargo, a veces los piratas informáticos llegan primero a la vulnerabilidad.

Independientemente de quién descubra la falla, a menudo se convierte en conocimiento público poco después. Los proveedores y los profesionales de la seguridad suelen informar a los clientes para que puedan tomar precauciones. Los hackers pueden hacer circular la amenaza entre ellos, y los investigadores pueden aprender sobre ella observando la actividad de los delincuentes cibernéticos. Algunos proveedores pueden mantener una vulnerabilidad en secreto hasta que hayan desarrollado una actualización de software u otros arreglos, pero esto puede ser una apuesta. Si los piratas informáticos encuentran la falla antes de que los proveedores la parcheen, las organizaciones pueden ser tomadas por sorpresa.

El conocimiento de cualquier nueva falla de día cero inicia una carrera entre los profesionales de seguridad que trabajan en un arreglo y los hackers que desarrollan una exploración de día cero que utiliza la vulnerabilidad para ingresar a un sistema. Una vez que los hackers desarrollan una exploración de día cero viable, lo utilizan para lanzar un ataque cibernético.

A menudo, los hackers desarrollan ataques más rápido de lo que los equipos de seguridad desarrollan parches. Según una estimación, las explotaciones suelen estar disponibles dentro de los 14 días posteriores a la revelación de una vulnerabilidad. Sin embargo, una vez que comienzan los ataques de día cero, los arreglos suelen aparecer en apenas unos días porque los proveedores usan la información de los ataques para identificar la falla que necesitan arreglar. Por lo tanto, si bien las vulnerabilidades de día cero pueden ser peligrosas, los hackers normalmente no pueden utilizarlas por mucho tiempo.

Stuxnet era un gusano informático sofisticado que utilizaba cuatro vulnerabilidades de software de día cero diferentes en los sistemas operativos Microsoft Windows. En 2010, Stuxnet se utilizó en una serie de ataques contra instalaciones nucleares en Irán. Una vez que el gusano había hackeado los sistemas informáticos de una planta nuclear, enviaba comandos dañinos a las centrifugadoras utilizadas para enriquecer uranio. Estos comandos hicieron que las centrifugadoras giraran tan rápido que se averiaron. En total, Stuxnet dañó 1000 centrifugadoras.

Los investigadores creen que los gobiernos estadounidense e israelí trabajaron juntos para construir Stuxnet, pero esto no está confirmado.

Log4Shell fue una vulnerabilidad de día cero en Log4J, una biblioteca Java de código abierto utilizada para registrar mensajes de error. Los hackers lograron utilizar la falla de Log4Shell para controlar de forma remota casi cualquier dispositivo que ejecutara aplicaciones Java. Dado que Log4J se utiliza en programas populares como Apple iCloud y Minecraft, cientos de millones de dispositivos corrían peligro. La base de datos de Vulnerabilidades y exposiciones comunes (CVE) de MITRE asignó a Log4Shell la puntuación de riesgo más alta, un 10 sobre 10.

La falla Log4Shell existía desde 2013, pero los hackers no la utilizaron hasta 2021. La vulnerabilidad fue parcheada poco luego de su descubrimiento, pero los investigadores de seguridad detectaron más de 100 ataques Log4Shell por minuto en su punto álgido.

A principios de 2022, hackers de Corea del Norte utilizaron una vulnerabilidad de día cero de ejecución remota de código en los navegadores web Google Chrome. Los hackers utilizaron correos electrónicos de phishing para enviar a las víctimas a sitios falsos, que utilizaban la vulnerabilidad de Chrome para instalar spyware y malware de acceso remoto en los equipos de las víctimas. La vulnerabilidad fue parcheada rápidamente, pero los hackers cubrieron bien sus huellas, y los investigadores no saben exactamente qué datos fueron robados.

Los ataques de día cero son algunas de las amenazas cibernéticas más difíciles de combatir. Los hackers pueden utilizar las vulnerabilidades de día cero incluso antes de que sus objetivos sepan de ellas, lo que les permite a los actores de amenazas escabullirse en las redes sin que los detecten.

Aun cuando la vulnerabilidad sea de conocimiento público, puede tardar un tiempo en que los proveedores de software lancen un parche, dejando a las organizaciones expuestas en el intertanto.

Hoy en día, los hackers explotan las vulnerabilidades de día cero con mayor frecuencia. Un informe de Mandiant de 2022 encontró que se explotaron más vulnerabilidades de día cero solo en 2021 que en todo el período 2018-2020 combinado.

Es probable que el aumento de ataques de día cero esté relacionado con el hecho de que las redes empresariales son cada vez más complejas. Hoy en día, las organizaciones dependen de una combinación de aplicaciones en la nube y on premises, dispositivos de propiedad de la empresa y de los empleados, y dispositivos de tecnología operativa (OT) e Internet de las cosas (IoT). Todos estos factores amplían el tamaño de la superficie de ataque de una organización , y las vulnerabilidades de día cero podrían estar al acecho en cualquiera de ellos.

Dado que las fallas de día cero ofrecen oportunidades muy valiosas a los hackers, los delincuentes cibernéticos ahora comercializan vulnerabilidades y exploraciones de día cero en el mercado negro por grandes sumas de dinero. Por ejemplo, en 2020, los piratas informáticos vendieron ataques de día cero de Zoom por hasta 500 000 dólares.

También se sabe que los actores Estado-nación buscan fallas de día cero. Muchos optan por no revelar los días cero que encuentran y prefieren crear su propia exploración secreta de día cero para usarla contra sus adversarios. Muchos proveedores e investigadores de seguridad critican esta práctica, argumentando que pone en riesgo a organizaciones desprevenidas.

Los equipos de seguridad, a menudo, se encuentran en desventaja ante las vulnerabilidades de día cero. Dado que estas fallas son desconocidas y no han sido corregidas, las organizaciones no pueden tenerlas en cuenta en la gestión de riesgos de ciberseguridad o en los esfuerzos de mitigación de vulnerabilidades.

Sin embargo, las empresas pueden tomar medidas para descubrir más vulnerabilidades y disminuir el impacto de los ataques de día cero.

Administración de parches: los proveedores se apresuran a poner parches de seguridad cuando se enteran de días cero, pero muchas organizaciones no aplican estos parches rápidamente. Un programa formal de administración de parches puede ayudar a los equipos de seguridad a mantenerse al tanto de estos parches críticos.

Gestión de vulnerabilidades: las evaluaciones detalladas de vulnerabilidades y las pruebas de inserción pueden ayudar a las empresas a encontrar vulnerabilidades de día cero en sus sistemas antes de que las descubran los hackers.

Gestión de la superficie de ataque (ASM): las herramientas de ASM permiten a los equipos de seguridad identificar todos los activos en sus redes y examinarlos para detectar vulnerabilidades. Las herramientas de ASM evalúan la red desde la perspectiva de un hacker y se centran en cómo los actores de amenazas podrían explotar los activos para obtener acceso. Dado que las herramientas de ASM ayudan a las organizaciones a ver sus redes desde la perspectiva de un atacante, pueden ayudar a descubrir vulnerabilidades de día cero.

Fuentes de inteligencia de amenazas: los investigadores de seguridad suelen estar entre los primeros en marcar las vulnerabilidades de día cero. Las organizaciones que se mantienen actualizadas sobre la inteligencia de amenazas externas pueden enterarse antes de las nuevas vulnerabilidades de día cero.

Métodos de detección basados en anomalías: el malware de día cero puede evadir los métodos de detección basados en firmas, pero las herramientas que utilizan machine learning para detectar actividades sospechosas en tiempo real, a menudo, pueden detectar ataques de día cero. Entre las soluciones comunes de detección basadas en anomalías, se incluyen el análisis de comportamiento de usuarios y entidades (UEBA), las plataformas de detección y respuesta extendida (XDR), las herramientas de detección y respuesta de endpoints (EDR) y algunos sistemas de detección y prevención de intrusiones.

Arquitectura de confianza cero: si un hacker utiliza una vulnerabilidad de día cero para irrumpir en una red, la arquitectura de confianza cero puede limitar el daño. La confianza cero utiliza una autenticación continua y acceso de privilegios mínimos para evitar el movimiento lateral y bloquear a actores maliciosos para que no accedan a recursos confidenciales.