Una vulnerabilidad de día cero es un defecto de seguridad del software, hardware o firmware desconocido para sus responsables (proveedores de software o hardware) hasta que alguien se lo comunica o se pone en conocimiento del público en general. En algunos casos, el proveedor desconoce el defecto antes de que se haga público o no ha tenido tiempo suficiente para subsanarlo, por lo que no existe un parche o alternativa oficial para evitar la explotación de esa vulnerabilidad. Se trata de vulnerabilidades especialmente peligrosas, dado que pueden pasar inadvertidas durante un período prolongado de tiempo: podrían pasar días, meses o incluso años.

 

El término “día cero” hace referencia a la ausencia de tiempo entre el descubrimiento de una vulnerabilidad, su posible explotación y su reconocimiento público o mitigación por parte del proveedor. Estas vulnerabilidades son el objetivo número uno de los delincuentes informáticos, que intentan explotarlas antes de que se reconozcan, o lo antes posible tras ser reveladas públicamente. Técnicamente, una vez que un defecto se hace público, deja de considerarse una vulnerabilidad de día cero y pasa a ser, más correctamente, una vulnerabilidad de día uno o de día n.

¿Qué es un exploit de día cero?

Un exploit de día cero es el método o técnica concretos que emplean los atacantes para aprovecharse de una vulnerabilidad de día cero. Se trata de un código o secuencia de comandos que explota una vulnerabilidad para conseguir un resultado que impulse un ataque. Si los delincuentes informáticos descubren estos exploits antes que los proveedores, contarán con ventaja para la elaboración e implementación de ataques. Los kits de exploits de día cero pueden venderse en la Internet oscura por importes sustanciales, lo que supone un incentivo económico más para los atacantes.

¿Qué es un ataque de día cero?

Desde el punto de vista de la seguridad informática, se produce un ataque de día cero cuando un delincuente aprovecha un exploit de día cero para comprometer un sistema que adolezca de esa vulnerabilidad desconocida. Estos ataques pueden adoptar diversas formas, desde el robo de datos hasta la instalación de software malicioso. Los ataques de día cero son una amenaza particularmente grande porque, frecuentemente, son los propios atacantes los únicos conscientes de su existencia. En muchos casos, los atacantes implementan el exploit de día cero mediante métodos sofisticados, como mensajes de correo electrónico con ingeniería social o estafas de phishing, lo que inicia la secuencia del ataque.

¿Cómo funciona?

qué es un exploit de día cero

Las vulnerabilidades de día cero despiertan una gran preocupación porque permiten a los piratas informáticos explotar los defectos antes de que los objetivos sean conscientes de su existencia. Esto significa que los atacantes pueden aprovecharse de los sistemas subrepticiamente, lo que les da tiempo suficiente para causar estragos. Tras revelarse una vulnerabilidad de este tipo, puede que los proveedores tarden bastante tiempo en publicar un parche. Mientras tanto, las organizaciones siguen corriendo un riesgo enorme.

Para complicar aún más las cosas, la propia arquitectura de las redes actuales se está tornando más compleja. Las organizaciones emplean hoy en día una combinación de aplicaciones on-premise y en la nube, varios tipos de dispositivos e incluso tecnología del Internet de las cosas (IoT), lo que amplía notablemente su superficie de ataque.

Ver más

 

 

Los responsables de los ataques de día cero no son un grupo monolítico: poseen diversas motivaciones y pertenecen a diferentes categorías. No se trata solo de piratas informáticos oportunistas, sino que también existe un animado mercado negro en el que se trafica con vulnerabilidades y exploits por abultadas sumas de dinero. Además, los responsables patrocinados por gobiernos también andan a la caza de estos defectos. En vez de revelarlos, a menudo se los guardan para crear exploits de día cero destinados a su uso contra adversarios políticos, lo cual es una práctica que ha levantado airadas críticas, dado que ponen en peligro a organizaciones inocentes.

 

Los delincuentes informáticos suelen perseguir el beneficio económico, por lo que se afanan en conseguir información confidencial o retenerla para solicitar un rescate por el cifrado de datos (ransomware) o para amenazar con revelar datos confidenciales (o ambas cosas). Los responsables con patrocinio gubernamental y los hacktivistas aprovechan vulnerabilidades de día cero para promover causas sociales o políticas, a menudo con el objetivo de recopilar datos confidenciales o dar a conocer sus ideales. El espionaje corporativo es otra motivación, seguida por empresas que pueden utilizar los exploits para aventajar a su competencia accediendo a su información confidencial. Por último, estos ataques pueden ser incluso armas para la guerra digital que están orquestados por gobiernos que atentan contra las infraestructuras digitales de otro país mediante acciones que produzcan graves alteraciones a corto o largo plazo contra servicios públicos, instituciones económicas, inversiones estratégicas o propiedad intelectual (lo que incluye secretos de Estado).

 

Los exploits de día cero tienen un amplio alcance y afectan a todo, desde sistemas operativos y navegadores web hasta hardware y dispositivos de IoT. Las víctimas emplean un amplio abanico de dispositivos objetivo:

· Usuarios normales que tienen un sistema vulnerable, como un navegador desactualizado.

· Propietarios de valiosos datos empresariales o de propiedad intelectual.

· Grandes empresas y organizaciones que manejan muchos datos confidenciales.

· Agencias gubernamentales con información crítica sobre la seguridad nacional.

 

Los objetivos pueden ser específicos o amplios. Los ataques selectivos de día cero se dirigen contra objetivos de alto valor, como agencias gubernamentales o grandes corporaciones, mientras que los que no son selectivos pretenden aprovecharse de cualquier sistema vulnerable que puedan encontrar. En este último caso, el objetivo suele ser comprometer al mayor número posible de usuarios, para que nadie esté a salvo de posibles daños.

 

Existen varios aspectos reconocibles en un ataque de día cero, entre los que se cuentan los siguientes:

· Identificación de una vulnerabilidad de software, incluidos los defectos en la ejecución de aplicaciones.

· La vulnerabilidad no se divulga públicamente.

· Rápido desarrollo de un exploit de la vulnerabilidad.

 

Estos factores facilitan diversas actividades dañinas, pero para impulsar un ataque sigue haciendo falta implementar el código de explotación. La implementación de la explotación puede producirse a través de diferentes canales:

Ingeniería social: Los atacantes utilizan diversos medios de contacto muy elaborados, como correos electrónicos personalizados, redes sociales y otros mensajes. Los atacantes crearán el perfil del objetivo para ganarse su confianza.

Phishing: Los atacantes utilizan este método para convencer a los usuarios de que abran un archivo o enlace malicioso presente en un correo electrónico que parece legítimo, pero que, en realidad, no lo es.

Descarga oculta: En este caso, los responsables de la amenaza ocultan el código de explotación en un sitio web comprometido, pero de aspecto legítimo. Cuando los visitantes abren el sitio web infectado, el exploit se descarga y se ejecuta en sus sistemas sin su conocimiento o intervención directa. Esta técnica suele emplearse para llevar a cabo ataques de día cero, aprovechando dichas vulnerabilidades para infiltrarse discretamente en los sistemas.

Publicidad maliciosa: Dentro de esta estrategia, los anuncios maliciosos pretenden proceder de redes publicitarias de confianza. Con solo hacer clic o pasar el cursor sobre estos anuncios, se activa el código de explotación. Como los usuarios tienden a fiarse de los sitios web conocidos, esta es una ingeniosa forma de lanzar ataques de día cero.

Phishing selectivo: Esta técnica se centra en usuarios finales concretos, con mensajes muy personalizados de correo electrónico, SMS u otras plataformas. Si el atacante logra el acceso a una cuenta privilegiada, se magnifica la utilidad del exploit en la infraestructura de destino. Esto puede ampliar el alcance de un ataque más allá de una empresa e incluir a partners y otras organizaciones con las que colaboren.

 

Estos exploits también pueden agruparse en un “paquete de exploits”, que analiza el sistema en busca de múltiples vulnerabilidades y aprovecha el exploit más eficaz. Una vez ejecutado el código, puede ocasionar diversos daños, desde el robo de datos hasta inutilizar el sistema. En vista de la naturaleza sigilosa y sofisticada de estos ataques, suelen ser difíciles de detectar y prevenir, por lo que es preciso desplegar estrategias avanzadas de prevención de ataques de día cero.

Nueve ejemplos de exploits de día cero en el mundo real

 

A lo largo de los años, el mundo ha sido testigo de varios exploits notorios. Algunos incluso saltaron a los titulares de los medios de comunicación generalistas y sembraron el pánico entre los usuarios. A continuación, se citan algunos casos importantes que moldearon nuestra comprensión de esta amenaza contra la seguridad informática.

 

1. EternalBlue: Desarrollado por la Agencia de Seguridad Nacional de Estados Unidos (conocida como NSA), este exploit se centró en una vulnerabilidad en el protocolo de bloque de mensajes del servidor (SMB) de Microsoft Windows. Se empleó en importantes ataques informáticos, incluido el ransomware WannaCry, que afectó notablemente a ordenadores de todo el mundo. EternalBlue aprovechó una vulnerabilidad de los sistemas Windows más antiguos que permitió a los atacantes ejecutar código y controlar los sistemas afectados de forma remota.

2. Log4Shell: La vulnerabilidad Log4Shell de la biblioteca Log4J de Java dejó expuesta una gran cantidad de dispositivos a posibles infracciones. En particular, eran vulnerables aplicaciones tan conocidas como Apple iCloud y Minecraft. Pese a existir desde 2013, no se convirtió en un objetivo de moda para los piratas informáticos hasta 2021. Una vez descubierta, los equipos de seguridad trabajaron contra reloj, dado que, en su punto álgido, se detectaron más de un centenar de intentos de ataque Log4Shell por minuto.

3. Vulnerabilidad de día cero de Chrome: El navegador Chrome de Google también afrontó una serie de amenazas de día cero en 2021. Un defecto del motor de JavaScript V8 llevó a Google a implementar actualizaciones urgentes.

4. Zoom: La transición mundial hacia las comunicaciones virtuales provocó la masiva popularización de Zoom. No obstante, los piratas informáticos descubrieron una vulnerabilidad que sufrían quienes utilizaban versiones obsoletas de Windows y que les permitía controlar el PC del usuario de forma remota. Si la cuenta que se veía comprometida poseía privilegios de administrador, el delincuente tomaba el control total de la máquina.

5. Apple iOS: Aunque el sistema operativo iOS de Apple es bien conocido por su robusta seguridad, también fue blanco de los atacantes. En 2020, aparecieron dos prominentes conjuntos de vulnerabilidades de día cero en iOS, uno de los cuales permitió a los atacantes infiltrarse en iPhones a distancia.

6. Microsoft Windows en Europa del Este: Las instituciones gubernamentales de Europa Oriental fueron el objetivo de un ataque que explotaba una vulnerabilidad de privilegios locales en Microsoft Windows. En 2019, el exploit de día cero permitió a los delincuentes manipular código arbitrario, modificar datos e instalar aplicaciones en los sistemas que se habían visto comprometidos.

7. Microsoft Word: Como parte de una estrategia desplegada en 2017 para comprometer cuentas bancarias personales, el exploit de día cero se dirigió contra los usuarios de Microsoft Word. A los usuarios desprevenidos que abrían un documento de Word en particular, se les mostraba una ventana emergente que les solicitaba otorgar acceso externo. Picar en este engaño conducía a la instalación de malware que, más tarde, captaba las credenciales de inicio de sesión en los sitios de banca online.

8. Stuxnet: Stuxnet destaca como un monumental ataque de día cero, cuyo objetivo principal eran las instalaciones de enriquecimiento de uranio de Irán. Este gusano, descubierto en 2010, aprovechaba las vulnerabilidades del software Siemens Step7 y alteraba las operaciones de los PLC (controlador lógico programable). Sus efectos fueron notables y afectaron a la maquinaria de la línea de montaje, lo que impactó en las iniciativas nucleares de Irán. Este evento sirvió de inspiración para un documental titulado “Zero Days”.

9. Ataques de Chrome: A principios de 2022, los piratas informáticos norcoreanos explotaron una vulnerabilidad de día cero de Chrome. Creando correos electrónicos de phishing, los responsables redirigían a las víctimas a sitios falsos. Allí, aprovechando el fallo de Chrome, podían sembrar software espía y malware de acceso remoto.

Cómo detectar y prevenir ataques de día cero

 

Derrotar una amenaza de día cero es muy difícil, precisamente, por su propia definición: son desconocidas hasta que saltan a la luz. Por ello, las estrategias más eficaces para contrarrestarlas implican defensas multicapa que incorporan elementos como análisis de datos y algoritmos de machine learning.

El machine learning se entrena con datos históricos respecto a vulnerabilidades pasadas. Esto dota al sistema de la capacidad de detectar comportamientos maliciosos exhibidos por un nuevo exploit de alguna vulnerabilidad novedosa.

En el ámbito de la seguridad informática, la detección de variantes basada en firmas es un método para identificar amenazas. Esta técnica emplea firmas digitales para identificar inmediatamente exploits conocidos y variaciones de ataques identificados anteriormente. Con la monitorización basada en el comportamiento, los mecanismos de defensa buscan tácticas comunes del malware. Se trata de un enfoque bastante práctico.

El análisis del comportamiento de los usuarios también desempeña un papel fundamental. En una red, los usuarios autorizados exhiben patrones de uso predecibles. Los patrones de comportamiento anómalo de los usuarios, especialmente si se desvían mucho de la norma, pueden ser síntoma de un ataque de día cero. Por ejemplo, si un servidor web empieza inesperadamente a crear conexiones salientes, podría ser culpa de un exploit.

Una filosofía de detección híbrida reúne todos estos métodos para mejorar la identificación de amenazas de día cero. Este enfoque utiliza bases de datos del comportamiento del malware mejoradas continuamente mediante algoritmos de machine learning y análisis del comportamiento para determinar qué se considera “normal”, con el fin de alertar sobre las posibles desviaciones. Aunque el software tradicional antimalware basado en firmas, aisladamente, puede quedarse corto, dentro de una estrategia multifacética proporciona una sólida defensa contra las amenazas de día cero.

Es importante entender que los ataques de día cero son prácticamente imposibles de evitar. En cambio, su impacto puede mitigarse notablemente mediante medidas de seguridad informática sólidas y proactivas.

Conforme la tecnología va avanzando y abriendo nuevas posibilidades, aumenta la complejidad de las aplicaciones y las plataformas. Esto amplía la superficie de ataque para los delincuentes informáticos, especialmente en lo que se refiere a las configuraciones y la gestión de identidades y accesos, debido a lo cual los ataques de día cero son más probables y difíciles de afrontar. Las soluciones tradicionales no están inmediatamente disponibles, lo que hace necesaria una estrategia de seguridad multifacética, particularmente en entornos que utilicen sistemas de nube híbrida o multinube. Dado que es imposible evitar por completo los ataques de día cero, el objetivo debe convertirse en reducir significativamente su impacto y mejorar la capacidad de respuesta eficaz en caso de ser víctima de uno.

Las soluciones de seguridad deben abordar las vulnerabilidades desde múltiples perspectivas, en vez de basarse en enfoques monotemáticos, además de garantizar la aplicación sistemática de las políticas de seguridad en todos los entornos, incluidos los sistemas de nube híbrida o multinube.

Recomendaciones para protegerse contra ataques de día cero

 

Mantenga el software y los sistemas actualizados: Los exploits de día cero se basan en que el software y los sistemas no estén parcheados todavía contra ellos. Ello puede deberse a que aún no exista un parche disponible, pero también a que no se haya aplicado el parche. Para beneficiarse de que los desarrolladores de software hayan descubierto y solucionado una vulnerabilidad, hay que realizar regularmente las actualizaciones oportunas en todo el software y los sistemas operativos. Los proveedores de software lanzan frecuentemente parches de seguridad que solucionan vulnerabilidades recién descubiertas, pero suele ser responsabilidad del cliente aplicarlos.

 

Evaluar y analizar el uso del software: Si una organización reduce el número de aplicaciones que tiene instaladas, también minimiza las posibles vulnerabilidades. Para ello, una de las herramientas de decisión es el análisis de composición de software (SCA), que ayuda a identificar y evaluar los componentes del software, ya sean patentados o de código abierto. Este análisis puede descubrir vulnerabilidades ocultas en el software, lo que contribuye a equilibrar la seguridad y las preferencias respecto al software.

 

Formar a los usuarios finales: El error humano es una vía frecuente de entrada para los exploits de día cero, por lo que una formación periódica sobre higiene en seguridad informática puede moderar notablemente este riesgo. Esta formación incluye, entre otras cosas, las prácticas sobre contraseñas robustas, identificación de intentos de phishing y hábitos de navegación segura por Internet.

 

Aplicar el principio de concesión de privilegios mínimos (confianza cero):

· Implemente medidas de seguridad en redes y sistemas, incluyendo cortafuegos y sistemas de detección de intrusos.

· Asigne privilegios de usuario según las funciones y puestos de trabajo y aplique la autenticación multifactor (MFA).

· Fortalezca el sistema minimizando los posibles puntos de ataque. Esto incluye inhabilitar servicios innecesarios, cerrar puertos y eliminar software superfluo. Utilice soluciones de seguridad de endpoints para detectar y mitigar amenazas en los dispositivos.

 

Trace un plan:

· Sea proactivo y aproveche las herramientas de administración de la superficie de ataque (ASM) para identificar y corregir las vulnerabilidades antes de que sean explotadas.

· Es vital realizar copias de seguridad periódicas de los datos y disponer de planes eficientes de respuesta ante incidentes. Los registros del sistema de monitorización pueden advertir anticipadamente de posibles violaciones de la seguridad, mientras que las pruebas periódicas de los planes de respuesta ante incidentes garantizan estar preparados para ataques reales.

¿Qué soluciones aporta Bitdefender para las vulnerabilidades de día cero?

 

Todos los consejos y medidas expuestos anteriormente pueden fallar. De ahí que los expertos recomienden, tanto a los usuarios domésticos como a los empresariales, que implementen soluciones avanzadas de seguridad empresarial. Bitdefender ofrece productos adaptados a las necesidades personales y empresariales, los cuales acumulan galardones y primeros puestos en pruebas de instituciones independientes.

En el mundo empresarial, los productos GravityZone de Bitdefender brindan soluciones escalables: desde pequeñas hasta grandes empresas. Estas soluciones incorporan avanzados mecanismos de prevención que incluyen capacidad de detección y respuesta en los endpoints (EDR), tecnologías de protección multicapa contra phishing, ransomware y ataques sin archivos y prevención avanzada con contexto de las amenazas y generación de informes.

 

Integrando las soluciones de seguridad de Bitdefender en su red, aumenta la eficacia de las salvaguardas ya existentes, como cortafuegos y sistemas de prevención contra intrusos. Esto proporciona una defensa integral y resiliente contra las amenazas de malware, lo que dificulta la penetración de los atacantes en sus sistemas.

¿Existen normativas gubernamentales que aborden los exploits de día cero?

La forma en que los gobiernos abordan los exploits de día cero es un tema complejo que varía según el país, pero existen ciertas especificaciones normativas comunes.

Por ejemplo, en lo que se refiere a políticas de notificación, se puede observar que los gobiernos suelen alentar a que los investigadores notifiquen a los proveedores de software las vulnerabilidades antes de hacerlas públicas, con el fin de que puedan lanzar parches con antelación.

Se hace especial hincapié en las normativas concernientes a infraestructuras críticas, con el fin de proteger frente a ataques de día cero a servicios vitales, como las redes eléctricas. La implicación de los gobiernos en las vulnerabilidades de día cero tiene una naturaleza dual. La mayoría de los países tecnológicamente avanzados imponen sanciones por el uso indebido de las vulnerabilidades de día cero, mediante multas o incluso con condenas de prisión. Asimismo, algunos gobiernos conservan en secreto vulnerabilidades de día cero con fines de inteligencia y las guardan en su propio beneficio.

Desde el punto de vista económico, se dan casos de restricciones a la exportación para frenar la proliferación de armas digitales. Además, en muchos países, podemos observar que los gobiernos suelen colaborar con empresas del sector privado para obtener inteligencia sobre amenazas.

¿Qué diferencia existe entre ataques de día cero y exploits de día cero?

Aunque suelen usarse indistintamente, desde un punto de vista lingüístico existe una diferencia en cuanto a su significado. Un “exploit de día cero” es la técnica empleada para explotar una vulnerabilidad de software o hardware que el desarrollador desconoce.

En cambio, un “ataque de día cero” es la implementación de ese exploit en el mundo real. Haciendo una sencilla analogía, el exploit es la “receta” y el ataque es “cocinar” esa receta.

Si las vulnerabilidades de día cero se dan en el software nuevo, ¿es más seguro retrasar la instalación de las actualizaciones?

Las vulnerabilidades de día cero pueden existir tanto en software nuevo como antiguo. Retrasar las actualizaciones puede evitar las vulnerabilidades nuevas, pero también dejarlo expuesto a problemas conocidos que se solucionarán con las actualizaciones. En vez de optar directamente por esto, tenga en cuenta las siguientes medidas:

·       Entérese de lo que se dice sobre la actualización.

·       Deje pasar un poco de tiempo tras una nueva versión para disponer de correcciones rápidas.

·       Mantenga buenas prácticas en seguridad informática, como usar software de seguridad fiable y realizar copias de seguridad de los datos.

·       Manténgase al corriente de las principales vulnerabilidades y sus parches. Dé siempre prioridad a la seguridad, pero recuerde que las actualizaciones suelen conllevar también mejoras en este aspecto.