Los responsables de los ataques de día cero no son un grupo monolítico: poseen diversas motivaciones y pertenecen a diferentes categorías. No se trata solo de piratas informáticos oportunistas, sino que también existe un animado mercado negro en el que se trafica con vulnerabilidades y exploits por abultadas sumas de dinero. Además, los responsables patrocinados por gobiernos también andan a la caza de estos defectos. En vez de revelarlos, a menudo se los guardan para crear exploits de día cero destinados a su uso contra adversarios políticos, lo cual es una práctica que ha levantado airadas críticas, dado que ponen en peligro a organizaciones inocentes.
Los delincuentes informáticos suelen perseguir el beneficio económico, por lo que se afanan en conseguir información confidencial o retenerla para solicitar un rescate por el cifrado de datos (ransomware) o para amenazar con revelar datos confidenciales (o ambas cosas). Los responsables con patrocinio gubernamental y los hacktivistas aprovechan vulnerabilidades de día cero para promover causas sociales o políticas, a menudo con el objetivo de recopilar datos confidenciales o dar a conocer sus ideales. El espionaje corporativo es otra motivación, seguida por empresas que pueden utilizar los exploits para aventajar a su competencia accediendo a su información confidencial. Por último, estos ataques pueden ser incluso armas para la guerra digital que están orquestados por gobiernos que atentan contra las infraestructuras digitales de otro país mediante acciones que produzcan graves alteraciones a corto o largo plazo contra servicios públicos, instituciones económicas, inversiones estratégicas o propiedad intelectual (lo que incluye secretos de Estado).
Los exploits de día cero tienen un amplio alcance y afectan a todo, desde sistemas operativos y navegadores web hasta hardware y dispositivos de IoT. Las víctimas emplean un amplio abanico de dispositivos objetivo:
· Usuarios normales que tienen un sistema vulnerable, como un navegador desactualizado.
· Propietarios de valiosos datos empresariales o de propiedad intelectual.
· Grandes empresas y organizaciones que manejan muchos datos confidenciales.
· Agencias gubernamentales con información crítica sobre la seguridad nacional.
Los objetivos pueden ser específicos o amplios. Los ataques selectivos de día cero se dirigen contra objetivos de alto valor, como agencias gubernamentales o grandes corporaciones, mientras que los que no son selectivos pretenden aprovecharse de cualquier sistema vulnerable que puedan encontrar. En este último caso, el objetivo suele ser comprometer al mayor número posible de usuarios, para que nadie esté a salvo de posibles daños.
Existen varios aspectos reconocibles en un ataque de día cero, entre los que se cuentan los siguientes:
· Identificación de una vulnerabilidad de software, incluidos los defectos en la ejecución de aplicaciones.
· La vulnerabilidad no se divulga públicamente.
· Rápido desarrollo de un exploit de la vulnerabilidad.
Estos factores facilitan diversas actividades dañinas, pero para impulsar un ataque sigue haciendo falta implementar el código de explotación. La implementación de la explotación puede producirse a través de diferentes canales:
• Ingeniería social: Los atacantes utilizan diversos medios de contacto muy elaborados, como correos electrónicos personalizados, redes sociales y otros mensajes. Los atacantes crearán el perfil del objetivo para ganarse su confianza.
• Phishing: Los atacantes utilizan este método para convencer a los usuarios de que abran un archivo o enlace malicioso presente en un correo electrónico que parece legítimo, pero que, en realidad, no lo es.
• Descarga oculta: En este caso, los responsables de la amenaza ocultan el código de explotación en un sitio web comprometido, pero de aspecto legítimo. Cuando los visitantes abren el sitio web infectado, el exploit se descarga y se ejecuta en sus sistemas sin su conocimiento o intervención directa. Esta técnica suele emplearse para llevar a cabo ataques de día cero, aprovechando dichas vulnerabilidades para infiltrarse discretamente en los sistemas.
• Publicidad maliciosa: Dentro de esta estrategia, los anuncios maliciosos pretenden proceder de redes publicitarias de confianza. Con solo hacer clic o pasar el cursor sobre estos anuncios, se activa el código de explotación. Como los usuarios tienden a fiarse de los sitios web conocidos, esta es una ingeniosa forma de lanzar ataques de día cero.
• Phishing selectivo: Esta técnica se centra en usuarios finales concretos, con mensajes muy personalizados de correo electrónico, SMS u otras plataformas. Si el atacante logra el acceso a una cuenta privilegiada, se magnifica la utilidad del exploit en la infraestructura de destino. Esto puede ampliar el alcance de un ataque más allá de una empresa e incluir a partners y otras organizaciones con las que colaboren.
Estos exploits también pueden agruparse en un “paquete de exploits”, que analiza el sistema en busca de múltiples vulnerabilidades y aprovecha el exploit más eficaz. Una vez ejecutado el código, puede ocasionar diversos daños, desde el robo de datos hasta inutilizar el sistema. En vista de la naturaleza sigilosa y sofisticada de estos ataques, suelen ser difíciles de detectar y prevenir, por lo que es preciso desplegar estrategias avanzadas de prevención de ataques de día cero.