Tal vez no pienses mucho sobre el software que usas para ejecutar tus computadoras y dispositivos, pero detrás de la interfaz hay un código altamente complejo que puede haber tomado años de trabajo de un gran equipo de desarrolladores. A pesar de sus mayores esfuerzos, los desarrolladores pueden pasar por alto fallas en el software. Mientras que algunas fallas solo afectan la experiencia del usuario, otras son mucho más serias.
Una falla de día cero es cualquier vulnerabilidad de software explotable por hackers que aún no tiene un parche. Los desarrolladores de software pueden no conocer la debilidad, estar desarrollando una solución o ignorándola. Como podrás imaginar, tal vulnerabilidad puede resultar en una grave brecha de ciberseguridad.
¿Por qué se llama día cero?
Muchas personas quieren saber por qué los expertos llaman a este tipo de exploit informático una vulnerabilidad de día cero en lugar de cualquier otra cosa. Realmente, hay un poco de sarcasmo detrás del nombre. Las personas en el mundo de la informática se refieren a él como un ataque de día cero porque los creadores del software tienen cero días para responder después de que los hackers se han aprovechado de él. Es como cerrar la puerta del establo después de que el lobo ya ha estado dentro. Claro, puedes prevenir futuros ataques, pero eso es de poco consuelo para las ovejas desaparecidas.
Después de que la vulnerabilidad de día cero se hace pública, ya no es un fallo de día cero, solo es una vulnerabilidad. Por lo general, los fabricantes trabajan contrarreloj para desarrollar un parche que solucione la debilidad tan pronto como lo saben.
¿Cómo se descubren los errores de día cero?
Con los fabricantes trabajando horas extras para minimizar las vulnerabilidades, notarás que tus actualizaciones de software son bastante regulares. A veces, incluso se lanzan actualizaciones de seguridad el mismo día que el debut del software. Aunque a los desarrolladores les gusta encontrar agujeros de seguridad internamente, tampoco les importa algo de ayuda externa.
Hackers de sombrero blanco
White hat hacker es un término anticuado para un hacker ético. Las empresas contratan a estos especialistas para mejorar la seguridad de la red. Identificar posibles errores de día cero puede ser parte del trabajo.
Hackers de sombrero gris
Los hackers de sombrero gris son como los de sombrero blanco, excepto que no están trabajando oficialmente. Estos hackers pueden intentar encontrar errores de día cero con la esperanza de conseguir un trabajo en la empresa, ganar notoriedad o simplemente por entretenimiento. Un hacker de sombrero gris nunca se aprovecha de ninguna falla que descubra. Un ejemplo es cuando un hacker explotó una vulnerabilidad en la plataforma de criptomonedas Poly Network para tomar tokens por valor de 600 millones de dólares antes de devolver la suma.
Concursos
Muchas empresas de software organizan eventos de hacking y pagan a los hackers con dinero en efectivo y premios por encontrar exploits. Aquí, los hackers encuentran fallas en sistemas operativos, navegadores web y aplicaciones para dispositivos móviles y computadoras. Un ejemplo reciente es cuando dos especialistas en seguridad holandeses se llevaron 200,000 dólares por un descubrimiento de día cero en Zoom en Pwn2Own.
Investigadores
Investigadores de empresas de ciberseguridad como Malwarebytes buscan exploits como parte de su trabajo. Cuando los investigadores encuentran un exploit antes que los ciberdelincuentes, usualmente lo reportan a los fabricantes antes de hacerlo público. Al darle a los fabricantes una ventaja, los investigadores pueden minimizar las posibilidades de que los hackers lanzan ataques de día cero.
¿Cómo se descubren los ataques de día cero?
Un usuario de software se da cuenta de que es el objetivo de un ataque de día cero cuando su sistema se comporta de manera inusual o cuando un hacker utiliza el exploit para introducir malware amenazante como ransomware. Los investigadores también pueden descubrir un ataque de día cero después de un evento. Por ejemplo, después del ataque de Stuxnet patrocinado por el estado contra Irán, los investigadores de todo el mundo se dieron cuenta de que era un ataque de día cero con gusano. A veces, un ataque de día cero es reconocido por un fabricante después de que un cliente reporta actividad inusual.
¿Son comunes los ataques de día cero?
Ataques de día cero como el del gusano Stuxnet tienen objetivos específicos y no afectan a los usuarios informáticos comunes. Mientras tanto, empresas de confianza como Microsoft, Apple y Google suelen arreglar los días cero lo antes posible para proteger sus reputaciones y a sus usuarios. A menudo, se lanza una solución antes de que el usuario promedio se vea afectado. Sin embargo, no se deben tomar a la ligera los días cero porque su impacto puede ser gravemente dañino.
¿Cómo ocurre un ataque de día cero?
- Identificación: Los hackers encuentran vulnerabilidades no reportadas en el software a través de pruebas o comprando en mercados negros en el lado oscuro de Internet, como la Dark Web.
- Creación: Los actores de amenazas crean kits, scripts o procesos que pueden explotar las vulnerabilidades recién encontradas.
- Inteligencia: Los atacantes ya tienen un objetivo en mente o utilizan herramientas como bots, sondeos o escáneres para encontrar objetivos rentables con sistemas explotables.
- Planificación: Los hackers evalúan las fortalezas y debilidades de su objetivo antes de lanzar un ataque. Pueden usar ingeniería social, espías u otras tácticas para infiltrarse en un sistema.
- Ejecución: Con todo en su lugar, los atacantes despliegan su software malicioso y explotan la vulnerabilidad.
Cómo mitigar los ataques de día cero
Detener a los atacantes de explotar vulnerabilidades desconocidas para violar tu sistema es un desafío. Es crucial cerrar las vías de amenaza que un actor de amenazas puede usar para infiltrarse en tu red con capas de protección y prácticas más seguras. Aquí están algunos consejos que pueden ayudarte a detectar y prevenir amenazas desconocidas:
- No uses software antiguo. Los hackers pueden crear exploits más fácilmente para software que el proveedor ya no soporta.
- Usa herramientas antivirus avanzadas que cuenten con detección por comportamiento, aprendizaje automático y mitigación de exploits. Dichas características pueden ayudar a tus herramientas de ciberseguridad a detener amenazas con firmas desconocidas.
- En las empresas:
- Capacita a los empleados para identificar ataques de ingeniería social como el spear-phishing que los hackers pueden usar como vector de ataque.
- Adopta soluciones de Detección y Respuesta de Endpoints (EDR) para monitorear y asegurar tus puntos finales.
- Mejora la seguridad de la red con firewalls, VPNs privadas e IPsec.
- Segmenta tus redes con controles de acceso a la red robustos.
Noticias sobre los días cero
- El zero-day de Log4j “Log4Shell” llega justo a tiempo para arruinar tu fin de semana.
- Windows La vulnerabilidad del instalador se convierte en un día cero activamente explotado
- ¡Actualiza ahora! Se está explotando activamente el día cero de FatPipe VPN
- ¡Corrige ahora! Microsoft soluciona días cero explotados activamente y otras actualizaciones
- Google parchea una vulnerabilidad de día cero, y otras, en Android
- ¡Corrige ahora! Apache soluciona vulnerabilidad de día cero en el servidor HTTP
- ¡Actualiza ahora! Google Chrome corrige dos días cero en estado salvaje
- Apple lanza una actualización de emergencia: Parche, pero que no cunda el pánico
- La vulnerabilidad de día cero HiveNightmare permite a cualquiera ser SYSTEM en Windows 10 y 11.
- PrintNightmare 0-day puede usarse para tomar el control de los controladores de dominio de Windows
- Microsoft corrige siete días cero, incluidos dos objetivos de PuzzleMaker, Google soluciona grave falla en Android
- El descubrimiento del zero-day de Zoom hace las llamadas más seguras y a los hackers $200,000 más ricos.