content/es-es/images/repository/isc/2021/zero-day-exploit-1.jpg

Significado y definición de día cero

"Día cero" es un término general que hace referencia a las vulnerabilidades de seguridad que se han descubierto recientemente y que los hackers utilizan para atacar los sistemas. El término "día cero" indica que el proveedor o el desarrollador acaban de conocer el error, lo que implica que disponen de "cero días" para solucionarlo. Un ataque de día cero se produce cuando los hackers se aprovechan el error antes de que puedan abordarlo los desarrolladores.

Día cero a veces se escribe como día 0. Las palabras "vulnerabilidad", "exploit" y "ataque" son comunes en un día cero, por lo que es útil saber cuáles son sus diferencias:

  • Una vulnerabilidad de día cero es un fallo de software que descubren antes los hackers que los proveedores. Como los proveedores las desconocen, no puede aplicarse ningún parche a las vulnerabilidades de día cero. Por ello, los ataques son muy probables.
  • Unexploit de día ceroes el método de los hackers para atacar sistemas con una vulnerabilidad no identificada anteriormente.
  • Unataque de día cero consiste en usar un exploit de día cero para causar daños o robar datos de un sistema afectado por una vulnerabilidad.

¿Qué son los ataques de día cero y cómo funcionan?

A menudo, el software presenta vulnerabilidades de seguridad que los hackers pueden aprovechar para causar daños. Los desarrolladores de software siempre están pendientes de las vulnerabilidades para aplicarles parches. Es decir, desarrollan una solución que lanzan en una nueva actualización.

Sin embargo, hay veces en las que los hackers o actores maliciosos detectan la vulnerabilidad antes de que lo hagan los desarrolladores de software. Si la vulnerabilidad sigue vigente, los atacantes pueden crear e implementar un código para beneficiarse. Esto se conoce como código exploit.

El código exploit puede afectar a los usuarios de software. Por ejemplo, mediante el robo de identidad u otras formas de ciberdelito. Cuando los atacantes identifican una vulnerabilidad de día cero, necesitan averiguar cómo acceder al sistema afectado. A menudo, lo hacen a través de un correo electrónico de ingeniería social. Es decir, un correo electrónico u otro mensaje que supuestamente proceda de un remitente conocido o legítimo cuando en realidad lo envía un atacante. El mensaje intenta convencer al usuario de que realice una acción, como abrir un archivo o visitar un sitio web malicioso. Al hacerlo, se descarga el malware del atacante, que se infiltra en los archivos del usuario y le roba datos confidenciales.

Cuando se detecta una vulnerabilidad, los desarrolladores intentan solucionarla para detener el ataque. Sin embargo, las vulnerabilidades de seguridad no suelen detectarse de forma inmediata. A veces, pueden pasar días, semanas, o incluso meses, hasta que los desarrolladores identifiquen la vulnerabilidad que ha causado el ataque. Aunque se lance un parche de día cero, no todos los usuarios pueden implementarlo inmediatamente. En los últimos años, los hackers han sabido aprovecharse de las vulnerabilidades mucho más rápido tras detectarlas.

Los exploits pueden venderse en la red oscura por grandes cantidades de dinero. Cuando se detecta un exploit y se le aplica un parche, deja de ser un ataque de día cero.

Los ataques de día cero son extremadamente peligrosos, ya que las únicas personas que los conocen son los propios atacantes. Cuando se infiltran en una red, los delincuentes pueden atacarla directamente o esperar el momento más oportuno para hacerlo.

¿Quién lleva a cabo los ataques de día cero?

Según cual sea el motivo, existen diferentes tipos de actores maliciosos que causan los ataques de día cero. Por ejemplo:

  • Ciberdelincuentes: hackers que desean beneficiarse económicamente
  • Hacktivistas: hackers que actúan por una causa política o social y que desean hacer virales los ataques para visibilizar su causa
  • Espionaje corporativo: hackers que espían a empresas para obtener información
  • Ciberguerra: países o grupos políticos que espían o atacan la ciberinfraestructura de otro país

¿Cuáles son los objetivos de los exploits de día cero?

Un ataque de día cero puede aprovechar las vulnerabilidades en varios sistemas:

En consecuencia, existen varios perfiles de posibles víctimas:

  • Personas que utilizan un sistema vulnerable, como un navegador o un sistema operativo. Los hackers, mediante las vulnerabilidades de seguridad, pueden crear grandes botnets y atacar los dispositivos
  • Personas con acceso a datos valiosos de la empresa, como la propiedad intelectual
  • Dispositivos de hardware, firmware y el Internet de las cosas
  • Grandes empresas y organizaciones
  • Agencias gubernamentales
  • Objetivos políticos o amenazas a la seguridad nacional

Es recomendable distinguir entre ataques de día cero dirigidos y no dirigidos:

  • Los ataques de día cero dirigidos se realizan contra objetivos que pueden ser muy valiosos, como las grandes organizaciones y las agencias gubernamentales o los individuos de alto nivel.
  • Los ataques de día cero no dirigidos suelen enfocarse a usuarios de sistemas vulnerables, como un sistema operativo o un navegador.

Aunque los atacantes no se estén dirigiendo a ciertos individuos en particular, los ataques de día cero pueden afectar a muchas personas, produciéndose así un daño colateral. Los ataques no dirigidos pretenden captar el mayor número de usuarios posibles, lo que puede afectar a sus datos.

Cómo identificar los ataques de día cero

El hecho de que las vulnerabilidades de día cero puedan manifestarse de varias formas, como la ausencia de cifrado de datos o de autorizaciones, algoritmos rotos, errores y problemas con la seguridad de contraseñas, entre otras, puede dificultar su detección. Dada la naturaleza de estos tipos de vulnerabilidades, los detalles sobre los exploits de día cero solo pueden obtenerse tras detectarlos.

Las organizaciones que sufren ataques de un exploit de día cero pueden detectar tráfico inesperado o actividades de análisis sospechosas procedentes de un cliente o servicio. Algunasde las técnicas de detección de día cero consisten en:

  1. Usar bases de datos de malware como referencia y ver cuál es su comportamiento. Aunque estas bases de datos se actualizan rápidamente y pueden ser útiles como referencia, por lo general, los exploits de día cero son nuevos y desconocidos. Por lo tanto, la información que puede ofrecer una base de datos es limitada.
  2. También hay otras técnicas que identifican características del malware de día cero en función de su interacción con el sistema al que atacan. En lugar de analizar el código de los archivos entrantes, esta técnica examina sus interacciones con el software existente e intenta determinar si proceden de acciones maliciosas.
  3. Cada vez, es más frecuente el uso del aprendizaje automático para detectar datos de exploits registrados previamente con el fin de fijar una base para un comportamiento seguro del sistema a partir de los datos de interacciones actuales y anteriores. Cuantos más datos haya disponibles, más fiable será la detección.

A menudo, se utiliza una combinación de diferentes sistemas de detección.

Amenazas de día cero

Ejemplos de ataques de día cero

Estos son algunos casos recientes de ataques de día cero:

2021: Vulnerabilidad de día cero en Chrome

En 2021, Google Chrome sufrió una serie de amenazas de día cero, lo que obligó a lanzar nuevas actualizaciones. La vulnerabilidad procedía de un error en el motor V8 JavaScript del navegador web.

2020: Zoom

Se encontró una vulnerabilidad en la famosa plataforma de videoconferencias. En este caso de ataque de día cero, los hackers podían acceder de forma remota a los equipos de los usuarios que contaban con una versión más antigua de Windows. Si el objetivo era un administrador, el hacker podría controlar su equipo por completo y acceder a todos sus archivos.

2020: iOS de Apple

El sistema iOS de Apple suele considerarse la plataforma de smartphones más segura. Sin embargo, en 2020 se vio afectada por, al menos, dos conjuntos de vulnerabilidades de día cero, incluido un error de día cero que permitió que los delincuentes atacaran dispositivos iPhone de forma remota.

2019: Microsoft Windows, Europa del Este

Este ataque afectó a la derivación de privilegios locales, una parte vulnerable de Microsoft Windows y a determinadas instituciones gubernamentales de Europa del Este. El exploit de día cero aprovechó una vulnerabilidad de privilegios locales en Microsoft Windows para ejecutar código arbitrario e instalar aplicaciones, además de ver y cambiar datos de las aplicaciones afectadas. Al identificar el ataque, se informó al Centro de respuestas de seguridad de Microsoft (MSRC, por sus siglas en inglés) y se creó y se lanzó un parche.

2017: Microsoft Word

Este exploit de día cero afectó a cuentas bancarias personales. Las víctimas eran personas que abrieron un documento de Word sospechoso sin querer. El documento contenía el mensaje "load remote content" (cargar contenido remoto), que mostraba una ventana emergente a los usuarios donde se solicitaba el acceso externo desde otro programa. Cuando las víctimas hicieron clic en "Sí", el documento instaló malware en sus dispositivos, con lo que se consiguió acceder a sus credenciales bancarias.

Stuxnet

Uno de los ejemplos más conocidos de ataque de día cero fue Stuxnet. Se descubrió por primera vez en 2010, aunque ya contaba con antecedentes que se remontaban al 2005. Este gusano informático malicioso afectó a equipos industriales que ejecutaban software de controlador lógico programable. El objetivo principal eran las plantas de enriquecimiento de uranio de Irán. Así, se interrumpiría el programa nuclear del país. El gusano infectó los controladores lógicos programables gracias a las vulnerabilidades del software Siemens Step7, lo que provocó que los controladores lógicos programables ejecutaran comandos aleatorios en la maquinaria de montaje. Más tarde, la historia de Stuxnet se plasmó en un documental llamado Días Cero.

Cómo protegerse contra los ataques de día cero

Para protegerse contra los ataques de día cero y mantener los equipos y los datos a salvo, es fundamental que tanto los individuos como las organizaciones apliquen las prácticas recomendadas de ciberseguridad. Esto incluye:

Tener actualizados tanto el software como los sistemas operativos. Esto se debe a que los proveedores incluyen parches de seguridad para solucionar vulnerabilidades que se han identificado recientemente en los nuevos lanzamientos. Mantenerse al día garantiza una mayor seguridad.

Utilizar únicamente las aplicaciones esenciales. Cuanto más software utilices, mayores son las posibilidades de encontrar vulnerabilidades. Puedes reducir el riesgo en tu red utilizando solo aquellas aplicaciones que necesites.

Recurrir a un firewall. Los firewall tienen una función esencial a la hora de proteger tu sistema contra amenazas de día cero. Puedes garantizar la máxima protección configurándolo de modo que solo permita las operaciones esenciales.

Concienciar a los usuarios en las organizaciones. Muchos ataques de día cero se aprovechan de los errores humanos. El hecho de inculcar buenas prácticas de seguridad a los empleados y a los usuarios los mantendrá a salvo en la red y protegerá a las organizaciones frente a los exploits de día cero y otras amenazas digitales.

Apostar por una solución de software antivirus completa. Kaspersky Total Security te ayuda a mantener tus dispositivos seguros mediante el bloqueo de amenazas conocidas y desconocidas.

Artículos relacionados:

¿Qué es un ataque de día cero? Definición y explicación

¿Qué es un día cero y qué son las vulnerabilidades, exploits y ataques de día cero? Obtén más información sobre el día cero, cómo detectarlo y prevenirlo.
Kaspersky Logo