"Día cero" es un término general que hace referencia a las vulnerabilidades de seguridad que se han descubierto recientemente y que los hackers utilizan para atacar los sistemas. El término "día cero" indica que el proveedor o el desarrollador acaban de conocer el error, lo que implica que disponen de "cero días" para solucionarlo. Un ataque de día cero se produce cuando los hackers se aprovechan el error antes de que puedan abordarlo los desarrolladores.
Día cero a veces se escribe como día 0. Las palabras "vulnerabilidad", "exploit" y "ataque" son comunes en un día cero, por lo que es útil saber cuáles son sus diferencias:
A menudo, el software presenta vulnerabilidades de seguridad que los hackers pueden aprovechar para causar daños. Los desarrolladores de software siempre están pendientes de las vulnerabilidades para aplicarles parches. Es decir, desarrollan una solución que lanzan en una nueva actualización.
Sin embargo, hay veces en las que los hackers o actores maliciosos detectan la vulnerabilidad antes de que lo hagan los desarrolladores de software. Si la vulnerabilidad sigue vigente, los atacantes pueden crear e implementar un código para beneficiarse. Esto se conoce como código exploit.
El código exploit puede afectar a los usuarios de software. Por ejemplo, mediante el robo de identidad u otras formas de ciberdelito. Cuando los atacantes identifican una vulnerabilidad de día cero, necesitan averiguar cómo acceder al sistema afectado. A menudo, lo hacen a través de un correo electrónico de ingeniería social. Es decir, un correo electrónico u otro mensaje que supuestamente proceda de un remitente conocido o legítimo cuando en realidad lo envía un atacante. El mensaje intenta convencer al usuario de que realice una acción, como abrir un archivo o visitar un sitio web malicioso. Al hacerlo, se descarga el malware del atacante, que se infiltra en los archivos del usuario y le roba datos confidenciales.
Cuando se detecta una vulnerabilidad, los desarrolladores intentan solucionarla para detener el ataque. Sin embargo, las vulnerabilidades de seguridad no suelen detectarse de forma inmediata. A veces, pueden pasar días, semanas, o incluso meses, hasta que los desarrolladores identifiquen la vulnerabilidad que ha causado el ataque. Aunque se lance un parche de día cero, no todos los usuarios pueden implementarlo inmediatamente. En los últimos años, los hackers han sabido aprovecharse de las vulnerabilidades mucho más rápido tras detectarlas.
Los exploits pueden venderse en la red oscura por grandes cantidades de dinero. Cuando se detecta un exploit y se le aplica un parche, deja de ser un ataque de día cero.
Los ataques de día cero son extremadamente peligrosos, ya que las únicas personas que los conocen son los propios atacantes. Cuando se infiltran en una red, los delincuentes pueden atacarla directamente o esperar el momento más oportuno para hacerlo.
Según cual sea el motivo, existen diferentes tipos de actores maliciosos que causan los ataques de día cero. Por ejemplo:
Un ataque de día cero puede aprovechar las vulnerabilidades en varios sistemas:
En consecuencia, existen varios perfiles de posibles víctimas:
Es recomendable distinguir entre ataques de día cero dirigidos y no dirigidos:
Aunque los atacantes no se estén dirigiendo a ciertos individuos en particular, los ataques de día cero pueden afectar a muchas personas, produciéndose así un daño colateral. Los ataques no dirigidos pretenden captar el mayor número de usuarios posibles, lo que puede afectar a sus datos.
El hecho de que las vulnerabilidades de día cero puedan manifestarse de varias formas, como la ausencia de cifrado de datos o de autorizaciones, algoritmos rotos, errores y problemas con la seguridad de contraseñas, entre otras, puede dificultar su detección. Dada la naturaleza de estos tipos de vulnerabilidades, los detalles sobre los exploits de día cero solo pueden obtenerse tras detectarlos.
Las organizaciones que sufren ataques de un exploit de día cero pueden detectar tráfico inesperado o actividades de análisis sospechosas procedentes de un cliente o servicio. Algunasde las técnicas de detección de día cero consisten en:
A menudo, se utiliza una combinación de diferentes sistemas de detección.
Estos son algunos casos recientes de ataques de día cero:
2021: Vulnerabilidad de día cero en Chrome
En 2021, Google Chrome sufrió una serie de amenazas de día cero, lo que obligó a lanzar nuevas actualizaciones. La vulnerabilidad procedía de un error en el motor V8 JavaScript del navegador web.
2020: Zoom
Se encontró una vulnerabilidad en la famosa plataforma de videoconferencias. En este caso de ataque de día cero, los hackers podían acceder de forma remota a los equipos de los usuarios que contaban con una versión más antigua de Windows. Si el objetivo era un administrador, el hacker podría controlar su equipo por completo y acceder a todos sus archivos.
2020: iOS de Apple
El sistema iOS de Apple suele considerarse la plataforma de smartphones más segura. Sin embargo, en 2020 se vio afectada por, al menos, dos conjuntos de vulnerabilidades de día cero, incluido un error de día cero que permitió que los delincuentes atacaran dispositivos iPhone de forma remota.
2019: Microsoft Windows, Europa del Este
Este ataque afectó a la derivación de privilegios locales, una parte vulnerable de Microsoft Windows y a determinadas instituciones gubernamentales de Europa del Este. El exploit de día cero aprovechó una vulnerabilidad de privilegios locales en Microsoft Windows para ejecutar código arbitrario e instalar aplicaciones, además de ver y cambiar datos de las aplicaciones afectadas. Al identificar el ataque, se informó al Centro de respuestas de seguridad de Microsoft (MSRC, por sus siglas en inglés) y se creó y se lanzó un parche.
2017: Microsoft Word
Este exploit de día cero afectó a cuentas bancarias personales. Las víctimas eran personas que abrieron un documento de Word sospechoso sin querer. El documento contenía el mensaje "load remote content" (cargar contenido remoto), que mostraba una ventana emergente a los usuarios donde se solicitaba el acceso externo desde otro programa. Cuando las víctimas hicieron clic en "Sí", el documento instaló malware en sus dispositivos, con lo que se consiguió acceder a sus credenciales bancarias.
Stuxnet
Uno de los ejemplos más conocidos de ataque de día cero fue Stuxnet. Se descubrió por primera vez en 2010, aunque ya contaba con antecedentes que se remontaban al 2005. Este gusano informático malicioso afectó a equipos industriales que ejecutaban software de controlador lógico programable. El objetivo principal eran las plantas de enriquecimiento de uranio de Irán. Así, se interrumpiría el programa nuclear del país. El gusano infectó los controladores lógicos programables gracias a las vulnerabilidades del software Siemens Step7, lo que provocó que los controladores lógicos programables ejecutaran comandos aleatorios en la maquinaria de montaje. Más tarde, la historia de Stuxnet se plasmó en un documental llamado Días Cero.
Para protegerse contra los ataques de día cero y mantener los equipos y los datos a salvo, es fundamental que tanto los individuos como las organizaciones apliquen las prácticas recomendadas de ciberseguridad. Esto incluye:
Tener actualizados tanto el software como los sistemas operativos. Esto se debe a que los proveedores incluyen parches de seguridad para solucionar vulnerabilidades que se han identificado recientemente en los nuevos lanzamientos. Mantenerse al día garantiza una mayor seguridad.
Utilizar únicamente las aplicaciones esenciales. Cuanto más software utilices, mayores son las posibilidades de encontrar vulnerabilidades. Puedes reducir el riesgo en tu red utilizando solo aquellas aplicaciones que necesites.
Recurrir a un firewall. Los firewall tienen una función esencial a la hora de proteger tu sistema contra amenazas de día cero. Puedes garantizar la máxima protección configurándolo de modo que solo permita las operaciones esenciales.
Concienciar a los usuarios en las organizaciones. Muchos ataques de día cero se aprovechan de los errores humanos. El hecho de inculcar buenas prácticas de seguridad a los empleados y a los usuarios los mantendrá a salvo en la red y protegerá a las organizaciones frente a los exploits de día cero y otras amenazas digitales.
Apostar por una solución de software antivirus completa. Kaspersky Total Security te ayuda a mantener tus dispositivos seguros mediante el bloqueo de amenazas conocidas y desconocidas.
Artículos relacionados: