Las vulnerabilidades de día cero son vulnerabilidades de protocolos, software y aplicaciones que aún no son conocidas por el público en general ni por los desarrolladores del producto en el que existe la vulnerabilidad. Dado que una vulnerabilidad de día cero es desconocida para el público o los desarrolladores, los parches no están disponibles.
Según la investigación de GPZ, la mitad de las 18 vulnerabilidades de día cero explotadas por los hackers en el primer semestre de 2022 antes de que se pusiera a disposición una actualización de software podrían haberse evitado si los proveedores de software hubieran realizado pruebas más exhaustivas y creado parches más completos. Sorprendentemente, al menos cuatro de las vulnerabilidades de día cero de este año eran variaciones de 2021.
Pero, ¿qué es exactamente una vulnerabilidad de día cero? Eso es lo que aprenderás en esta guía. Pero para entender completamente la definición, primero debemos definir algunas otras cosas.
¿Qué es un exploit de día cero?
Un exploit de día cero es una vulnerabilidad de seguridad que no ha sido divulgada ni corregida públicamente. El término se refiere tanto al exploit en sí como al paquete de código que incluye el exploit y las herramientas relacionadas.
Los atacantes suelen utilizar exploits de día cero para desplegar malware en sistemas y redes que no han sido parcheados. Los defensores también pueden utilizarlos para realizar pruebas de penetración y detectar vulnerabilidades de la red.
Es posible que escuche los términos "vulnerabilidades de día cero", "explotaciones de día cero" o "ataques de día cero" al conocer los exploits de día cero. Estos términos tienen una diferencia crucial:
- La forma que emplean los hackers para atacar el software se conoce como "zero-day exploit".
- El defecto en su sistema se conoce como "vulnerabilidad de día cero".
- Los "ataques de día cero" son lo que hacen los hackers cuando aprovechan una vulnerabilidad para infiltrarse en su sistema.
Cuando se habla de vulnerabilidades de día cero, la palabra "sin descubrir" es esencial, ya que para ser llamada "vulnerabilidad de día cero", un fallo debe ser desconocido por los diseñadores del sistema. Cuando se descubre un fallo de seguridad y se pone a disposición una solución, deja de ser una "vulnerabilidad de día cero".
Los atacantes pueden utilizar los exploits de día cero de varias maneras, entre ellas:
- Aprovechar los sistemas sin parches (es decir, sin aplicar las actualizaciones de seguridad) para instalar malware o tomar el control de los ordenadores de forma remota;
- Llevar a cabo campañas de phishing (es decir, enviar mensajes de correo electrónico tratando de engañar a los destinatarios para que hagan clic en enlaces o archivos adjuntos) utilizando archivos adjuntos maliciosos o enlaces que conducen a explotaciones de alojamiento de sitios web; o
- Para realizar ataques de denegación de servicio (es decir, inundar los servidores con peticiones para que las peticiones legítimas no puedan pasar).
¿Qué características únicas de los exploits de día cero los hacen tan peligrosos?
Existen dos categorías de vulnerabilidades de día cero:
Sin descubrir: El proveedor de software aún no ha descubierto el fallo. Este tipo es extremadamente raro porque la mayoría de las grandes empresas tienen equipos dedicados a tiempo completo a encontrar y corregir los defectos de su software antes de que los hackers o los usuarios maliciosos los descubran.
Sin detectar: El fallo ha sido encontrado y corregido por el desarrollador del software, pero nadie lo ha reportado todavía porque no han notado nada malo en su sistema. Esta vulnerabilidad puede ser muy valiosa si quieres lanzar un ataque contra el sistema de otra persona y no quieres que sepan lo que está pasando hasta después de haberlo hecho.
Los exploits de día cero son especialmente arriesgados porque tienen más posibilidades de éxito que los ataques a fallos conocidos. Cuando una vulnerabilidad se hace pública en el día cero, las empresas todavía tienen que parchearla, lo que hace concebir un ataque.
El hecho de que ciertas organizaciones sofisticadas de ciberdelincuentes desplieguen estratégicamente los exploits de día cero los hace mucho más arriesgados. Estas empresas guardan los exploits de día cero para objetivos de alto valor, como organismos gubernamentales, instituciones financieras e instalaciones sanitarias. Esto puede alargar la duración del ataque y disminuir la probabilidad de que la víctima encuentre una vulnerabilidad.
Los usuarios deben seguir actualizando sus sistemas incluso después de que se haya creado un parche. Si no lo hacen, hasta que el sistema esté parcheado, los atacantes pueden seguir utilizando un exploit de día cero.
¿Cómo identificar una vulnerabilidad de día cero?
La forma más común de identificar una vulnerabilidad de día cero es utilizando un escáner como Nessus u OpenVAS. Estas herramientas escanean su ordenador en busca de vulnerabilidades utilizando firmas (archivos malos conocidos). Si una firma coincide, el escáner puede decirle con qué archivo coincide.
Sin embargo, este tipo de análisis suele pasar por alto muchas vulnerabilidades porque las firmas sólo están disponibles a veces o se actualizan con la suficiente frecuencia para detectar todas las nuevas amenazas a medida que surgen.
Otro método para identificar los días cero es la ingeniería inversa de los binarios de software (archivos ejecutables). Este método puede ser muy difícil, pero por lo general es innecesario para la mayoría de la gente, porque un montón de escáneres de opción libre en línea no requieren ningún conocimiento técnico o experiencia para utilizar con eficacia.
Ejemplos de vulnerabilidades de día cero
Algunos ejemplos de vulnerabilidades de día cero son:
Heartbleed - Esta vulnerabilidad, descubierta en 2014, permitía a los atacantes extraer información de los servidores que utilizan las bibliotecas de cifrado OpenSSL. La vulnerabilidad se introdujo en 2011, pero no se descubrió hasta dos años más tarde, cuando los investigadores descubrieron que ciertas versiones de OpenSSL eran susceptibles a los latidos enviados por los atacantes. Los hackers podían entonces obtener las claves privadas de los servidores que utilizaban esta biblioteca de cifrado, lo que les permitía descifrar los datos que transmitían los usuarios.
Shellshock - Esta vulnerabilidad fue descubierta en 2014 y permitía a los atacantes obtener acceso a los sistemas que ejecutaban un sistema operativo vulnerable a los ataques a través del entorno de shell Bash. Shellshock afecta a todas las distribuciones de Linux y a Mac OS X 10.4 y versiones anteriores. Aunque se han publicado parches para estos sistemas operativos, algunos dispositivos aún no han sido parcheados contra este exploit.
Violación de datos de Equifax - La violación de datos de Equifax fue un importante ciberataque en 2017. El ataque fue perpetrado por un grupo desconocido de piratas informáticos que vulneraron el sitio web de Equifax y robaron aproximadamente 145 millones de datos personales de clientes, incluidos los números de la Seguridad Social y las fechas de nacimiento.
El ransomware WannaCry - WannaCry es un virus ransomware que tiene como objetivo los sistemas operativos Microsoft Windows; cifra los archivos de los usuarios y exige el pago de un rescate a través de Bitcoin para descifrarlos. Se propaga a través de las redes utilizando EternalBlue. Un exploit de Windows filtrado por la NSA en abril de 2017. El gusano ha afectado a más de 300.000 ordenadores en todo el mundo desde su lanzamiento el 12 de mayo de 2017.
Ataques de malware a hospitales - Los ataques de malware son cada vez más frecuentes en los últimos años, ya que los piratas informáticos atacan a las organizaciones sanitarias para obtener beneficios personales o por motivos políticos. En uno de estos ataques, los hackers accedieron a los registros de los pacientes del Hollywood Presbyterian Medical Center a través de correos electrónicos de phishing enviados por la administración del hospital.
Palabras finales
Una vulnerabilidad de día cero es un fallo de software que ha sido identificado pero que aún no ha sido revelado al proveedor de software. Está a "cero días" de ser conocida, al menos por el público. En otras palabras, es un exploit en la naturaleza del que nadie sabe nada, excepto quien lo descubrió e informó primero.
- ¿Cómo encontrar el mejor proveedor de soluciones DMARC para su empresa? - 25 de abril de 2024
- PowerDMARC y Zendata forjan una alianza para mejorar la seguridad de los dominios - 25 de abril de 2024
- PowerDMARC se asocia con CNS para impulsar las prácticas de seguridad del correo electrónico en Oriente Medio - 24 de abril de 2024