Ataques de Día Cero

Un Ataque de Día Cero es una vulnerabilidad de seguridad de software que es recién descubierto, es decir, para el aún no existe un parche porque los desarrolladores de software desconocían su existencia.

Es llamado “día cero” ya que los desarrolladores descubren este fallo únicamente después de que suceda el ataque, de modo que tienen cero días de advertencia para crear un parche antes del ataque. Desde el minuto cero, los ciberatacantes crean un malware de día cero, para atacar estas vulnerabilidades recientemente descubiertas. Después del ataque, los desarrolladores se apresuran a identificar el ataque, averiguar qué ha ocurrido y crear un parche antes de que se produzcan más ataques.

Los ataques de día cero representan una gran amenaza porque no hay una cura hasta que se publica un parche, y esto puede tardar un tiempo. Durante este tiempo, los atacantes no dejan de atacar al mayor número de personas posible antes de que aparezca el parche. De ese modo, sus datos podrían correr un riesgo incluso superior al habitual.

Un ataque de día cero exitoso conduce al robo de identidad o al robo de datos confidenciales personales o de la empresa. Los ciberdelincuentes pueden vender datos capturados de un ataque de explotación en la web oscura por grandes sumas de dinero. En el peor de los casos, algunos exploits de día cero recientes han demostrado ser la advertencia de un ataque de ransomware .

Según estimaciones recientes, los actores motivados financieramente orquestan un tercio de los exploits de día cero.

Un exploit de día cero afecta negativamente el hardware, las aplicaciones, los datos o toda una red, como:

  • Sistemas Operativos
  • Navegadores Web
  • Aplicaciones y Sistemas Operacionales
  • Componentes de Código Abierto
  • Hardware y Firmware
  • Dispostivos IoT (Internet de las cosas¿)

Detección de ataques de día cero

¿Por qué los cibercriminales son los primeros en descubrir un fallo de seguridad? Estas son algunas de sus técnicas:

Una técnica conocida es el Fuzzing, por el cual introducen grandes cantidades de datos a distintos intervalos y ver cómo responde un programa, esto produce una sobrecarga que puede causar su bloqueo y comportamientos inesperados, que derivan en la ejecución de un código indebido. Si el hacker puede escribir ese código indebido y logra ejecutarlo, se da paso a una vulnerabilidad. Otra manera es estudiando y analizando fallos anteriores con el fin de adaptarlas a los nuevos programas y nuevos parches.

Algunos hackers descubren las vulnerabilidades pagando a otros hackers por esta información: Las vulnerabilidades de día cero se comercian y venden entre hackers en la dark web.

Las vulnerabilidades de día cero son un negocio muy rentable en tres mercados independientes: 

  • El mercado negro es donde tienen lugar las actividades delictivas. Los hackers roban información personal, como los números de tarjeta de crédito, para usarla o venderla en la web oscura.
  • El mercado blanco está formado por hackers bienintencionados que informan al proveedor y, posiblemente, reciben una recompensa.
  • El mercado gris tiene un trasfondo militar en el que las vulnerabilidades se venden o se usan para espiar, vigilar y participar en la guerra tecnológica.

¿Cuáles son las señales de advertencia de un ataque de día cero?

Los desarrolladores se fijan en las siguientes señales:

  • Comportamiento extraño del software.
  • Estadísticas de computación no segura.
  • Firmas de parches de seguridad anteriores.

¿Quién es más vulnerable a un ataque de día cero?

Los principales objetivos de este ataque son empresas, organizaciones e instituciones. Los ciberdelincuentes usan estas vulnerabilidades de día cero para interrumpir las operaciones u obtener acceso a información confidencial. Dicho de otro modo, las vulnerabilidades de día cero a menudo implican ataques a gran escala.

Sin embargo, en los ataques de día cero no dirigidos, un software como iOS puede usarse para afectar al mayor número de personas individuales de manera inadvertida. Cuanto más extendido esté el uso de un software, más probable es que los delincuentes intenten usarlo para sus ataques y así encontrar más y más víctimas. Entre más larga la lista de personas afectadas, más valioso será el ataque.

Recuerde que los riesgos están presentes hasta en los dispositivos personales.