Vulnerabilidad Zero Day: ¿Qué es?¿Cómo lo hacen?¿Cómo identificarlos?¿Cómo protegernos?

    Como su propio nombre indica, una vulnerabilidad de día cero o Zero Day, es un tipo de vulnerabilidad que acaba de ser descubierta y que aún no tiene un parche que la solucione. La principal amenaza reside en que, hasta que se lanza dicho parche correctivo y los usuarios lo instalan en sus equipos, los atacantes tienen vía libre para explotar la vulnerabilidad y sacar provecho del fallo de seguridad. A este tipo de ataques, se les denomina ataques de día cero o Zero day attack.

    Si prestamos atención a las noticias relacionadas con ciberseguridad o informática, no tardaremos mucho en encontrar algún artículo relacionado. Por ejemplo, un caso llamativo fue el ransomware que afectó a una gran cantidad de equipos a lo largo de 2017. A raíz de una vulnerabilidad en el sistema operativo Windows, los ciberdelincuentes se aprovecharon y consiguieron infectar una gran multitud de equipos con el ransomware WannaCry, que encriptó los archivos de los ordenadores infectados pidiendo un rescate a los usuarios.





¿Cómo descubren los atacantes estas vulnerabilidades?


    Los ciberdelincuentes invierten una gran cantidad de tiempo en la búsqueda de nuevas formas con las que llevar a cabo sus ataques, por ejemplo, tratando de identificar durante horas posibles fallos en el código de algún software, servicio o página web. Sin embargo, la estructura interna de una página web o una aplicación es muy compleja, y encontrar puntos débiles en su código es una tarea increíblemente compleja para una persona.

    El paso a paso desde que se descubre una vulnerabilidad, hasta que se diseña un parche para solucionarla:

        • Un fabricante de software acaba de lanzar al mercado una aplicación para dispositivos móviles que rápidamente se pone de moda. Sin saberlo, el código detrás de la aplicación contiene un fallo que se traduce en una vulnerabilidad de día cero.
        • Un grupo de ciberdelincuentes, conscientes de la reciente popularidad de la app, lanzan varios ataques contra ella para identificar posibles fallos en su seguridad. Finalmente, dan con la vulnerabilidad, que les permite acceder al código de la aplicación.
        Los atacantes escriben e implementan un código o script para explotar la vulnerabilidad y se aprovechan de ella mientras esté disponible, es decir, mientras el desarrollador no aplique un parche que lo corrija.
        • Como consecuencia de lo anterior, los usuarios comienzan a notar fallos en la apps y notifican al fabricante el mal funcionamiento de la misma. Los desarrolladores lo investigan y detectan la vulnerabilidad. Rápidamente, preparan una actualización con la que solucionar la vulnerabilidad.


¿Quiénes o cuáles son los blancos de los exploits de día cero?


Una vulnerabilidad de día cero puede aprovechar vulnerabilidades en una variedad de sistemas, como sistemas operativos, navegadores web, aplicaciones de oficina, componentes de código abierto, hardware y firmware, Internet de las cosas (IoT).

Como resultado, existe una amplia gama de víctimas potenciales:

        • Individuos que usan un sistema vulnerable, como un navegador o un sistema operativo. Los ciberdelincuentes pueden usar las vulnerabilidades de seguridad para comprometer los dispositivos y crear grandes botnets.
        • Individuos con acceso a datos comerciales valiosos, como propiedad intelectual.
        • Dispositivos de hardware, firmware y la Internet de las cosas.
        • Grandes empresas y organizaciones.
        • Agencias gubernamentales.
        • Objetivos políticos o amenazas de seguridad nacional.


Cómo identificar ataques de día cero


    Debido a que las vulnerabilidades de día cero pueden adoptar muchas formas (como cifrado de datos faltantes, autorizaciones faltantes, algoritmos rotos, fallas, problemas con la seguridad de contraseñas, etc.), pueden ser muy difíciles de detectar. Debido a la naturaleza de este tipo de vulnerabilidades, la información detallada de los exploits de día cero solo está disponible una vez que se identifica el exploit.

    Las organizaciones atacadas por un exploit de día cero pueden ver tráfico inesperado o una actividad de escaneo sospechosa que proviene de un cliente o servicio. Algunas técnicas de detección de día cero incluyen:
        
            • Usar bases de datos de malware existentes y la forma en que se comportan como referencia. A pesar de que estas bases de datos se actualizan con mucha rapidez y pueden ser útiles como un punto de referencia, los exploits de día cero son nuevos y desconocidos por definición. Por lo tanto, existe un límite en la cantidad de información que puede brindar una base de datos existente.
            • Alternativamente, algunas técnicas buscan características de malware de día cero según la forma en que interactúan con el sistema objetivo. En lugar de examinar el código de archivos entrantes, esta técnica examina sus interacciones con el software existente e intenta determinar si provienen de acciones maliciosas.
            • El aprendizaje automático se usa cada vez más para detectar datos desde exploits antes detectados, a fin de establecer una base para una conducta segura de sistema según los datos de interacciones actuales y anteriores con el sistema. Mientras más datos haya disponibles, más confiable se vuelve la detección.


Ejemplos de ataques de día cero


             • 2021: vulnerabilidad de día cero de Chrome
             • 2020: Zoom
             • 2020: iOS de Apple
             • 2019: Microsoft Windows, Europa del Este
             • 2017: Microsoft Word
             • Stuxnet


Cómo protegerte contra ataques de día cero

    
    Para protegerse de los ataques de día cero y mantener a salvo la computadora y los datos, es esencial que tanto los individuos como las organizaciones sigan prácticas recomendadas de ciberseguridad. Esto incluye:

        • Manten actualizados todo el software y los sistemas operativos. Esto se debe a que los proveedores incluyen en las nuevas versiones parches de seguridad para corregir vulnerabilidades recién identificadas. Permanecer actualizado garantiza que estés más seguro.

         Usa solo aplicaciones esenciales. Mientra más software tengas, más vulnerabilidades potenciales tendrás. Puedes reducir el riesgo en tu red utilizando solo las aplicaciones que necesitas.

        • Usa un firewall. Un firewall desempeña un papel esencial en la protección de tu sistema contra amenazas de día cero. Puedes garantizar la máxima protección configurando el firewall para que solo admita las transacciones necesarias.

        • Concienciar a los usuarios dentro de las organizaciones. Muchos ataques de día cero se aprovechan de errores humanos. Enseñar a empleados y usuarios buenos habitos de seguridad ayudará a mantenerlos a salvo en línea y a proteger a las organizaciones de exploits de día cero y otras amenazas digitales.



    No hay comentarios:

    Publicar un comentario