Un ataque de día cero es un vector o técnica de ataque cibernético en la que se utiliza una falla de seguridad desconocida o no abordada en el hardware, firmware o software de la computadora. La expresión “día cero” hace referencia al hecho de que el proveedor de software o dispositivo no tiene días o tiempo para corregir la falla, ya que los actores maliciosos ya pueden usarlo para obtener acceso a sistemas vulnerables.
La vulnerabilidad desconocida o no abordada se conoce como vulnerabilidad de día cero o amenaza de día cero. Un ataque de día cero ocurre cuando un actor malicioso utiliza estos ataques para plantar malware, robar datos o producir otros daños a usuarios, organizaciones o sistemas.
Existe un concepto similar, malware de día cero, que es un virus u otra forma de malware cuya firma se desconoce o no está disponible, y, por lo tanto, muchas soluciones de software antivirus o tecnologías de detección de amenazas basadas en firmas no pueden detectarlo.
El equipo X-Force Threat Intelligence de IBM ha registrado 7327 vulnerabilidades de día cero desde 1988. Si bien esto representa solo el 3 % de todas las vulnerabilidades de seguridad registradas, las vulnerabilidades de día cero, sobre todo aquellas que se producen en los sistemas operativos o dispositivos informáticos más utilizados, se encuentran entre los riesgos de seguridad más graves, ya que dejan a un gran número de usuarios u organizaciones enteras expuestas a la delincuencia cibernética hasta que el proveedor o la comunidad de seguridad cibernética identifiquen el problema y brinden una solución.
La vulnerabilidad de día cero se encuentra en una versión de un sistema operativo, aplicación o dispositivo desde el momento de su lanzamiento, pero el proveedor de software o el fabricante de hardware no lo saben. La vulnerabilidad puede pasar desapercibida durante días, meses o años hasta que alguien la encuentra.
En el mejor de los casos, los investigadores de seguridad o desarrolladores de software encuentran la falla antes que los actores de amenazas. Sin embargo, a veces, los hackers descubren la vulnerabilidad primero.
Independientemente de quién descubra la falla, a menudo se convierte en conocimiento público poco después. Los proveedores y los profesionales de seguridad suelen informar a los clientes para que puedan tomar medidas de precaución. Los hackers pueden hacer circular la amenaza entre ellos, y los investigadores pueden detectarla si observan la actividad de delincuencia cibernética. Algunos proveedores pueden mantener en secreto una vulnerabilidad hasta que hayan desarrollado una actualización de software u otra solución, pero esto puede ser peligroso: si los hackers encuentran la falla antes de que los proveedores la solucionen, las organizaciones pueden quedar expuestas.
Ante el conocimiento de cualquier falla nueva de día cero, se inicia una carrera entre los profesionales de seguridad que trabajan en una solución y los hackers que desarrollan un ataque de día cero en el que se utiliza la vulnerabilidad para ingresar a un sistema. Una vez que los hackers desarrollan un ataque de día cero viable, lo utilizan para lanzar un ataque cibernético.
A menudo, los hackers desarrollan ataques más rápido de lo que los equipos de seguridad desarrollan parches. Según una estimación (enlace externo a IBM.com), los ataques suelen estar disponibles dentro de los 14 días posteriores a la divulgación de una vulnerabilidad. Sin embargo, una vez que se inicia el ataque de día cero, los parches aparecen en tan solo unos días. Esto se debe a que los proveedores pueden usar la información de los ataques para identificar la falla que deben corregir. Por lo tanto, si bien las vulnerabilidades de día cero pueden ser peligrosas, los hackers normalmente no pueden utilizarlas por mucho tiempo.
Stuxnet era un gusano informático sofisticado que utilizaba cuatro vulnerabilidades de software de día cero diferentes en los sistemas operativos Microsoft Windows. En 2010, Stuxnet se utilizó en una serie de ataques contra instalaciones nucleares en Irán. Una vez que el gusano había vulnerado los sistemas informáticos de una planta nuclear, enviaba comandos maliciosos a las centrifugadoras utilizadas para enriquecer uranio. Estos comandos hicieron que las centrifugadoras giraran tan rápido que se averiaron. En total, Stuxnet dañó 1000 centrifugadoras.
Los investigadores creen que los gobiernos de Estados Unidos e Israel trabajaron juntos para crear Stuxnet, pero esto no se confirmó.
Log4Shell era una vulnerabilidad de día cero en Log4J, una biblioteca Java de código abierto utilizada para registrar mensajes de error. Los hackers lograron utilizar la falla de Log4Shell para controlar de forma remota casi cualquier dispositivo que ejecutara aplicaciones Java. Dado que Log4J se utiliza en programas populares como Apple iCloud y Minecraft, cientos de millones de dispositivos corrían peligro. La base de datos de Vulnerabilidades y exposiciones comunes (CVE) de MITRE le dio a Log4Shell la puntuación de riesgo más alta: 10 de 10.
La falla Log4Shell existía desde 2013, pero los hackers no la utilizaron hasta 2021. La vulnerabilidad se solucionó al poco tiempo de descubrirla, pero los investigadores de seguridad detectaron más de 100 ataques de Log4Shell por minuto durante el pico. (enlace externo a ibm.com).
A principios de 2022, hackers de Corea del Norte utilizaron una vulnerabilidad de día cero de ejecución remota de código en los navegadores web Google Chrome. Los hackers utilizaron correos electrónicos de phishing para enviar a las víctimas a sitios falsos, que utilizaban la vulnerabilidad de Chrome para instalar spyware y malware de acceso remoto en los equipos de las víctimas. La vulnerabilidad se solucionó después de que salió a la luz, pero los hackers cubrieron bien sus huellas, y los investigadores no saben exactamente qué datos robaron.
Los ataques de día cero son algunas de las amenazas cibernéticas más difíciles de combatir. Los hackers pueden utilizar las vulnerabilidades de día cero incluso antes de que sus objetivos sepan de ellas, lo que les permite a los actores de amenazas escabullirse en las redes sin que los detecten.
Incluso si la vulnerabilidad es de conocimiento público, puede pasar un tiempo antes de que los proveedores de software lancen un parche, lo cual deja a las organizaciones expuestas durante este período.
En los últimos años, los hackers han utilizado las vulnerabilidades de día cero con mayor frecuencia. Según un informe de Mandiant de 2022, solo en 2021 se utilizaron más vulnerabilidades de día cero que en todo el período de 2018-2020 combinado (enlace externo a ibm.com).
Es probable que el aumento de ataques de día cero esté relacionado con el hecho de que las redes empresariales son cada vez más complejas. Hoy en día, las organizaciones dependen de una combinación de aplicaciones en la nube y locales, dispositivos de propiedad de la empresa y de los empleados, y dispositivos de tecnología operativa (OT) e Internet de las cosas (IoT). Todos estos amplían el tamaño de la superficie de ataque de una organización, y las vulnerabilidades de día cero podrían estar ocultas en cualquiera de ellos.
Dado que las fallas de día cero ofrecen oportunidades muy valiosas a los hackers, los delincuentes cibernéticos ahora comercializan vulnerabilidades y ataques de día cero en el mercado negro por grandes sumas de dinero. Por ejemplo, en 2020, los hackers vendían días cero de Zoom por hasta 500 000 USD (enlace externo a IBM.com).
También se sabe que los actores Estado-nación buscan fallas de día cero. Muchos optan por no revelar los días cero que encuentran y prefieren crear su propio ataque secreto de día cero para usarlo contra sus adversarios. Muchos proveedores e investigadores de seguridad han criticado esta práctica, ya que pone en riesgo a las organizaciones de forma desprevenida.
Los equipos de seguridad, a menudo, se encuentran en desventaja ante las vulnerabilidades de día cero. Dado que estas fallas son desconocidas y no tienen solución, las organizaciones no pueden abordarlas en su gestión de riesgos de seguridad cibernética ni en los esfuerzos de mitigación de vulnerabilidades.
Sin embargo, hay medidas que las empresas pueden tomar para descubrir más vulnerabilidades y disminuir el impacto de los ataques de día cero.
Gestión de parches: los proveedores se apresuran a implementar parches de seguridad en cuanto se enteran de los días cero, pero muchas organizaciones se olvidan de aplicarlos rápidamente. Un programa formal de gestión de parches puede ayudar a los equipos de seguridad a mantenerse al tanto de estos parches críticos.
Gestión de vulnerabilidades: las evaluaciones detalladas de vulnerabilidades y las pruebas de inserción pueden ayudar a las empresas a encontrar vulnerabilidades de día cero en sus sistemas antes de que las descubran los hackers.
Gestión de la superficie de ataque (ASM): las herramientas de ASM permiten a los equipos de seguridad identificar todos los activos en sus redes y examinarlos para detectar vulnerabilidades. Las herramientas de ASM evalúan la red desde la perspectiva de un hacker y se centran en cómo los actores de amenazas podrían utilizar los activos para obtener acceso. Dado que las herramientas de ASM ayudan a las organizaciones a ver sus redes desde la perspectiva de un atacante, pueden ayudar a detectar vulnerabilidades de día cero.
Fuentes de inteligencia de amenazas: los investigadores de seguridad suelen estar entre los primeros en marcar las vulnerabilidades de día cero. Las organizaciones que se mantienen actualizadas sobre la inteligencia de amenazas externas pueden enterarse antes de las nuevas vulnerabilidades de día cero.
Métodos de detección basados en anomalías: el malware de día cero puede evadir los métodos de detección basados en firmas, pero las herramientas que utilizan aprendizaje automático para detectar actividades sospechosas en tiempo real, a menudo, pueden detectar ataques de día cero. Entre las soluciones comunes de detección basadas en anomalías, se incluyen el análisis de comportamiento de usuarios y entidades (UEBA), las plataformas de detección y respuesta extendida (XDR), las herramientas de respuesta y detección de endpoint (EDR) y algunos sistemas de detección y prevención de intrusiones.
Arquitectura de confianza cero: si un hacker utiliza una vulnerabilidad de día cero para irrumpir en una red, la arquitectura de confianza cero puede limitar el daño. La confianza cero utiliza una autenticación continua y acceso de privilegios mínimos para evitar el movimiento lateral y bloquear a actores maliciosos para que no accedan a recursos confidenciales.
Mejore rápidamente la ciberresiliencia de su organización. Gestione la expansión de su huella digital, descubra la shadow IT y dé en el blanco con hallazgos correlacionados que se basan en la tentación adversaria.
El 81 % de los profesionales de SOC dicen que se ven ralentizados por las investigaciones manuales.1 Acelere las investigaciones de alertas con IBM® Security QRadar Suite, una selección modernizada de tecnologías de seguridad que ofrece una experiencia de analista unificada creada con IA y automatizaciones.
Adopte un programa de gestión de vulnerabilidades que identifique, priorice y gestione la corrección de fallas, fortalezca su resistencia a los ataques, disminuya los tiempos de corrección y ayude a mantener el cumplimiento normativo.
Aprende todo lo que necesitas saber sobre los ataques de día cero y el papel crucial que desempeñan en la seguridad. Preparado por Randori, una compañía de IBM.
Los ataques cibernéticos son intentos por parte de ciberdelincuentes de robar, exponer, alterar, deshabilitar o destruir información a través del acceso no autorizado a los sistemas informáticos.
La administración de vulnerabilidades es la detección y resolución continuas de fallas de seguridad en la infraestructura y el software de TI de una organización.
Notas de pie de página
1 Global Security Operations Center Study Results (PDF), realizado por Morning Consult y patrocinado por IBM, marzo de 2023