El término «día cero» es bastante común en el mundo de la ciberseguridad. En los últimos meses, las principales empresas tecnológicas, desde Microsoft y Google hasta Apple, han tenido que corregir errores de día cero, pero ¿qué significa eso? Aquí, le explicaremos cómo funcionan y cómo protegerse.
Resumen
¿Por qué se llama día cero?
El término «día cero» se refiere a una vulnerabilidad que existe en la naturaleza sin el conocimiento del fabricante del software, dejándolos abiertos a ataques. Una vez que encuentran el problema, tienen “cero días” para solucionarlo porque ya están en riesgo. Hay tres formas principales de pensar en un día cero, como señala la firma de software de seguridad Kaspersky:
-
Vulnerabilidad de día cero: Una debilidad de software que puede ser explotada y que los atacantes encuentran antes de que el fabricante se dé cuenta.
-
Exploit de día cero: el método que utiliza un atacante para obtener acceso al sistema utilizando esa vulnerabilidad de día cero.
-
Ataque de día cero: cuando los malhechores usan un exploit de día cero para ingresar a un sistema para robar datos o causar daños.
Entonces, la vulnerabilidad es la debilidad, el exploit es el método que usan los malos actores para ingresar, y el ataque es cuando esos malos actores usan esa vulnerabilidad para causar daño. Los términos a veces se usan indistintamente, pero no son exactamente lo mismo.
¿Cómo funcionan los ataques de día cero?
Incluso cuando los desarrolladores y fabricantes de software revisan diligentemente su producto en busca de fallas, ocurren errores y los malos actores se dedican a la búsqueda de debilidades o lagunas que pueden explotar para su propio beneficio.
Una vez que un atacante cibernético encuentra esa vulnerabilidad, puede escribir un segmento de código para aprovecharla. Lo que ese código es y hace dependerá del tipo de vulnerabilidad que hayan descubierto. A veces, los atacantes pueden obtener acceso al sistema simplemente utilizando un exploit de día cero. Si no pueden, intentarán engañar a alguien para que los deje entrar.
Los atacantes cibernéticos a menudo hacen esto a través de la ingeniería social, técnicas que juegan con la psicología humana para engañarlos y que bajen la guardia. Las estafas de phishing que envían mensajes amenazantes para asustar a las personas para que realicen una acción deseada son un caso de libro de texto de ingeniería social. Un correo electrónico falso que parece haber sido enviado desde su banco, por ejemplo, dice que su cuenta ha sido pirateada y le dice que «haga clic aquí para verificar los detalles de su cuenta». La ingeniería social se usa en casi cualquier tipo de ataque cibernético, desde estafas de malware hasta ataques USB, porque funciona con la frecuencia suficiente para ser útil.
Una vulnerabilidad de día cero puede existir en la naturaleza durante meses antes de ser detectada. Durante ese tiempo, los atacantes pueden salirse con la suya robando o copiando datos y dañando sistemas confidenciales hasta que el fabricante del software implemente una solución.
Los piratas informáticos malintencionados a menudo venden información sobre vulnerabilidades de día cero en la web oscura por grandes sumas de dinero. Mientras las únicas personas que conozcan estos exploits sean los atacantes, seguirán siendo una amenaza.
Los ataques de día cero pueden alterar mucho más que las contraseñas de correo electrónico o incluso los datos bancarios. Los objetivos van desde contraseñas personales e información hasta vulnerabilidades en dispositivos conectados a Internet de las Cosas.
¿Cómo se descubren los ataques de día cero?
La buena noticia es que no son solo los hackers malintencionados los que buscan estos puntos débiles. Las empresas de software y tecnología a menudo emplean piratas informáticos de «sombrero blanco» o «sombrero gris» para probar sus sistemas contra ataques y descubrir vulnerabilidades antes de que sus productos lleguen al mercado.
Una vez descubiertas, estas vulnerabilidades se publican en foros públicos que los miembros de la industria saben verificar. Algunos proveedores externos también se dedican a recopilar y compartir vulnerabilidades. La rama de inteligencia en la nube de Cisco, llamada Talos Intelligence, es una de esas empresas que enumera las vulnerabilidades informadas por los usuarios, incluidos los días cero, en su sitio web. El canal de capacitación en TI de YouTube, CBT Nuggets, analiza esto más detalladamente en uno de sus videos.
Las empresas tecnológicas también pagan «recompensas por errores» a piratas informáticos o investigadores independientes que encuentran vulnerabilidades en sus productos. Estos programas crean un incentivo para que los piratas informáticos expertos prueben constantemente un sistema o pieza de software y luego informen los hallazgos al desarrollador.
Las amenazas de día cero son difíciles de detectar, porque la información sobre ellas solo es pública después de que se encuentran, y a menudo solo se encuentran después de un ataque. Esa evidencia puede ser datos faltantes, errores en el sistema, algoritmos que se comportan incorrectamente o cifrado faltante.
Recomendado por Nuestros Editores
La evidencia de ataques de día cero también puede tomar la forma de tráfico inesperado o actividad de escaneo. Si un sistema se ha visto comprometido y está enviando datos de forma encubierta a la fuente del ataque, por ejemplo, podría ver un tráfico más alto de lo normal en el servidor.
A menudo, se utiliza una combinación de bases de datos de malware existentes, la observación del sistema en busca de comportamientos extraños y el aprendizaje automático para detectar nuevas amenazas de día cero, señala Kaspersky. La información sobre el comportamiento anterior del malware y las interacciones anteriores del sistema se utiliza para determinar si algo es sospechoso y debe marcarse para su investigación. La IA, en particular, puede analizar una gran cantidad de datos, lo que le brinda un sólido marco de referencia para usar contra nuevas amenazas.
¿Cómo puede protegerse de los ataques de día cero?
La naturaleza de los ataques de día cero hace que sea difícil protegerse contra ellos, pero es posible defenderse un poco. Para empezar, mantenga todos sus sistemas y software actualizados. En 2017, los ataques de ransomware WannaCry se generaron a partir de una lista robada de vulnerabilidades en los sistemas de Microsoft, muchas de las cuales podrían haberse protegido mediante la descarga de un parche de actualización gratuito. Entonces, por muy tentador que sea, no siga haciendo clic en «recordarme más tarde».
Solo descargar aplicaciones que sepa que son necesarias y que realmente usará también ayudará a protegerlo. Cuantas más aplicaciones tenga, más formas de ingresar a su sistema estarán disponibles para un atacante.
El software antivirus y antimalware es una ventaja. Por lo general, se basan en datos de amenazas anteriores, pero se actualizan con frecuencia. Un buen software aún puede proteger contra muchas amenazas, así que configure estos programas para que ejecuten automáticamente escaneos regulares de todo su sistema para que no se olvide de usarlos. Para una capa adicional de seguridad, un firewall es una opción, aunque puede ser excesivo en la actualidad.
Finalmente, infórmese a sí mismo y/oa los miembros de su organización. Todos pueden soportar practicar una mejor higiene digital en línea, y cuanto más sepa la gente sobre las tácticas comunes de ingeniería social utilizadas por los atacantes, menos éxito tendrán.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
