¿Qué es un ataque de día cero?: definición y explicación

Significado y definición de "día cero"

"Día cero" es un término ámplio que describe vulnerabilidades de seguridad recién descubiertas que los hackers usan para atacar sistemas. El término "día cero" se refiere al hecho de que el proveedor o desarrollador acaba de conocer acerca de la falla, lo que significa que ha tenido "cero días" para corregirla. Un ataque de día cero ocurre cuando los hackers aprovechan la falla antes de que los desarrolladores tengan la oportunidad de solucionarla.

"Día cero" a veces suele escribirse como "día 0". Las palabras "vulnerabilidad", "exploit" y "ataque" suelen usarse junto al concepto de día cero, y es muy útil entender la diferencia:

• Una vulnerabilidad de día cero es una vulnerabilidad de software que los atacantes descubrieron antes de que el proveedor sepa siquiera de su existencia. Debido a que los proveedores desconocen este problema, no existen parches para vulnerabilidades de día cero, por lo cual es muy probable que los ataques tengan éxito.
• Un exploit de día cero es el método que usan los hackers para atacar sistemas con una vulnerabilidad anteriormente no identificada.
• Un ataque de día cero es el uso de un exploit de día cero para causar daños o robar datos a un sistema afectado por una vulnerabilidad.

¿Qué son los ataques de día cero y cómo funcionan?

A menudo, el software tiene vulnerabilidades de seguridad que los hackers pueden aprovechar para provocar el caos. Los desarrolladores de software siempre buscan vulnerabilidades para "parchear"; es decir, desarrollan una solución que lanzan en una nueva actualización.

Sin embargo, a veces los hackers o las entidades maliciosas detectan la vulnerabilidad antes de que los desarrolladores de software lo hagan. Mientras la vulnerabilidad sigue disponible, los atacantes pueden escribir e implementar un código para aprovecharse de ella. Esto se conoce como código de exploit.

El codigo de exploit puede dar lugar a que los usuarios de software sean víctimas; por ejemplo, mediante el robo de identidad u otras formas de cibercrimen. Una vez que los atacantes identifican una vulnerabilidad de día cero, necesitan una forma de comunicarse con el sistema vulnerable. Para ello, a menudo usan un correo electrónico que usa ingeniería social; es decir, un correo electrónico u otro mensaje que supuestamente proviene de un remitente conocido o legítimo, pero que realmente proviene de un atacante. El mensaje intenta convencer a un usuario que realice una acción como abrir un archivo o visitar un sitio web malicioso. Tras hacerlo, se descarga el malware del atacante, el cual se infiltra en los archivos del usuario y roba datos confidenciales.

Cuando se conoce una vulnerabilidad, los desarrolladores intentan corregirla para detener el ataque. Sin embargo, a menudo las vulnerabilidades de seguridad no se descubren de inmediato. A veces, pueden pasar días, semanas o incluso meses antes de que los desarrolladores identifiquen la vulnerabilidad que dio lugar al ataque. Además, incluso si se publica un parche de día cero, no todos los usuarios lo implementan rápidamente. En años recientes, los hackers se han vuelto más rápidos en abusar de las vulnerabilidades apenas las descubren.

Los exploits se pueden vender en la web oscura por grandes sumas de dinero. Una vez que se descubre y corrige un exploit, ya no se conoce como una amenaza de día cero.

Los ataques de día cero son especialmente peligrosos debido a que las únicas personas que saben de ellos son los atacantes mismos. Una vez que se infiltran en una red, los criminales pueden atacar inmediatamente o esperar el mejor momento para hacerlo.

¿Quién realiza ataques de día cero?

Las entidades maliciosas que realizan ataques de día cero entran en categorías diferentes, según su motivación. Por ejemplo:

• Cibercriminales: hackers cuya motivación suele ser obtener ganancias financieras.
• Hacktivistas: hackers motivados por una causa política o social que desean que los ataques sean visibles para llamar la atención a su causa.
• Espionaje corporativo: hackers que espían a empresas para obtener información sobre ellas.
• Guerra informática: países o entidades políticas que espían o atacan la infraestructura cibernética de otro país.

¿Quiénes o cuáles son los blancos de los exploits de día cero?

Un hackeo de día cero puede aprovechar vulnerabilidades en una variedad de sistemas, como los siguientes:

• sistemas operativos; 
• navegadores web; 
• aplicaciones de oficina;
• componentes de código abierto;
• hardware y firmware;
• Internet de las cosas (IoT). 

Como resultado, existe una amplia gama de víctimas potenciales:

• Individuos que usan un sistema vulnerable, como un navegador o un sistema operativo. Los hackers pueden usar las vulnerabilidades de seguridad para comprometer los dispositivos y crear grandes botnets.
• Individuos con acceso a datos comerciales valiosos, como propiedad intelectual.
• Dispositivos de hardware, firmware y la Internet de las cosas.
• Grandes empresas y organizaciones.
• Agencias gubernamentales.
• Objetivos políticos o amenazas de seguridad nacional.

Es útil pensar en términos de ataques de día cero con objetivos y ataques sin objetivos:

• Los ataques de día cero con objetivos se realizan en contra de blancos potencialmente valiosos, como grandes organizaciones, agencias de gobierno o individuos de alto perfil.
• Los ataques de día cero sin objetivos generalmente se realizan contra usuarios de sistemas vulnerables, como un navegador o un sistema operativo.

Incluso aunque los atacantes no buscan a individuos específicos, muchas personas se pueden ver afectadas por ataques de día cero, a menudo como daño colateral. Los ataques sin objetivo buscan capturar la mayor cantidad posible de usuarios, lo que significa que los datos de un usuario promedio podrían verse afectados.

Cómo identificar ataques de día cero

Debido a que las vulnerabilidades de día cero pueden adoptar muchas formas (como cifrado de datos faltantes, autorizaciones faltantes, algoritmos rotos, fallas, problemas con la seguridad de contraseñas, etc.), pueden ser muy difíciles de detectar. Debido a la naturaleza de este tipo de vulnerabilidades, la información detallada de los exploits de día cero solo está disponible una vez que se identifica el exploit.

Las organizaciones atacadas por un exploit de día cero pueden ver tráfico inesperado o una actividad de escaneo sospechosa que proviene de un cliente o servicio. Algunas técnicas de detección de día cero incluyen lo siguiente:

1. Usar bases de datos de malware existentes y la forma en que se comportan como referencia. A pesar de que estas bases de datos se actualizan con mucha rapidez y pueden ser útiles como un punto de referencia, los exploits de día cero son nuevos y desconocidos por definición. Por lo tanto, existe un límite en la cantidad de información que puede brindar una base de datos existente.
2. Alternativamente, algunas técnicas buscan características de malware de día cero según la forma en que interactúan con el sistema objetivo. En lugar de examinar el código de archivos entrantes, esta técnica examina sus interacciones con el software existente e intenta determinar si provienen de acciones maliciosas.
3. El aprendizaje automático se usa cada vez más para detectar datos desde exploits antes detectados, a fin de establecer una base para una conducta segura de sistema según los datos de interacciones actuales y anteriores con el sistema. Mientras más datos haya disponibles, más confiable se vuelve la detección.

A menudo, se usa una combinación de distintos sistemas de detección.

Ejemplos de ataques de día cero

Los siguientes incluyen algunos ejemplos recientes de ataques de día cero:

2021: vulnerabilidad de día cero de Chrome

En el 2021, Google Chrome sufrió una serie de amenazas de día cero, lo cual hizo que Chrome lanzara actualizaciones. La vulnerabilidad se debió a un error en el motor V8 JavaScript que se utiliza en el navegador web.

2020: Zoom

Se encontró una vulnerabilidad en la popular plataforma de videoconferencias. Este ejemplo de ataque de día cero involucró a hackers que accedían de forma remota a la computadora de un usuario si utilizaban una versión antigua de Windows. Si el blanco era un administrador, el hacker podía apoderarse por completo de su equipo y acceder a todos sus archivos.

2020: iOS de Apple

Se suele describir a iOS de Apple como la más segura de las principales plataformas de teléfonos. Sin embargo, en el 2020, fue victima de al menos dos conjuntos de vulnerabilidades de día cero de iOS, las que incluían un error de día cero que permitía a los atacantes comprometer iPhones de forma remota.

2019: Microsoft Windows, Europa del Este

Este ataque se centró en una escalación local de privilegios, una parte vulnerable de Microsoft Windows, y sus objetivos eran instituciones gubernamentales en Europa del Este. El exploit de día cero abusaba de una vulnerabilidad de privilegio local en Microsoft Windows para ejecutar código arbitrario, instalar aplicaciones y ver y cambiar los datos en aplicaciones comprometidas. Una vez que el ataque fue identificado y denunciado al Centro de Respuesta de Seguridad de Microsoft, se desarrolló e implementó un parche.

2017: Microsoft Word

Este exploit de día cero comprometía cuentas bancarias personales. Las víctimas fueron personas que accidentalmente abrieron un documento de Word malicioso. El documento mostraba una solicitud para "cargar contenido remoto", en la cual se mostraba a los usuarios una ventana emergente que solicitaba acceso externo desde otro programa. Si las víctimas hacían clic en "Sí", el documento instalaba malware en sus dispositivos, el cual podía capturar credenciales de inicio de sesión en sistemas bancarios.

Stuxnet

Stuxnet fue uno de los ejemplos más famosos de un ataque de día cero. Aunque se descubrió por primera vez en el 2010, sus origenes se remontaban al 2005. Este gusano informático malicioso afectaba a computadoras de fabricación que ejecutaban software de controlador lógico programable (PLC). Su objetivo principal eran las plantas de enriquecimiento de uranio de Irán con el fin de interrumpir el programa núclear del país. El gusano infectaba los PLC mediante vulnerabilidades en el software Siemens Step7, provocando que los PLC ejecutaran comandos inesperados en la maquinaria de la línea de ensamblaje. La historia de Stuxnet posteriormente se utilizó en un documental titulado "Días cero".

Cómo protegerte contra ataques de día cero

Para protegerse de los ataques de día cero y mantener a salvo la computadora y los datos, es esencial que tanto los individuos como las organizaciones sigan prácticas recomendadas de ciberseguridad. Esto incluye:

Manten actualizados todo el software y los sistemas operativos. Esto se debe a que los proveedores incluyen en las nuevas versiones parches de seguridad para corregir vulnerabilidades recién identificadas. Permanecer actualizado garantiza que estés más seguro.

Usa solo aplicaciones esenciales. Mientra más software tengas, más vulnerabilidades potenciales tendrás. Puedes reducir el riesgo en tu red utilizando solo las aplicaciones que necesitas.

Usa un firewall. Un firewall desempeña un papel esencial en la protección de tu sistema contra amenazas de día cero. Puedes garantizar la máxima protección configurando el firewall para que solo admita las transacciones necesarias.

Educa a los usuarios dentro de las organizaciones. Muchos ataques de día cero se aprovechan de errores humanos. Enseñar a empleados y usuarios buenos habitos de seguridad ayudará a mantenerlos a salvo en línea y a proteger a las organizaciones de exploits de día cero y otras amenazas digitales.

Utiliza una solución de software antivirus completa. Kaspersky Total Security ayuda a proteger tus dispositivos bloqueando amenazas conocidas y desconocidas.

Artículos relacionados:

• ¿Qué es un troyano?
• Cómo protegerte del cibercrimen.
• ¿Qué son los rootkits?
• ¿Qué es una vulneración de seguridad?