Cuando un fabricante lanza al mercado una solución se espera que con el tiempo evolucione para adaptarse a las necesidades que surgen del uso de la misma, es decir, las actualizaciones mejoran su rendimiento y la eficacia ¿Pero qué pasa cuando el fabricante, sin saberlo, deja un espacio en blanco dentro de la solución y un delincuente aprovecha la oportunidad para rellenarlo con una falla?, es lo que se conoce como un zero day exploit.
Diligencias pendientes de un ciberdelincuente: buscar una vulnerabilidad del día cero
Una vulnerabilidad del día cero es una brecha de seguridad en una pieza de software, el proveedor no está consciente de la vulnerabilidad, por lo que tampoco es conocida entre el público.
Esta amenaza de seguridad es grave porque que tiene una alta tasa de éxito, debido a que las empresas no cuentan con defensas para detectarlas o prevenirlas. El atacante lanza el malware antes de que el desarrollador o proveedor haya tenido la oportunidad de crear un parche para corregir la vulnerabilidad.
Se denomina vulnerabilidad del día cero porque ocurre antes de que los fabricantes se den cuenta de que el error existe.
Un dato curioso es que el término “día cero” tiene origen en el mundo de los productos pirateados. Una versión pirateada de una película, música o software se denomina “día cero” cuando está disponible al mismo tiempo o antes del lanzamiento oficial. Es decir, la versión pirateada se lanza cero días después de la versión oficial.
¿Cómo funciona una vulnerabilidad del día cero?
Lo único que un ciberdelincuente necesita para encontrar un zero exploit day es que se libere un software con un código vulnerable indetectable para el desarrollador, lo que ocasionara que atacante cometa un robo de identidad o información.
Desde la introducción de la vulnerabilidad hasta la creación del parche de seguridad el atacante sigue unos pasos que han sido divididos en una línea de tiempo por expertos en ciberseguridad:
- Etapa 1, la vulnerabilidad es introducida
Un desarrollador crea un software que, sin darse cuenta, contiene código vulnerable.
- Etapa 2, apertura de la exploit
un actor malintencionado descubre la vulnerabilidad antes de que el desarrollador se dé cuenta de que existe o antes de que haya podido repararla o parchearla. Luego, el pirata informático escribe e implementa un código de explotación mientras la vulnerabilidad aún está abierta.
- Etapa 3, vulnerabilidad descubierta
El proveedor se da cuenta de la vulnerabilidad, pero no tiene un parche disponible.
- Etapa 4, vulnerabilidad revelada
El proveedor o los investigadores de seguridad anuncian públicamente la vulnerabilidad, lo que advierte a los usuarios y atacantes de su existencia.
- Etapa 5, firmas antivirus publicadas
Si los atacantes han creado malware de día cero dirigido a la vulnerabilidad, los proveedores de antivirus pueden identificar rápidamente su firma y brindar protección contra ella. Sin embargo, los sistemas pueden permanecer expuestos si existen otras formas de aprovechar la vulnerabilidad.
- Etapa 6, lanzamiento del parche de seguridad
El proveedor publica un arreglo público para cerrar la vulnerabilidad. El tiempo que demore en llegar depende de la complejidad y la prioridad que tenga en su proceso de desarrollo.
- Etapa 7, implementación del parche de seguridad completada
La publicación de un parche de seguridad no proporciona una solución instantánea, ya que los usuarios pueden tardar en implementarlo.
Por esta razón, las organizaciones y los usuarios individuales deben activar las actualizaciones automáticas de software y tomar nota de las notificaciones de actualización.
Los sistemas son vulnerables a los ataques durante todo el proceso, desde las etapas 1 a la 7, pero un ataque de día cero solo puede ocurrir entre las etapas 2 y 4. Pueden ocurrir más ataques si la vulnerabilidad permanece desprotegida. Los ataques de día cero rara vez se descubren con la suficiente rapidez como para evitar daños sustanciales. Por lo general, pueden pasar días, meses e incluso años antes de que un desarrollador se dé cuenta de que la vulnerabilidad existía y provocó un ataque y una filtración de datos.
Un ataque del día cero puede ocurrirle a cualquier empresa y en cualquier momento
Hace pocos días se conoció la noticia acerca del ataque a Microsoft Exchange mediante un zero day exploit, aquí puedes leer la noticia.
Existen casos de compañías mundialmente conocidas que han sido vulneradas de la misma manera, algunos son:
Sony Pictures: potencialmente el ataque de día cero más famoso, derribó la red de Sony y llevó a la publicación de sus datos confidenciales en sitios de intercambio de archivos. El ataque, a fines de 2014, ocasionó la filtración de información sobre las próximas películas, los planes comerciales de la empresa y las direcciones de correo electrónico personales de los altos ejecutivos.
RSA: Otro ataque de día cero altamente público vio a los piratas informáticos usar una vulnerabilidad sin parchear en Adobe Flash Player para obtener acceso a la red de la empresa de seguridad RSA en 2011.
Los atacantes enviaron correos electrónicos adjuntos con hojas de cálculo de Excel, que contenían un archivo Flash incrustado que explotaba la vulnerabilidad de día cero, para los empleados de RSA. Cuando los empleados abrían la hoja de cálculo, le daban al atacante el control remoto de la computadora del usuario, el cual usaban para buscar y robar datos. Esa información resultó estar relacionada con sus productos de autenticación de dos factores «SecurID» que los empleados utilizaban para acceder a datos y dispositivos confidenciales.
Cómo protegerse contra los ataques de día cero
Si bien un ataque de día cero, por su propia definición, es imposible de parchear, existen métodos que permiten a las organizaciones defenderse de ellos.
Las organizaciones en peligro por dichos exploits pueden emplear diversos medios de detección, que incluyen el uso de redes de área local (LAN) virtuales para proteger los datos que se transmiten, y el uso de un firewall y un sistema de Wi-Fi seguro para protegerse contra los ataques de malware. Asimismo, las personas pueden reducir el riesgo manteniendo actualizados sus sistemas operativos y el software o utilizando sitios web con SSL (Security Socket Layer) que protege la información que se envía entre el usuario y el sitio.
Fuente: