Ante el aumento de los ciberataques, cada vez proliferan más los conocidos como de “día cero”, que aprovechan las vulnerabilidades de sistemas de TI y aplicaciones tecnológicas. En el último año, han conseguido explotar estas brechas como nunca antes habíamos visto. ¿Qué se está haciendo mal?

Los ataques de día cero están experimentando un auge sin precedentes. A pesar de los avances en desarrollos y seguridad, los expertos detectan un aumento de los fallos en sistemas y software de TI que ni los propios desarrolladores conocen. Pero los ciberdelincuentes sí.

Esto está llevando que los ataques de día cero, es decir, que aprovechan estas vulnerabilidades, estén aumentando considerablemente. Así los confirman dos informes publicados por la compañía de inteligencia de amenazas, Mandiant, y el equipo de búsqueda de errores de Google, Project Zero.

Si bien el alcance de ambos informes es distinto, ambos coinciden en los ataques de día cero explotados en 2021 registraron un récord. En concreto, el estudio de Mandiant registró 80 ataques de este tipo el pasado año, un notable aumento respecto a los 30 que detectaron en 2020.

Los hallazgos de Project Zero son más optimistas ya que encontró 58 ataques de día cero el pasado año frente a los 25 del anterior. Si bien siguen siendo cifras a las que hay que prestar mucha atención, los investigadores de este proyecto apuntan la importancia de contextualizar los datos. Y es que, este salto en el número de ataques de día cero puede ser consecuencia de un incremento en la detección, transparencia y conocimiento público sobre estas amenazas.

Auge de los ataques de día cero

Antes de que una vulnerabilidad de software se divulgue públicamente, se denomina de «día cero», porque hubo cero días en los que el fabricante del software podría haber desarrollado y lanzado un parche. Además de cero días para que los defensores comenzaran a monitorizar la vulnerabilidad.

Al mismo tiempo, las herramientas que utilizan los atacantes para aprovechar estas vulnerabilidades se conocen como exploits de día cero. Una vez que se conoce un error, es posible que no se publique una solución de inmediato, o incluso nunca, pero los atacantes saben que su actividad podría detectarse o que la vulnerabilidad podría solventarse en cualquier momento.

Como resultado, los días cero son muy codiciados y son un gran negocio para los ciberdelincuentes. Las vulnerabilidades y los exploits de día cero generalmente se consideran herramientas poco comunes, pero se ha demostrado que los gobiernos almacenan los días cero, y el aumento de la detección ha revelado la frecuencia con la que los atacantes los implementan.

En los últimos tres años, grandes firmas tecnológicas como Microsoft, Google y Apple han empezado a normalizar la práctica de señalar cuándo revelan y corrigen una vulnerabilidad que se explotó antes de que hubiera un parche disponible.

Si bien los esfuerzos de concienciación y detección han aumentado, estos ataques siguen creciendo paulatinamente. No obstante, hay un par de factores que podrían haber contribuido a este crecimiento. Y es que, si bien han mejorado las capacidades para detectarlos, también se ha incrementado su volumen y la variedad de grupos que explotan los días cero.

Los grupos de delitos digitales motivados financieramente,  también usan ‘zero-days’, tanto para estafas financieras tradicionales como para otros ataques como ransomware. A esto se le suma el surgimiento de los llamados «corredores de exploits«, una industria que vende información sobre los días cero que permite que cualquier persona pueda utilizar los días cero para sus propios fines.

Modus operandi para explotar los días cero

¿Cómo consiguen descubrir estos fallos de seguridad antes que los propios creadores? Uno de los métodos que utilizan es el llamado ‘fuzzing’. Este consiste en introducir grandes cantidades de datos para ver cómo responde el programa. Si se bloquea, en algunos casos ejecuta un código indebido que, si el atacante logra ejecutar, significa que habrá encontrado una vulnerabiidad.

ataque día cero ciberseguridad zero-day como protegerse noticia bit life media

Estudiar y analizar errores que se hayan producido anteriormente adaptándolos a nuevas soluciones o buscar errores en parches y software antivirus, también son otras técnicas empleadas.

Junto a esto, muchos de estos ciberdelincuentes también siguen explotando muchas vulnerabilidades que se conocen desde hace tiempo pero que aún no se han solucionado.

Desde Project Zero destacan que, si bien es difícil tener una idea completa de los días cero explotados, estudiar los que se han detectado puede ayudar a los desarrolladores de software a mejorar sus productos.

De esta forma, cuando las empresas parchean una vulnerabilidad o escriben código nuevo, podrían estar haciendo un mejor trabajo buscando vulnerabilidades conocidas y cortando las rutas de ataque clásicas. Esto permite que haya menos errores fáciles de encontrar y explotar por parte de los atacantes.

Mientras la industria de la ciberseguridad se esfuerza por descubrir cómo hacer que esto suceda, los ciberdelincuentes siguen al acecho, analizado brechas que explotar. Avanzar en esta línea será clave para mejorar la seguridad de los sistemas y soluciones y no dejar resquicios que puedan aprovechar los atacantes.

Cómo protegerse de los ataques de ‘zero-day’

Ante la proliferación de estas amenazas, es fundamental tomar medidas que contribuyan a eliminar las posibles brechas que pueden explotar los atacantes y minimizar su impacto en su caso.

  • Mantener siempre actualizado el software. De esta manera, habrá más posibilidades de que, en el caso de que existieran posibles brechas, han sido corregidas para evitar que sean explotadas por ciberdelincuentes.
  • Usar un navegador privado y seguro, asegurándose de que los ajustes de seguridad son los acordes.
  • Utilizar un software antivirus fiable y avanzado que detecte y bloquee cualquier amenaza.
  • Reducir la superficie de ataque, cuanto menos software vulnerable, menos posibilidades de sufrir un ataque de día cero. En esta línea, cabe recordar la importancia de desinstalar los complementos del navegador que no se utilizan y tener software innecesario.
  • El uso de Inteligencia Artificial (IA) para predecir e identificar ataques de día cero en tiempo real también puede ser de gran utilidad. Las herramientas de IA pueden identificar cualquier anomalía que se produce en la red, con lo que cualquier amenaza se detecta en tiempo real.
  • En relación con el punto anterior, es importante también el uso de múltiples capas de seguridad. Emplear firewalls o sistemas de detección de intrusos basados en IA que filtren el tráfico para desechar tráfico malicioso o poner en cuarentena archivos sospechosos también es de gran utilidad.
  • Proteger las puertas de enlace de correo electrónico, servidores y redes también es crítico ya que las amenazas pueden entrar en cualquier punto de la organización.
  • Contar con plan de recuperación ante desastres. Esto será clave para minimizar el impacto en caso de ocurrir un ataque contando con una copia de seguridad de los datos para salvaguardarlos.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre