¿Qué es un ataque de día cero?
Un ataque de día cero (también conocido como Día Cero) es un ataque que explota una debilidad de seguridad de software potencialmente grave que el proveedor o desarrollador puede desconocer. El desarrollador de software debe apresurarse a resolver la debilidad tan pronto como se descubra para limitar la amenaza a los usuarios de software. La solución se llama parche de software. Los ataques de día cero también se pueden usar para atacar el Internet de las cosas (IoT).
Un ataque de día cero recibe su nombre de la cantidad de días que el desarrollador de software ha sabido sobre el problema.
Ataque de día cero explicado
Un ataque de día cero puede involucrar malware, spyware o acceso no autorizado a la información del usuario. Los usuarios pueden protegerse contra ataques de día cero configurando su software, incluidos los sistemas operativos, el software antivirus y los navegadores de Internet, para que se actualicen automáticamente e instalen rápidamente cualquier actualización recomendada fuera de las actualizaciones programadas regularmente. Dicho esto, tener un software antivirus actualizado no necesariamente protegerá a un usuario de un ataque de día cero, porque hasta que se conozca públicamente la vulnerabilidad del software, es posible que el software antivirus no tenga una forma de detectarlo. Los sistemas de prevención de intrusiones de host también ayudan a proteger contra ataques de día cero al prevenir y defenderse contra intrusiones y proteger los datos.
Piense en una vulnerabilidad de día cero como una puerta de automóvil desbloqueada que el propietario cree que está bloqueada pero que un ladrón descubre que está desbloqueada. El ladrón puede entrar sin ser detectado y robar cosas de la guantera o la cajuela del propietario del automóvil que pueden no ser notadas hasta días después, cuando el daño ya está hecho y el ladrón ya no está.
Si bien las vulnerabilidades de día cero son conocidas por ser explotadas por piratas informáticos criminales, también pueden ser explotadas por las agencias de seguridad del gobierno que desean usarlas para vigilancia o ataques. De hecho, hay tanta demanda de vulnerabilidades de día cero por parte de las agencias de seguridad del gobierno que ayudan a impulsar el mercado para comprar y vender información sobre estas vulnerabilidades y cómo explotarlas.
Los exploits de día cero pueden divulgarse públicamente, divulgarse solo al proveedor del software o venderse a un tercero. Si se venden, se pueden vender con o sin derechos exclusivos. La mejor solución a una falla de seguridad, desde la perspectiva de la compañía de software responsable de la misma, es que un hacker ético o un sombrero blanco revele la falla de manera privada a la compañía para que se pueda solucionar antes de que los piratas informáticos lo descubran. Pero en algunos casos, más de una parte debe abordar la vulnerabilidad para resolverla por completo, por lo que una divulgación privada completa puede ser imposible.
En el oscuro mercado de la información de día cero, los piratas informáticos criminales intercambian detalles sobre cómo romper el software vulnerable para robar información valiosa. En el mercado gris, los investigadores y las empresas venden información a los militares, las agencias de inteligencia y las fuerzas del orden. En el mercado blanco, las empresas pagan a los piratas informáticos o investigadores de seguridad para detectar y revelar vulnerabilidades de software a los desarrolladores para que puedan solucionar los problemas antes de que los piratas informáticos los encuentren.
Dependiendo del comprador, el vendedor y la utilidad, la información de día cero puede valer de unos miles a varios cientos de miles de dólares, lo que lo convierte en un mercado potencialmente lucrativo para participar. Antes de que se pueda completar una transacción, el vendedor debe proporcionar una prueba -of-concept (PoC) para confirmar la existencia del exploit de día cero. Para aquellos que desean intercambiar información de día cero sin ser detectados, la red Tor permite que las transacciones de día cero se realicen de forma anónima utilizando Bitcoin.
Los ataques de día cero pueden ser una amenaza menor de lo que parecen. Los gobiernos pueden tener formas más fáciles de espiar a sus ciudadanos y cero días pueden no ser la forma más efectiva de explotar empresas o individuos. Un ataque debe desplegarse estratégicamente y sin el conocimiento del objetivo para tener el máximo efecto. Desatar un ataque de día cero en millones de computadoras a la vez podría revelar la existencia de la vulnerabilidad y liberar un parche demasiado rápido para que los atacantes logren su objetivo final.
Ejemplos de ataques de día cero
En abril de 2017, Microsoft se enteró de un ataque de día cero en su software Microsoft Word. Los atacantes utilizaron un malware llamado troyano banquero Dridex para explotar una versión vulnerable y sin parches del software. El troyano permitió a los atacantes incrustar código malicioso en documentos de Word que se activan automáticamente cuando se abren los documentos. El ataque fue descubierto por el proveedor de antivirus McAfee, que notificó a Microsoft sobre su software comprometido. Aunque el ataque de día cero se descubrió en abril, millones de usuarios ya habían sido atacados desde enero.
