¿Qué es un ataque de día cero?
Los ataques de día cero, también llamados exploits de día cero, son ataques de ciberdelincuentes que cumplen el objetivo de encontrar y aprovechar vulnerabilidades previamente desconocidas en el software. Por desgracia, todo software tiene puntos débiles que los hackers pueden usar como puertas traseras para insertar malware o llevar a cabo vulneraciones de datos. Los ataques que aprovechan vulnerabilidades desconocidas por los ingenieros de software se llaman ataques de día cero porque los desarrolladores tienen cero días para solucionar el problema antes de que se produzca el ataque.
Aunque la definición de ataque de día cero puede ser siniestra, este tipo de ataques no es muy distinto técnicamente de otros ataques habituales de malware. Aun así, los exploits de día cero son especialmente difíciles de detectar y de defender porque la vulnerabilidad atacada es desconocida en el momento del ataque para los ingenieros que escribieron el código. Por ese motivo, los hackers buscan y aprovechan oportunidades de día cero.
¿Qué es una vulnerabilidad de software?
Las vulnerabilidades de software son defectos en el diseño de un programa, software o sistema operativo específico que ofrecen a los ciberdelincuentes una oportunidad de hackear un dispositivo o una red. En cuanto se detecta una vulnerabilidad, los desarrolladores se apresuran a resolverla con una actualización de software conocida como parche, que cierra la puerta a las posibilidades de ataque. Idealmente, los desarrolladores pueden aplicar parches antes de que los hackers descubran y aprovechen la debilidad.
No todos los defectos de software pueden aprovecharse, pero, una vez que un hacker ha detectado uno que los desarrolladores del software desconocen, la vulnerabilidad se convierte en una amenaza de día cero.
Hay una batalla constante entre los desarrolladores que intentan minimizar las vulnerabilidades y los ciberdelincuentes que intentan aprovechar nuevos defectos y vulnerabilidades. Si bien las vulnerabilidades de software no pueden evitarse por completo, un buen software antivirus puede detectar y repeler estas amenazas en tiempo real. Ofrece una protección robusta frente a cualquier posible exploit, incluso uno de día cero que intente infestar su sistema con malware.
¿Cómo identifican los hackers las vulnerabilidades?
En cuanto se lanza una nueva actualización de un programa o software, tenga por seguro que los hackers trabajarán día y noche para encontrar debilidades en su seguridad o diseño que pueda ser una vulnerabilidad ante exploits. Con cada hora que pasa, la posibilidad de encontrar un defecto que no haya sido descubierto disminuye, junto con el tiempo disponible para que los hackers lleven a cabo un ataque antes de que los desarrolladores lancen un parche para darles un portazo.
Los ciberdelincuentes buscan defectos en el código informático mediante herramientas de software, como los analizadores estáticos automatizados, que pueden determinar si, cómo y por qué un fragmento de código se comporta de un modo no intencionado. No todos los defectos de software pueden aprovecharse, pero, una vez que un hacker ha detectado uno que los desarrolladores del software desconocen, la vulnerabilidad se convierte en una amenaza de día cero.
No todas las vulnerabilidades de software pueden aprovecharse. Algunas son muy fáciles de hackear, como la ventana central, mientras otras pueden ser demasiado difíciles, como la ventana de la derecha.
Los hackers se centran en encontrar vulnerabilidades aprovechables en programas, navegadores web y sistemas operativos populares para atacar el mayor número de usuarios posible antes de que el problema subyacente se corrija y se solucione. Una técnica habitual para aprovechar una vulnerabilidad en un navegador web, por ejemplo, es usar métodos de phishing por correo electrónico para atraer a los destinatarios a páginas web maliciosas inadvertidamente. Los hackers también usan técnicas de phishing para engañar a la gente para que se descarguen documentos con contenido malicioso que incluyan vulnerabilidades de día cero.
¿Cómo se detectan los ataques de día cero?
La única manera segura de detectar un exploit de día cero y defenderse ante él es que los propios desarrolladores descubran y arreglen la vulnerabilidad de software antes de que los hackers tengan la oportunidad de aprovecharla. Por definición, cuando se aprovecha una vulnerabilidad previamente desconocida y se desarrolla un ataque de día cero, ya es demasiado tarde. Por este motivo, los desarrolladores dedican mucho tiempo y muchos recursos a encontrar y subsanar vulnerabilidades inmediatamente para cortar de raíz los ataques de día cero.
Una vez que se aprovecha una vulnerabilidad previamente desconocida y se desarrolla un ataque de día cero, ya es demasiado tarde.
Incluso después de que los ataques de día cero hayan cumplido su objetivo (generalmente inyectar algún tipo de malware), a menudo siguen pasando inadvertidos hasta que los síntomas de la infección se hacen evidentes. Esto es especialmente cierto con los dispositivos y las redes que dependen de software antivirus de firmas pasivo, que solo pueden detectar y eliminar amenazas conocidas.
Se requiere el más sofisticado software antivirus heurístico, como el que usa AVG AntiVirus FREE, para identificar y repeler el malware de día cero más reciente y peligroso examinando archivos en busca de características o patrones sospechosos.
Una vez que se ha detectado un ataque de día cero, empieza una carrera contrarreloj para que los equipos de seguridad y los desarrolladores minimicen los daños. Los equipos de ciberseguridad se apresuran para asegurarse que saben cómo eliminar el malware y actualizar el software para que incluya la nueva firma. Análogamente, los desarrolladores de software se dan prisa en lanzar un parche para el código y evitar más ataques. Cuanto antes se lleven a cabo estas operaciones, mayor será la posibilidad de que el impacto general del ataque pueda gestionarse, porque menos gente queda expuesta.
¿Por qué los ataques de día cero son tan peligrosos?
Los ataques de día cero son vulneraciones de seguridad especialmente peligrosas precisamente porque su número es desconocido. Como respuesta a un ataque, un desarrollador de software puede crear un parche, pero esto no ayuda a los que ya se han visto afectados. Y, dado que los ataques de día cero generalmente afectan al software poco tiempo después de su lanzamiento, puede pasar bastante tiempo hasta que se publica un nuevo parche para solucionar la vulnerabilidad, y mientras tanto los usuarios finales están expuestos peligrosamente.
Para empeorar la situación, muchos sistemas antivirus tradicionales usan herramientas de detección de amenazas que dependen de la coincidencia de firmas en ciberataques conocidos. Ya que los ataques de día cero usan vulnerabilidades desconocidas (y posiblemente malware no detectado previamente), no solo pueden permanecer inadvertidos durante mucho tiempo, sino que también es más difícil defenderse ante ellos.
Este es otro motivo por el que es tan importante mantener actualizado el software antivirus. El tipo de análisis heurístico avanzado que utilizan los mejores programas antivirus puede identificar y repeler amenazas previamente desconocidas en cuanto aparezcan, de modo que es una defensa potente frente a ataques de día cero.
Con una detección de amenazas vanguardista y actualizada constantemente, AVG AntiVirus FREE ofrece seguridad avanzada en toda la gama de posibles vectores de ataque de día cero.
¿Son habituales los ataques de día cero?
No sorprende que, debido a las dificultades de detectar y repeler los ataques de día cero, se hayan convertido en uno de los métodos más usados por los hackers. De hecho, algunas de las infracciones de ciberseguridad global más serias han sido ataques de día cero, y en investigaciones recientes se calcula que alrededor de un 30 % de todos los ataques de malware están dirigidos a vulnerabilidades de día cero.
Dado que únicamente se detecta una pequeña minoría de las vulnerabilidades aprovechables, estos ciberdelitos podrían aumentar considerablemente. Los ataques de día cero más recientes indican que este tipo de amenaza está lejos de desaparecer en un futuro cercano.
Los ataques de día cero más famosos
Seguramente, el ataque de día cero más famoso fue el dirigido a Sony Pictures en 2014. La vulnerabilidad exacta que aprovecharon los hackers para penetrar la seguridad de la empresa sigue envuelta en misterio. Aun así, el grupo de hackers obtuvo un acceso casi total a la red de Sony y estuvieron meses sin ser detectados. Finalmente, filtraron un cúmulo de datos confidenciales, incluidos datos personales de los empleados, mensajes internos de correo electrónico, datos financieros y guiones de películas que aún no se habían estrenado.
Como guinda, el grupo usó malware para borrar los discos duros de la empresa y dañar su infraestructura de red. El hackeo de Sony es un ejemplo muy significativo de las posibilidades y los peligros de un ataque de día cero. Incluso cuando se dirigen a redes supuestamente seguras, las vulnerabilidades de día cero podrían no detectarse hasta mucho tiempo después de haberse lanzado el ataque.
La mayoría de los ataques de día cero atraen mucha menos atención, pero pueden ser tan devastadores como cualquier otro ataque. La reciente vulnerabilidad CVE-2019-0797 que puso en peligro el ubicuo sistema operativo Windows de Microsoft en 2019 es un caso típico del juego del gato y el ratón en el que participan constantemente los ciberdelincuentes y los desarrolladores.
Los profesionales en ciberseguridad detectaron rápidamente la vulnerabilidad de Microsoft, aunque para entonces los hackers habían logrado un control total de ordenadores personales en todo el mundo. En cuestión de semanas, Microsoft lanzó un parche, pero la vulnerabilidad seguía siendo un peligro evidente para los usuarios que no actualizaran su software a tiempo.
Mientras tanto, en cuanto se lanzó el parche los hackers se pusieron a trabajar para encontrar agujeros en el nuevo software, lo cual dio como resultado otro ataque de día cero en Windows tan solo unos meses después.
Cómo protegerse frente a ataques de día cero
A pesar del peligro evidente de los ataques de día cero, afortunadamente hay varias medidas que puede adoptar para minimizar la amenaza.
La defensa más simple y sencilla frente a los ataques de día cero es tener todos sus programas, sistemas operativos y controladores totalmente actualizados. Los parches de día cero son el medio más eficaz de neutralizar amenazas provocadas por vulnerabilidades, pero solo son eficaces si de verdad usa la versión más actual del software. Con cada minuto que transcurra antes de actualizarlo, corre un peligro innecesario por vulnerabilidades que los desarrolladores ya han detectado y subsanado.
No obstante, por muy a menudo que actualice su software para protegerse frente a amenazas conocidas, siempre habrá nuevas amenazas desconocidas. Es totalmente imposible evitar que sucedan los ataques de día cero. Alternativamente, cuando se produzca un ciberataque, debería centrarse en estar todo lo protegido posible. Por ese motivo es tan importante usar una herramienta de ciberseguridad: le da las mayores posibilidades de detectar y eliminar una amenaza antes de que se ponga en peligro su seguridad.
AVG AntiVirus FREE no solo se actualiza automáticamente en cuanto se detectan nuevas amenazas, sino que también usa métodos vanguardistas de detección heurística para bloquear y eliminar incluso virus desconocidos. Con AVG AntiVirus FREE navegará cómodamente y con confianza sabiendo que sus dispositivos siempre están totalmente protegidos incluso ante nuevas amenazas.