Vulnerabilidad 'zero day': cómo protegerse de un ataque de día cero
En cada vez más ocasiones, un ciberataque comienza aprovechando una vulnerabilidad tecnológica en un sistema. En concreto, el 32% de las veces, según el informe M-Trends 2023 de Mandiant. El aumento pone de relevancia la necesidad de aumentar la protección frente a los ataques 'zero day'.
Google Chrome anuncia una nueva versión de su navegador disponible y recomienda actualizarla cuanto antes. El navegador más utilizado del mundo ha descubierto una nueva vulnerabilidad 'zero day', después de que un fallo de seguridad fuera explotado por unos ciberatacantes. No es la única compañía que sufre este tipo de ataques. En septiembre, Apple lanzó una actualización de emergencia para parchear tres vulnerabilidades "día cero" que afectaban a usuarios de iPhone, Mac, Apple Watch y iPad.
Este tipo de ataques están aumentando y el uso de estas vulnerabilidades ha llevado a un aumento del 143% en el total de víctimas de 'ransomware' entre el primer trimestre de 2022 y el primer trimestre de 2023, según una investigación del proveedor de seguridad en la nube Akamai.
¿Qué es un ataque 'zero day'?
En seguridad informática, el término día cero o 'zero day' se refiere a una vulnerabilidad de 'software' recién descubierta que aún no ha sido parcheada o corregida. Es llamado "día cero" porque los desarrolladores no han tenido oportunidad de abordar o solucionar el problema antes de que sea explotado por posibles atacantes.
Cuando se descubre una vulnerabilidad en un software, los desarrolladores trabajan para crear y distribuir un parche o actualización que corrija esa vulnerabilidad. Sin embargo, durante el intervalo entre la identificación de la vulnerabilidad y la aplicación del parche, el 'software' es vulnerable a ataques, según explica el INCIBE. Este periodo se conoce como el "día cero".
Riesgos asociados al 'zero day': impacto mundial
Los ataques de día cero son especialmente peligrosos porque los usuarios y las empresas no tienen protección contra ellos hasta que se implemente una solución. A pesar del nombre, el INCIBE, advierte que este tipo de vulnerabilidades no siempre se solucionan en un día o de inmediato: en ocasiones pueden pasar días, semanas o años hasta que se publica la corrección de una vulnerabilidad. Mientras tanto, el ciberdelincuente habrá tenido tiempo de comprometer la seguridad del sistema, instalar 'malware', robar datos o alterar aplicaciones y servicios.
Además, estas vulnerabilidades pueden tener repercusiones globales. Si un atacante descubre una vulnerabilidad que afecta a un 'software' ampliamente utilizado, como un sistema operativo popular o una aplicación ampliamente utilizada, el alcance del impacto puede ser masivo.
En el caso WannaCry de 2017, un 'exploit' conocido como EternalBlue aprovechó una vulnerabilidad en el protocolo SMB (Server Message Block) de Microsoft Windows, utilizado para compartir archivos e impresoras en redes locales. SoftwareLab detalla que el éxito del ciberataque se debió a combinar el 'exploit' con un ataque de 'ransomware' llamado WannaCry, que cifraba los archivos en los sistemas comprometidos y pedía un rescate en bitcoin para su liberación. Como resultado, cientos de miles de sistemas en más de 150 países se vieron afectados y SoftwareLab calcula pérdidas de 4.000 millones de dólares, lo que lo convierte en uno de los ciberataques más destructivos hasta la fecha.
Otro de los ejemplos más conocidos es el ataque que sufrió la plataforma de videoconferencias, Zoom, al principio de la pandemia en 2020: se descubrió una vulnerabilidad de día cero que permitía a los atacantes obtener acceso remoto a los equipos de los usuarios.
Protección frente a ataques de día cero
Cuanto más tiempo pase un ataque de día cero sin ser detectado, más tiempo estará expuesta la vulnerabilidad sin corregir. Avast advierte que las vulnerabilidades 'zero day' son a menudo difíciles de detectar. Los desarrolladores deben buscar las señales y combinar diferentes métodos de detección para obtener la mayor información posible:
- Reducir el perímetro de exposición. Consiste en reducir el software que tenemos en ejecución al mínimo imprescindible. Las vulnerabilidades que afecten a un software que hemos eliminado dejan de ser un riesgo, mientras que las vulnerabilidades que afectan a un software que no estamos utilizando pero tenemos instalado son un riesgo innecesario.
- Tecnologías de seguridad. Es recomendable utilizar soluciones como los cortafuegos o conexiones privadas VPN, entre otros, enfocados a limitar las posibilidades que tiene un posible ataque de día cero.
- Actualización de 'software' y sistemas operativos. El INCIBE remarca que las actualizaciones no son un capricho del desarrollador, sino parches de seguridad constantes que solucionan errores y cierran brechas de seguridad descubiertas de los que estar pendiente.
- Comportamiento del 'software'. Se analiza cómo los programas reaccionan frente a ataques previos para intentarn detectar comportamientos similares. En concreto, se observan patrones inusuales o maliciosos en los programas para buscar acciones o información fuera de lo común e identificar amenazas.
La evolución y el uso creciente de tecnologías, incluida la inteligencia artificial (IA), pueden significar que las vulnerabilidades de día cero serán cada vez más comunes, según Forbes Technology Council. A medida que las tecnologías se vuelven más complejas y avanzadas, también lo hacen las superficies de ataque potenciales, especialmente cuando aumenta el número de dispositivos conectados a Internet (IoT). A cambio, los sistemas de IA pueden analizar grandes cantidades de datos para identificar patrones y comportamientos anómalos y ayudar a afrontar amenazas como los ataques de día cero.