Ningún programa es completamente invulnerable. La única pregunta es quién descubrirá antes la brecha: el inofensivo hacker o el atacante. Y hasta que haya un parche, ¿qué puede hacer el usuario medio?
Los medios de comunicación en línea informan a menudo sobre las nuevas y peligrosas denominadas vulnerabilidades de día cero o Exploit “Zero-Day”. Pero, ¿cuáles son esas vulnerabilidades? ¿Qué los hace realmente tan peligrosos? ¿Cómo podemos protegernos contra ellos? Intentemos llegar al fondo de todas estas preguntas.
¿Qué es un Ataque Zero Day o de Día Cero?
Un ataque Zero Day (o “día cero” en español) explota una vulnerabilidad que solo el atacante conoce. Por el propio nombre, está claro que los desarrolladores no tuvieron un día, es decir, no hubo oportunidad de corregir los errores y fallos del código, simplemente no se enteraron.
La vulnerabilidad pasa a ser de dominio público hasta que el fabricante del software publica un parche o una nueva versión del mismo. Es decir, hasta entonces, todos los ordenadores que ejecuten el software están en peligro.
Un ataque de día cero es un peligro del que no es realista defenderse, porque es imposible protegerse de algo que no se conoce…
Según la RAND Corporation en su informe “Zero Days, Thousands of Nights“, han analizado más de 200 vulnerabilidades 0-day a lo largo de 14 años y han descubierto que una vulnerabilidad vive una media de 2.521 días, es decir, casi 7 años.
¿Quién se Beneficia de esta Vulnerabilidad?
No todas las vulnerabilidades son conocidas inmediatamente por el público en general. Por el contrario, hay empresas que hacen negocio comprando información sobre dichas vulnerabilidades y revendiéndola.
Por cierto, los compradores no siempre son estructuras criminales (o cibercriminales). A menudo son adquiridos por diversas organizaciones gubernamentales de distintos países. Por ejemplo, para llevar a cabo ciberataques contra países no amigos o para piratear la correspondencia de delincuentes (el FBI pirateó el iPhone del tirador de San Bernardino, gastándose para ello más de un millón de dólares). Las empresas también están interesadas en estas vulnerabilidades y las utilizan para el espionaje industrial.
¿Por Qué se Llama Zero Day?
Este nombre significa que el programa ya ha sido lanzado con un conjunto de tales “agujeros”, lo que significa que los desarrolladores han tenido cero días para arreglarlo. El software funciona, la vulnerabilidad está ahí, alguien lo está utilizando y es posible que los desarrolladores no sepan nada. Hasta que el próximo analista identifique cómo se produce un ataque de día cero.
Además, el término “0-day” apareció por primera vez en el Sistema de Tablón de anuncios (Bulletin Board System o BBS). En los BBS de warez, el software se dividió en varias categorías: cero días, 1 a 7 días, 8 a 14 días, etc., mientras que cuanto menor era el número, más elitista y genial se consideraba el grupo warez y el software en sí. El número de días en esta clasificación significa cuántos días han pasado desde que el software se lanzó comercialmente hasta que se descifró y se publicó en BBS.
Los programas de “0-day” eran aquellos que aún no habian aparecido a la venta. Es decir, alguien obtuvo acceso a los servidores de los desarrolladores y copió el software comercial antes de su lanzamiento oficial.
Todo esto sucedió hace más de 25 años. De alguna manera, con el tiempo, el término “zero-day” se extendió a las vulnerabilidades y la cantidad de días que le tomó a una empresa corregir un bug.
Desarrollando la Inmunidad Digital
Los representantes del “lado bueno” de Internet están preocupados por el problema de zero-day. Y están buscando formas de contrarrestarlo. Una forma prometedora de hacerle frente es crear un sistema inmunitario digital basado en la inteligencia artificial. Google, en concreto, lo está haciendo en su sistema Chronicle, que analiza las amenazas a la seguridad en las grandes empresas.
Un sistema inventado en la Arizona State University también utiliza el aprendizaje automático. Supervisa la darknet en busca de ventas de Zero-Day Exploit. Al parecer, el sistema detecta más de 300 amenazas cada semana.
Cómo Minimizar el Riesgo de un Ataque de Día Cero
La única forma de eliminar por completo la posibilidad de un ataque de este tipo es no encender el ordenador. Pero esto no es seguro. También se cree que cuantos menos programas se instalen en un ordenador, menos probabilidades tendrá de ser atacado. Sin embargo, esto es casi paranoico.
Las recomendaciones son las siguientes:
- Asegúrate de que el software se actualiza periódicamente. Los desarrolladores publican periódicamente parches que solucionan diversas vulnerabilidades.
- Utiliza un software antivirus con un módulo que analice el comportamiento de las aplicaciones y los programas. Los proveedores de antivirus trabajan ahora para contrarrestar este tipo de ataques y una de las opciones son los analizadores de comportamiento.
- Utiliza software antivirus que pueda crear listas de programas de confianza y programas que deban ejecutarse con opciones limitadas, como un sandbox.
- Sigue las normas de higiene de Internet: no abras archivos desconocidos, no instales software de fuentes desconocidas, no hagas clic en enlaces extraños enviados por remitentes desconocidos.
- Utiliza un cortafuegos y controla las conexiones realizadas por los programas.
Esperamos haber sido capaz de explicar qué es una vulnerabilidad de día cero (zero-day attack o 0-day attack). También hemos intentado dar consejos sobre cómo minimizar el riesgo de un ataque. Cada día aparecen nuevos programas maliciosos, virus, gusanos, bots, troyanos y diferentes tipos de malware que aprovechan cada vez más vulnerabilidades. Difunde toda información de ciberseguridad que encuentres para mantenernos seguros.
