Ataque de día cero
¿Qué es un ataque de día cero?
Un ataque de día cero (también conocido como día cero) es un ataque que explota una debilidad de seguridad de software potencialmente grave que el proveedor o desarrollador puede desconocer. El desarrollador de software debe apresurarse a resolver la debilidad tan pronto como se descubre para limitar la amenaza a los usuarios de software. La solución se llama parche de software. Los ataques de día cero también se pueden utilizar para atacar el Internet de las cosas (IoT).
Un ataque de día cero recibe su nombre de la cantidad de días que el desarrollador de software ha sabido sobre el problema.
Conclusiones clave
- Un ataque de día cero es un ataque relacionado con el software que explota una debilidad que un proveedor o desarrollador desconocía.
- El nombre proviene de la cantidad de días que un desarrollador de software ha sabido sobre el problema.
- La solución para arreglar un ataque de día cero se conoce como parche de software.
- Los ataques de día cero se pueden prevenir, aunque no siempre, mediante el software antivirus y las actualizaciones periódicas del sistema.
- Existen diferentes mercados para los ataques de día cero que van desde legales hasta ilegales. Incluyen el mercado blanco, el mercado gris y el mercado oscuro.
Comprensión de un ataque de día cero
Un ataque de día cero puede involucrar malware, adware, spyware o acceso no autorizado a la información del usuario. Los usuarios pueden protegerse contra los ataques de día cero configurando su software, incluidos los sistemas operativos, el software antivirus y los navegadores de Internet, para que se actualice automáticamente e instalando de inmediato las actualizaciones recomendadas fuera de las actualizaciones programadas regularmente.
Dicho esto, tener un software antivirus actualizado no necesariamente protegerá a un usuario de un ataque de día cero, porque hasta que la vulnerabilidad del software se conozca públicamente, es posible que el software antivirus no tenga una forma de detectarla. Los sistemas de prevención de intrusiones del host también ayudan a proteger contra los ataques de día cero al prevenir y defenderse de las intrusiones y proteger los datos.
Piense en una vulnerabilidad de día cero como una puerta de automóvil sin llave que el propietario cree que está cerrada, pero un ladrón descubre que está abierta. El ladrón puede entrar sin ser detectado y robar cosas de la guantera o el maletero del propietario del automóvil que tal vez no se noten hasta días después, cuando el daño ya está hecho y el ladrón ya no está.
Si bien las vulnerabilidades de día cero son conocidas por ser explotadas por piratas informáticos criminales, también pueden ser explotadas por agencias de seguridad gubernamentales que quieran usarlas para vigilancia o ataques. De hecho, existe tanta demanda de vulnerabilidades de día cero por parte de las agencias de seguridad gubernamentales que ayudan a impulsar el mercado para comprar y vender información sobre estas vulnerabilidades y cómo explotarlas.
Los exploits de día cero pueden divulgarse públicamente, divulgarse solo al proveedor de software o venderse a un tercero. Si se venden, se pueden vender con o sin derechos exclusivos. La mejor solución para una falla de seguridad, desde la perspectiva de la compañía de software responsable, es que un pirata informático ético o de sombrero blanco revele en forma privada la falla a la empresa para que pueda ser reparada antes de que los piratas informáticos criminales la descubran. Pero en algunos casos, más de una de las partes debe abordar la vulnerabilidad para resolverla por completo, por lo que una divulgación privada completa puede ser imposible.
Mercados para ataques de día cero
En el mercado oscuro de la información de día cero, los piratas informáticos intercambian detalles sobre cómo atravesar software vulnerable para robar información valiosa. En el mercado gris, los investigadores y las empresas venden información a las fuerzas armadas, las agencias de inteligencia y las fuerzas del orden. En el mercado blanco, las empresas pagan a los piratas informáticos de sombrero blanco o investigadores de seguridad para que detecten y revelen vulnerabilidades de software a los desarrolladores para que puedan solucionar los problemas antes de que los piratas informáticos criminales puedan encontrarlos.
Dependiendo del comprador, el vendedor y la utilidad, la información de día cero puede valer entre varios miles y varios cientos de miles de dólares, por lo que es un mercado potencialmente lucrativo en el que participar. Antes de que se pueda completar una transacción, el vendedor debe proporcionar prueba de concepto (PoC) para confirmar la existencia del exploit de día cero. Para aquellos que desean intercambiar información de día cero sin ser detectados, la red Tor permite que las transacciones de día cero se realicen de forma anónima utilizando Bitcoin.
Los ataques de día cero pueden ser una amenaza menor de lo que parecen. Los gobiernos pueden tener formas más fáciles de espiar a sus ciudadanos y los días cero pueden no ser la forma más eficaz de explotar empresas o individuos. Un ataque debe desplegarse estratégicamente y sin el conocimiento del objetivo para tener el máximo efecto. Desencadenar un ataque de día cero en millones de computadoras a la vez podría revelar la existencia de la vulnerabilidad y hacer que un parche se publique demasiado rápido para que los atacantes logren su objetivo final.
Ejemplo del mundo real
En abril de 2017, troyano bancario Dridex para explotar una versión vulnerable y sin parches del software. El troyano permitió a los atacantes incrustar código malicioso en documentos de Word que se activaba automáticamente cuando se abrían los documentos. El ataque fue descubierto por el proveedor de antivirus McAfee, que notificó a Microsoft sobre su software comprometido. Aunque el ataque de día cero se descubrió en abril, millones de usuarios ya habían sido atacados desde enero.