¿Qué es un ataque de día cero?
Un ataque de día cero (también conocido como Día Cero) es un ataque que explota una debilidad de seguridad de software potencialmente grave de la que el proveedor o desarrollador puede no estar al tanto. El desarrollador de software debe darse prisa para reparar el punto débil tan pronto como se descubra para limitar la amenaza para los usuarios del software. La solución se llama parcheo de software. Los ataques de día cero también se pueden utilizar para atacar el Internet de las cosas (IoT).
Un ataque de día cero recibe su nombre de la cantidad de días que el desarrollador de software es consciente del problema.
Puntos clave
- Un ataque de día cero es un ataque relacionado con el software que explota una debilidad que un proveedor o desarrollador desconocía.
- El nombre proviene de la cantidad de días que un desarrollador de software es consciente del problema.
- La solución para corregir un ataque de día cero se conoce como parche de software.
- Los ataques de día cero se pueden prevenir, aunque no siempre, mediante software antivirus y actualizaciones periódicas del sistema.
- Existen diferentes mercados para los ataques de día cero que van desde los legales hasta los ilegales. Incluyen el mercado blanco, el mercado gris y el mercado oscuro.
Comprender un ataque de día cero
Un ataque de día cero puede incluir malware, adware, spyware o acceso no autorizado a la información del usuario. Los usuarios pueden protegerse contra los ataques de día cero configurando su software, incluidos los sistemas operativos, el software antivirus y los navegadores de Internet, para que se actualice automáticamente e instalando de inmediato cualquier actualización recomendada fuera de las actualizaciones programadas regularmente.
Dicho esto, tener un software antivirus actualizado no necesariamente protegerá a un usuario de un ataque de día cero, porque hasta que la vulnerabilidad del software sea conocida públicamente, es posible que el software antivirus no tenga forma de detectarla. Los sistemas de prevención de intrusiones en el host también ayudan a proteger contra los ataques de día cero al prevenir y defenderse contra las intrusiones y proteger los datos.
Piense en una vulnerabilidad de día cero como la puerta de un automóvil abierta que el propietario cree que está cerrada pero un ladrón descubre que está abierta. El ladrón puede pasar desapercibido y robar cosas de la guantera o del baúl del propietario del automóvil que pueden pasar desapercibidos hasta días después, cuando el daño ya está hecho y el ladrón se ha ido hace mucho tiempo.
Si bien se sabe que las vulnerabilidades de día cero son explotadas por piratas informáticos criminales, también pueden ser explotadas por agencias de seguridad gubernamentales que deseen utilizarlas para vigilancia o ataques. De hecho, hay tanta demanda de vulnerabilidades de día cero por parte de las agencias de seguridad gubernamentales que ayudan a impulsar el mercado para comprar y vender información sobre estas vulnerabilidades y cómo explotarlas.
Los exploits de día cero pueden divulgarse públicamente, divulgarse solo al proveedor de software o venderse a terceros. Si se venden, pueden venderse con o sin derechos exclusivos. La mejor solución para una falla de seguridad, desde la perspectiva de la empresa de software responsable, es que un hacker ético o un sombrero blanco revele en privado la falla a la empresa para que pueda solucionarse antes de que los piratas informáticos criminales se enteren. Pero en algunos casos, más de una parte necesita abordar la vulnerabilidad para solucionarla por completo, por lo que la divulgación privada completa puede ser imposible.
Mercados para ataques de día cero
En el oscuro mercado de la información de día cero, los piratas informáticos intercambian detalles sobre cómo acceder al software vulnerable para robar información valiosa. En el mercado gris, los investigadores y las empresas venden información a las fuerzas armadas, las agencias de inteligencia y las fuerzas del orden. En el mercado blanco, las empresas pagan a hackers de sombrero blanco o investigadores de seguridad para que detecten y divulguen las vulnerabilidades del software a los desarrolladores para que puedan solucionar los problemas antes de que los hackers criminales puedan encontrarlos.
Según el comprador, el vendedor y la empresa de servicios públicos, la información de día cero podría valer entre unos pocos miles y varios cientos de miles de dólares, lo que lo convierte en un mercado potencialmente lucrativo en el que participar. Antes de que se pueda completar una transacción, el vendedor deberá proporcionar una prueba de concepto (PoC) para confirmar la existencia del exploit de día cero. Para aquellos que deseen intercambiar información de día cero sin ser detectados, la red Tor les permite realizar transacciones de día cero de forma anónima utilizando Bitcoin.
Los ataques de día cero a veces pueden ser menos peligrosos de lo que parecen. Los gobiernos pueden tener formas más fáciles de espiar a sus ciudadanos, y los días cero pueden no ser la forma más efectiva de explotar empresas o individuos. Un ataque debe implementarse estratégicamente y sin que el objetivo lo sepa para tener el máximo efecto. Desatar un ataque de día cero en millones de computadoras simultáneamente podría revelar la existencia de la vulnerabilidad y hacer que se publique un parche demasiado rápido para que los atacantes logren su objetivo final.
ejemplos del mundo real
En abril de 2017, se notificó a Microsoft sobre un ataque de día cero en su software Microsoft Word. Los atacantes utilizaron un malware llamado troyano bancario Dridex para explotar una versión vulnerable y sin parches del software. El troyano permitía a los atacantes incrustar código malicioso en documentos de Word que se activaba automáticamente cuando se abrían los documentos. El ataque fue descubierto por el proveedor de antivirus McAfee, quien notificó a Microsoft sobre su software comprometido. Aunque el ataque de día cero se descubrió en abril, millones de usuarios ya habían sido atacados desde enero.
En un ejemplo más reciente, el navegador web Chrome de Google fue objeto de varios vectores de ataque y exploits. Solo en 2022, Google instó a los usuarios de Chrome a actualizar sus navegadores en no menos de cuatro ocasiones distintas, citando una serie de ataques de día cero.
¿Por qué se llama ataque de día cero?
El término «día cero» (o día 0) se usa para una explotación o pirateo de software para referirse al hecho de que el desarrollador o creador del programa riesgoso acaba de darse cuenta de él, por lo que tienen literalmente cero días para solucionarlo. eso.
¿Cómo se resuelven los ataques de día cero?
Una vez que un desarrollador se da cuenta de un ataque de día cero, el exploit generalmente se identifica rápidamente y se soluciona mediante un parche o una actualización de software.
¿Cuál fue el ataque de día cero más famoso?
Si bien hay muchos ejemplos notables de ejemplos de día cero, muchos citan el hackeo de Sony Pictures de 2014, que usó una vulnerabilidad previamente no reconocida para instalar malware sin ser detectado, que luego se usó para eliminar o dañar archivos relacionados con nuevas películas, causando millones de dólares en daños y una reputación marcada por la aparente falta de seguridad de Sony. El ataque, según muchos, fue perpetrado por agentes norcoreanos en respuesta al estreno de la película «La Entrevista», que parodiaba al líder de Corea del Norte, Kim Jong Un.