Ataque de día cero (zero day attack)

De media, se necesitan siete años para descubrir un ataque de día cero, lo que significa que los atacantes disponen de todo ese tiempo para aprovechar las brechas de seguridad de los sistemas informáticos y espiar a las empresas y organizaciones con total libertad. Las pérdidas económicas ocasionadas pueden ser inmensas.

Por todo ello, para las empresas es imprescindible prestar mucha atención a la seguridad de sus sistemas informáticos y tomar medidas para protegerse lo mejor posible contra estos ataques.

¿Qué es un ataque de día cero?

El concepto de ataque de día cero implica que a una empresa ya no le quedan días (zero day) para subsanar una brecha de seguridad antes de verse expuesta a una amenaza. Por lo general, las empresas solo detectan las vulnerabilidades del software cuando ya se han ocasionado daños. En otras palabras: se dan cuenta del punto débil cuando los atacantes ya lo han descubierto y utilizado para inyectar spyware o malware en forma de rootkits, troyanos u otros agentes maliciosos en el sistema.

Definición

En un ataque de día cero (en inglés, zero day exploit), los piratas informáticos aprovechan una brecha de seguridad del software antes de que la vulnerabilidad haya sido detectada y corregida por la empresa.

Desarrollo de un ataque de día cero:

  1. El software programado por el desarrollador incluye una brecha de seguridad en algún lugar del código por error que expone los sistemas a un ataque de día cero y permite a los ciberdelincuentes manipularlos o sustraer información.
  2. Un atacante se da cuenta de la vulnerabilidad antes que la empresa. En lugar de advertir a la empresa del problema, el pirata informático desarrolla un código (llamado exploit) para aprovechar la brecha. Quizás no lo utilice personalmente, sino que lo venda en el mercado negro, donde obtendrá varios miles de euros por él.
  3. La empresa descubre el ataque de día cero por casualidad, por el aviso de un cliente o por una notificación de daños. No será hasta ese momento que los desarrolladores podrán crear un parche de seguridad para solventar la brecha, aunque, con toda probabilidad, el mal ya estará hecho.

¿Quién es más vulnerable?

La principal puerta de entrada para este tipo de ataques la presentan, sobre todo, los programas de grandes empresas digitales como Google, Apple y Microsoft. Especialmente Microsoft es un blanco frecuente de ataques de día cero. En principio, todas las empresas que utilicen el software de estos proveedores están en peligro de sufrirlos.

Para las empresas, el riesgo de convertirse en víctima de un ataque de día cero aumenta de manera proporcional a su éxito, ya que, cuanto más crecen, más llaman la atención de los cibercriminales. No obstante, en los sectores altamente competitivos, incluso las empresas más pequeñas pueden ser víctimas de tales ataques, que a menudo se utilizan para el espionaje industrial.

Consejo

Desde 2014, Google ha estado elaborando una lista con los ataques de día cero más importantes llamada “0day – in the Wild”, que incluye empresas como Microsoft, Apple, Facebook, Adobe y Mozilla, entre otras.

¿Por qué es tan peligroso un ataque de día cero?

Los ataques cibernéticos de día cero son especialmente peligrosos, porque los piratas informáticos les llevan ventaja en el tiempo a sus víctimas. Pueden pasar meses y hasta años antes de que la empresa se dé cuenta de que está siendo espiada por el atacante.

El software antivirus no reconoce los zero day exploits, porque sus patrones de ataque son desconocidos y, por lo tanto, no están en ninguna base de datos. Cuando finalmente se descubre la brecha, las empresas potencialmente afectadas no pueden responder de inmediato, sino que deben esperar hasta que los desarrolladores de la aplicación en cuestión hayan publicado el parche de seguridad. Solo después de instalar este parche, se restablece la seguridad.

Por el otro lado, si el fabricante del software publica el parche, pero la empresa no lo instala por el motivo que sea, la brecha de seguridad permanece intacta.

Nota

Algunos piratas informáticos no solo ofrecen ataques de día cero en el mercado negro, sino también a proveedores de software que, de este modo, pueden poner a salvo sus productos.

¿Cómo pueden las empresas protegerse contra los ataques de día cero?

Protegerse contra los ataques de día cero es complicado. Sin embargo, existen varias medidas de seguridad que pueden minimizar las posibilidades de verse afectado, incluso en caso de ataque.

Si bien el software antivirus tradicional no detecta los zero day exploits debido a la firma desconocida del virus, las soluciones de seguridad basadas en el comportamiento pueden dar buenos resultados en estas situaciones. Los sistemas de detección y prevención de intrusos (IDS e IPS respectivamente) utilizan algoritmos y heurísticas para supervisar el movimiento de los datos y el acceso a la información de la empresa, emitiendo alertas o tomando medidas de protección automáticamente cuando se detectan anomalías.

El peligro por el uso indebido de los datos también se puede minimizar implementando sistemas de cifrado, autorización y controles.

En principio, como cada programa representa una puerta de entrada a un ataque de día cero, el número de aplicaciones instaladas en la empresa debe reducirse al mínimo necesario. Asimismo, siempre se debe ejecutar y utilizar la versión más actual del software, incluidas todas las actualizaciones de seguridad disponibles. Las aplicaciones que no se utilicen deben eliminarse de los dispositivos.

Aunque estas medidas no garantizan una seguridad total, sí que pueden reducir notablemente el riesgo de sufrir pérdidas económicas debido a un ataque de día cero.

¿Le ha resultado útil este artículo?
Page top