¿Qué es un exploit de día cero? ¿Y por qué son peligrosos?

Publicado: 2021-12-04

Si bien las empresas siempre han enfrentado muchas amenazas, los ataques cibernéticos son cada vez más preocupantes. Un exploit de día cero es una de las amenazas de malware más graves.

Los ataques cibernéticos pueden tener graves consecuencias para las empresas, ya que los piratas informáticos pueden robar dinero, datos o propiedad intelectual que comprometa sus operaciones. Y ninguna empresa es inmune. Impactan a comerciantes, empresas locales, cadenas nacionales e incluso gigantes globales como Google (de hecho, Google tiene al menos 22 ataques imprevistos cada año).

Pero eso no quiere decir que los ciberataques sean inevitables. Hay pasos que podemos tomar para protegernos.

En este artículo, le diremos todo lo que necesita saber sobre las vulnerabilidades de seguridad de día cero, por qué son peligrosas y cómo puede identificarlas y prevenirlas.

¡Empecemos!

¿Qué es un exploit de día cero?

Un exploit de día cero es una falla de seguridad no descubierta previamente en su software o hardware que los piratas informáticos pueden explotar para violar sus sistemas. Los exploits de día cero tienen muchos nombres diferentes, incluidos "exploits de hora cero" o "exploits de día 0".

No importa el nombre, el origen de "día cero" es el mismo. El término “día cero” enfatiza la gravedad del problema. Después de que alguien descubre una vulnerabilidad de día cero, los desarrolladores tienen cero días para corregir el error antes de que se convierta en un problema urgente.

Al aprender acerca de las vulnerabilidades de día cero, es posible que las escuche llamadas "vulnerabilidades de día cero" o "ataques de día cero". Hay una distinción esencial entre estos términos:

  • El "exploit de día cero" se refiere al método que utilizan los piratas informáticos para atacar el software.
  • La "vulnerabilidad de día cero" se refiere a la falla no descubierta en su sistema
  • El "ataque de día cero" se refiere a la acción que toman los piratas informáticos cuando usan la vulnerabilidad para violar su sistema.

El término "no descubierto" es crucial cuando se habla de vulnerabilidades de día cero, ya que la vulnerabilidad debe ser desconocida para los creadores del sistema para que se considere una "vulnerabilidad de día cero". Una vulnerabilidad de seguridad deja de ser una "vulnerabilidad de día cero" una vez que los desarrolladores conocen el problema y lanzan un parche.

Muchos grupos diferentes de personas llevan a cabo ataques de día cero, incluidos:

  • Ciberdelincuentes: piratas informáticos criminales con una motivación financiera
  • Hacktivistas: personas que buscan piratear sistemas para promover una causa o agenda política.
  • Hackers corporativos: Hackers que buscan obtener información sobre un competidor
  • Hackers con fines de lucro: personas que encuentran vulnerabilidades para vendérselas a las empresas (pero no tienen la intención de explotar la vulnerabilidad ellos mismos)

Un exploit de día cero es tan aterrador como parece: un problema tan grave que los desarrolladores tienen cero días para corregir el error antes de que se convierta en un problema urgente. Prepara tu sitio para este tipo de ataque con esta guía Click to Tweet

Cómo funciona un ataque de día cero

Si bien cada ataque es diferente, la mayoría de los ataques generalmente funcionan así:

  • Paso 1: Sus desarrolladores crean un sistema. Este sistema contiene una vulnerabilidad de día cero que los desarrolladores no conocen.
  • Paso 2: una vez que el sistema está activo, el pirata informático (a veces llamado "actor de amenazas" o "actor malicioso") descubre una vulnerabilidad en el sistema.
  • Paso 3: el pirata informático escribe y ejecuta un código malicioso para explotar la vulnerabilidad y violar su sistema.
  • Paso 4: el público o los desarrolladores notan un problema grave y los desarrolladores solucionan el problema con un parche.

A veces, el pirata informático que descubre su amenaza de día cero y el pirata informático que ataca su sistema son personas diferentes.

Algunos piratas informáticos venden información a otros piratas informáticos a través del mercado negro. El mercado negro existe en la web oscura, una sección de Internet a la que no se puede acceder con motores de búsqueda como Google, Yahoo y Bing. Las personas acceden a la web oscura a través de navegadores anónimos como Tor.

Algunas empresas de ciberseguridad también buscan exploits para vender esa información a los propietarios del sistema.

Estas empresas venden esos datos en los mercados "blanco" o "gris" (aunque las distinciones entre los mercados blanco, gris y negro varían según las leyes locales de ciberseguridad).

Cómo los hackers llevan a cabo un ataque de día cero
Cómo los piratas informáticos llevan a cabo un ataque de día cero. ( Fuente: Norton)

Ahora que sabe cómo funcionan los exploits de día cero, probablemente se esté preguntando cómo los piratas informáticos violan su sistema.

Si bien no existe un método probado y verdadero, muchos piratas informáticos usan:

Fuzzing

Fuzzing (o "prueba de fuzz") es una técnica de fuerza bruta que utilizan los piratas informáticos para encontrar agujeros en su sistema.

Cuando un pirata informático detecta un objetivo, utiliza un software que ingresa datos aleatorios en los cuadros de entrada de su sistema (cuadros de texto donde las personas ingresan información). Luego, el hacker busca bloqueos, fugas de memoria o afirmaciones fallidas que indiquen un agujero en su código.

Muchas técnicas de fuzzing se centran en enviar spam a los cuadros de entrada con respuestas aleatorias, sin sentido o no válidas. Por ejemplo, si tuviera un cuadro de texto para que alguien ingresara su edad en años, un pirata informático probaría para ver cómo responde su sistema cuando ingresa "-94" o "@45".

Ingeniería social

La ingeniería social es una técnica de manipulación que utilizan los piratas informáticos para obtener acceso a un sistema a través de sus usuarios.

Hay muchos tipos de ingeniería social, incluyendo:

  • Pretextos: cuando alguien usa pretextos, intenta ganarse su confianza creando un escenario creíble. Por ejemplo, pueden pretender ser de su departamento de TI y decir que necesitan su contraseña.
  • Cuando alguien lo ataca, intenta violar su sistema incitándolo a interactuar con material corrupto. Por ejemplo, en 2018, un pirata informático chino envió un CD misterioso a varias autoridades estatales y locales de EE. UU. El objetivo era engañarlos para que abrieran el contenido del CD por curiosidad.
  • Suplantación de identidad: cuando alguien le suplanta la identidad, se hace pasar por alguien que usted conoce para convencerlo de que le proporcione información confidencial, abra un archivo malicioso o haga clic en un enlace corrupto. Por ejemplo, si esperaba un correo electrónico de “[correo electrónico protegido]”, un hacker puede usar la dirección de correo electrónico “[correo electrónico protegido]” para phishing. Dado que el 38 % de los ataques cibernéticos a empresas estadounidenses en 2019 utilizaron phishing, muchas empresas se protegen del phishing con herramientas de prevención de fraude como FraudLabsPro o Simility.

Ejemplo de un correo electrónico de phishing
Ejemplo de un correo electrónico de phishing. ( Fuente: SecureWorld)

Una vez que un pirata informático utiliza la ingeniería social para violar un sistema, utiliza la cuenta del usuario para buscar vulnerabilidades de día cero desde el interior.

Objetivos comunes

No es necesario que sea una empresa bancaria multimillonaria para que un hacker lo ataque. Los piratas informáticos apuntarán a cualquier organización, individuo o entidad de la que puedan beneficiarse, especialmente:

  • Organizaciones con mala ciberseguridad
  • Organizaciones que manejan datos personales (especialmente direcciones, números de Seguro Social (SSN), nombres legales completos de los clientes y fechas de nacimiento de los clientes)
  • Agencias gubernamentales
  • Organizaciones que tienen información confidencial
  • Organizaciones que crean software o hardware para clientes (ya que pueden usar la tecnología para hackear clientes)
  • Organizaciones que trabajan en el campo de la defensa

Al elegir a quién piratear, muchos piratas informáticos buscan objetivos fáciles que generen una gran recompensa, ya que quieren ganar la mayor cantidad de dinero con el menor esfuerzo y riesgo.

Aunque cada hacker trabaja de manera diferente, la mayoría tiene como objetivo:

  • Sistemas operativos
  • navegadores web
  • hardware y firmware
  • Aplicaciones de software
  • Dispositivos de Internet de las cosas (IoT)

Ejemplos

Aunque es posible que no piense en los ataques cibernéticos con regularidad, ocurren con más frecuencia de lo que cree. A partir de 2020, las personas y las organizaciones han detectado más de 677 millones de piezas de malware. Este es un aumento del 2317,86 % con respecto a 2010, cuando las personas solo habían detectado más de 28 millones de piezas de malware.

Según una investigación del Ponemon Institute, casi el 48 % de las organizaciones han sufrido una filtración de datos en los últimos dos años. El 62% de estas organizaciones desconocían la vulnerabilidad antes del ataque (lo que significa que eran ataques de día cero).

Aunque la mayoría de las organizaciones no hacen públicos los detalles de sus ataques, sabemos de muchos ataques grandes de los últimos años. Éstos incluyen:

El truco de Google Chrome 2021

En abril de 2021, Google lanzó una actualización para su navegador Google Chrome en dispositivos Windows, Linux y Mac. Entre otras cosas, esta actualización corrigió una vulnerabilidad de día cero que aprovechó un hacker. Llamaron a la vulnerabilidad "CVE-2021-21224".

Aunque Google no compartió los detalles completos del ataque, CVE-2021-21224 permitió que alguien ejecutara código en un espacio aislado a través de una página HTML diseñada.

El truco de Zoom 2020

En julio de 2020, la empresa de ciberseguridad 0patch informó que una persona anónima había identificado una vulnerabilidad de día cero en Zoom. La vulnerabilidad permitió que un pirata informático ejecutara código de forma remota en Zoom una vez que obtuvo acceso al hacer que un usuario hiciera clic en un enlace o abriera malware. La vulnerabilidad solo existía en computadoras con Windows 7 o versiones anteriores de Windows.

Después de enterarse de la vulnerabilidad, 0patch llevó la información a Zoom y los desarrolladores de Zoom lanzaron un parche de seguridad para el problema en un día.

El ataque de Microsoft Word 2016/2017

En 2016, Ryan Hanson (investigador de seguridad y consultor de Optiv) identificó una vulnerabilidad de día cero en Microsoft Word. La vulnerabilidad (conocida como “CVE-2017-0199”) permitió que un atacante instalara malware en la computadora de un usuario después de que el usuario descargara un documento de Word que ejecutaba scripts maliciosos.

Según Reuters, los piratas informáticos explotaron CVE-2017-0199 para robar millones de cuentas bancarias en línea antes de que los desarrolladores de Microsoft lo parchearan en 2017. Curiosamente, Hanson no fue la única persona que descubrió CVE-2017-0199: en abril de 2017, investigadores de McAfee y FireEye informaron haber encontrado la vulnerabilidad.

El ataque Stuxnet de 2010

En 2010, Stuxnet apuntó a varias instalaciones (incluidas las instalaciones nucleares) en Irán. Stuxnet era un gusano informático que infectaba las computadoras con Windows a través de memorias USB que contenían malware.

Luego, el malware Stuxnet atacó las máquinas apuntando a sus controladores lógicos programables (PLC). Estos PLC automatizan los procesos de las máquinas, lo que significa que Stuxnet podría interferir con la maquinaria de su objetivo.

Según McAfee, Stuxnet destruyó varias plantas de tratamiento de agua, plantas de energía, líneas de gas y centrífugas en las instalaciones de enriquecimiento de uranio de Natanz en Irán. Stuxnet también generó muchos descendientes, incluido Duqu (una pieza de malware que roba datos de las computadoras a las que se dirige).

Por qué los ataques de día cero son peligrosos

El impacto financiero, operativo y legal de un ataque de día cero puede ser devastador. Según el Informe de investigaciones de violación de datos de 2021 de Verizon, el 95 % de las organizaciones atacadas por piratas informáticos perdieron:

  • Entre $ 250 y $ 984,855 en ataques de Business Email Compromise (BEC)
  • Entre $ 148 y $ 1,594,648 en incidentes de violación de datos informáticos (CDB)
  • Entre $69 y $1,155,755 en incidentes de ransomware

Sin embargo, los ataques de día cero siguen siendo devastadores incluso si no pierde dinero. Este es el por qué:

Pueden pasar desapercibidos durante días, meses o incluso años

Como los desarrolladores desconocen las vulnerabilidades de día cero, muchas organizaciones no saben cuándo un atacante ha violado sus sistemas hasta mucho después del ataque. Desafortunadamente, esto significa que los piratas informáticos pueden abusar repetidamente de su sistema antes de que pueda detenerlos.

Las vulnerabilidades pueden ser difíciles de solucionar

Una vez que su empresa se entera de que un pirata informático ha comprometido su sistema, deberá averiguar dónde está la vulnerabilidad. Como muchas organizaciones utilizan varios sistemas, podría llevar un tiempo localizar y parchear el agujero.

Los piratas informáticos pueden usarlos para robar datos financieros o información bancaria

Muchos atacantes ingresan a los sistemas para robar datos financieros o información bancaria. Algunos piratas informáticos venden estos datos a un tercero, mientras que otros utilizarán su información financiera para robarle dinero.

Los delincuentes pueden usarlos para retener a su empresa a cambio de un rescate

Si bien muchos piratas informáticos usan ataques de día cero para robar datos, otros retienen a su empresa para pedir rescate a través de ataques de denegación de servicio distribuido (DDoS) y otras técnicas de rescate. Los ataques DDoS envían spam a su sitio web con solicitudes hasta que falla.

Si desea aprender cómo detener un ataque DDoS, puede leer nuestro estudio de caso: "Cómo detener un ataque DDoS en su camino".

Los delincuentes pueden apuntar a sus clientes

Si vende software o hardware con una base de usuarios dedicada, los piratas informáticos podrían violar su sistema y usarlo para atacar a sus clientes.

Recientemente vimos un ejemplo devastador de esto cuando los delincuentes violaron el software de Kaseya y usaron su sistema para atacar a entre 800 y 1500 clientes de Kaseya con ransomware.

Cómo identificar un ataque de día cero

Como cada ataque de día cero funciona de manera diferente, no existe una forma perfecta de detectarlos. Sin embargo, hay muchas formas comunes en que las organizaciones identifican los ataques. Aquí hay seis de ellos.

1. Realice un análisis de vulnerabilidades

El escaneo de vulnerabilidades es el proceso de buscar vulnerabilidades de día cero en su sistema. Una vez que encuentra una vulnerabilidad, trabaja para parchearla antes de que los piratas informáticos puedan explotarla.

El escaneo de vulnerabilidades puede ser una actividad independiente o una parte regular de su proceso de desarrollo. Muchas organizaciones también optan por externalizar su análisis de vulnerabilidades a empresas especializadas en ciberseguridad.

2. Recopile y supervise los informes de los usuarios del sistema

Como los usuarios de su sistema interactúan con su sistema regularmente, pueden detectar problemas potenciales antes que usted. Naturalmente, debe realizar un seguimiento de sus informes de usuario en busca de informes sobre correos electrónicos sospechosos, ventanas emergentes o notificaciones sobre intentos de contraseña.

3. Mire el rendimiento de su sitio web

Según el Informe de investigaciones de violación de datos de 2021 de Verizon, más del 20 % de los ataques cibernéticos tienen como objetivo las aplicaciones web. Si bien no siempre podrá saber si los piratas informáticos han violado su aplicación web o sitio web, alguien puede haber atacado su sitio web si:

  • no puedes iniciar sesión
  • La apariencia de tu sitio web ha cambiado
  • Su sitio web redirige a los visitantes a un sitio web desconocido
  • El rendimiento de su sitio web se desploma inesperadamente
  • Su sitio web muestra advertencias del navegador, como esta:

Un mensaje de Google que indica que un sitio web puede estar comprometido
Un mensaje de Google que indica que un sitio web puede estar comprometido.

4. Utiliza la caza retro

La caza retro es el proceso de buscar informes de ataques cibernéticos significativos y verificar si su organización se vio afectada. Para aprovechar al máximo la caza retro, asegúrese de:

¿Necesita una solución de hospedaje que le brinde una ventaja competitiva? Kinsta lo tiene cubierto con una velocidad increíble, seguridad de última generación y escalado automático. Consulta nuestros planes

  • Dirija todos los correos electrónicos de sus proveedores de software a una bandeja de entrada central y revísela regularmente para ver si hay notificaciones sobre fallas de seguridad.
  • Escanee las noticias diariamente para comprobar si hay nuevos ataques contra organizaciones en su industria
  • Lea los detalles de los ataques recientes y solicite a sus desarrolladores que verifiquen si sus sistemas podrían resistir un ataque similar.

5. Esté atento a la velocidad de red reducida

Cuando un pirata informático obtiene acceso a un sistema a través de malware, el aumento en el tráfico de la red a veces ralentiza la conexión a Internet de la víctima. Por lo tanto, si vigila las velocidades de su red, podría identificar un ataque en el momento en que ocurre.

6. Realice un seguimiento del rendimiento de su software

Cuando alguien obtiene acceso a su sistema a través de una vulnerabilidad, el código que inyectan en su software podría ralentizar su programa, alterar sus funciones o desconectar funciones. Naturalmente, podría identificar un ataque de día cero observando cambios significativos o inexplicables en su sistema.

Cómo protegerse de las hazañas de día cero

Como no tiene más remedio que sentarse y ver cómo los piratas informáticos roban dinero, datos y secretos comerciales mientras espera que los desarrolladores solucionen el problema, los ataques de día cero son muy estresantes.

La mejor arma de su organización contra los ataques de día cero es una mejor preparación. Aquí hay ocho formas en que puede proteger sus sistemas de ataques de día cero.

1. Usar software de seguridad

El software de seguridad protege su sistema contra virus, intrusiones basadas en Internet y otras amenazas de seguridad.

Si bien cada software ofrece tipos de protección ligeramente diferentes, la mayoría de las soluciones de software pueden escanear descargas en busca de malware, bloquear usuarios no autorizados de su sistema y cifrar sus datos.

Algunas empresas de software de seguridad también desarrollan software especializado para sitios web. Por ejemplo, si usa WordPress (como el 40% de los sitios web), podría proteger su sitio con:

  • Software de monitoreo de integridad de archivos (FIM)
  • Complementos que buscan comentarios dudosos (como Astra Web Security y WP fail2ban)
  • Complementos que protegen su sitio contra ataques de fuerza bruta
  • Una red de entrega de contenido (CDN)

Alternativamente, puede usar un complemento de seguridad general como Sucuri o Wordfence.

2. Instale nuevas actualizaciones de software con frecuencia

A medida que los piratas informáticos encuentran vulnerabilidades en el código obsoleto, la actualización de su sitio web, aplicaciones web y software es clave para mantener sus sistemas seguros. Las nuevas actualizaciones protegen su sistema porque:

  • Contienen parches para vulnerabilidades de ciberseguridad conocidas (incluidos exploits de día cero)
  • Eliminan partes antiguas o no utilizadas de programas que los piratas informáticos podrían explotar.
  • Introducen nuevas medidas de ciberseguridad para mantener seguros a los usuarios
  • Corrigen errores menores que son vulnerables a fuzzing

3. Utilice alojamiento web seguro

Los piratas informáticos violan más de 127 000 sitios web todos los días. Y debido a que los piratas informáticos pueden violar su sitio a través de complementos, temas de sitios web o versiones obsoletas del núcleo de WordPress, los sitios web de WordPress son los principales objetivos.

Afortunadamente, puede proteger su organización utilizando un proveedor de alojamiento seguro como Kinsta. Kinsta protege su sitio con:

  • Conexiones cifradas de protocolo seguro de transferencia de archivos (SFTP) y Secure Shell (SSH)
  • Una conexión segura a Google Cloud Platform
  • Una garantía de corrección de hack
  • Una herramienta de denegación de IP que le permite bloquear las direcciones IP para que no accedan a su sitio web
  • Protección de denegación de servicio distribuida (DDoS) y un firewall de nivel empresarial a través de Cloudflare
  • Copias de seguridad automáticas cada dos semanas
  • Una garantía de seguridad

Garantía de alojamiento seguro de WordPress de Kinsta
Garantía de alojamiento seguro de WordPress de Kinsta.

4. Usa un cortafuegos

Los cortafuegos son precisamente lo que parecen: muros digitales entre su sistema y el mundo exterior. Los cortafuegos agregan una capa adicional de protección a sus sistemas, ya que los piratas informáticos deben violar el cortafuegos antes de que puedan atacar su sistema.

Hay muchos tipos de firewalls entre los que puede elegir, incluidos firewalls personales, de filtrado de paquetes, con estado, de aplicaciones web y de próxima generación (NGFW).

5. Usa la regla de acceso mínimo

La regla de acceso mínimo dice que las personas de su organización solo deben tener acceso a los datos, el hardware y el software que necesitan para realizar sus tareas laborales habituales.

La regla de acceso mínimo crea menos puntos de entrada para los piratas informáticos que utilizan la ingeniería social, lo que limita la cantidad de personas que tienen acceso administrativo a cada sistema.

6. Cambie al desarrollo de DevOps

DevOps es un enfoque que utiliza un sistema de desarrollo continuo para actualizar programas constantemente. Puede ayudarlo a reforzar su seguridad contra las vulnerabilidades de día cero, ya que lo obliga a actualizar y cambiar su sistema constantemente.

Si desea obtener más información sobre el desarrollo de DevOps, puede leer nuestro artículo "Herramientas DevOps". Pero en resumen, el desarrollo de DevOps sigue este ciclo de vida:

Un diagrama de un ciclo de vida de DevOps
Un diagrama de un ciclo de vida de DevOps. ( Fuente: Atlassian)

7. Implementar la capacitación en seguridad del usuario

La capacitación en seguridad del usuario les enseña a sus empleados a identificar técnicas de ingeniería social y amenazas de seguridad en la naturaleza.

Capacitar a sus empleados para detectar amenazas de seguridad cibernética los ayudará a identificar ataques, informar rápidamente a las personas adecuadas y actuar sin entrar en pánico ni brindar información a los piratas informáticos.

8. Usa VPN

Las redes privadas virtuales (VPN) son servidores intermediarios que protegen sus datos de navegación, dirección IP y datos de conexión mientras navega por Internet. El uso de VPN hará que sea más difícil para los piratas informáticos violar su sistema a través de su navegador web, ya que tienen menos información para usar en su contra.

Las VPN funcionan así:

Cómo funcionan las VPN
Cómo funcionan las VPN. ( Fuente: Computación de Yellowstone)

Aprenda todo lo que necesita saber sobre esta forma cada vez más común de cibervulnerabilidad: los exploits de día cero. Haz clic para twittear

Resumen

Los ataques de día cero son cada vez más comunes y una preocupación natural para las organizaciones de todo el mundo. Sin embargo, hay pasos que puede tomar para reducir su riesgo de ataque, que incluyen:

  • Capacitar a su personal para detectar y responder a los ataques
  • Usar medidas de ciberseguridad como VPN, software de seguridad y firewalls
  • Alterar su proceso de desarrollo para actualizar los sistemas regularmente
  • Controlar cuidadosamente el acceso a datos y sistemas vulnerables
  • Uso de servicios de alojamiento de sitios web seguros (como Kinsta)

Ahora que hemos compartido nuestros consejos, te toca a ti. ¿Qué medidas toma para mitigar el riesgo de un ciberataque en su organización? Por favor háznoslo saber en los comentarios más abajo.