¿Qué es un exploit de día cero?

Un exploit de día cero se refiere a los ataques cibernéticos dirigidos a una vulnerabilidad de software desconocida para el proveedor de software o el software antivirus asignado para proteger el sistema. Los atacantes pueden identificar tales vulnerabilidades de día cero, diseñar un exploit y usarlo para lanzar un ataque. Es muy probable que los ataques de día cero penetren en la red objetivo, ya que no hay defensas contra la nueva amenaza (porque han pasado "cero días" desde que las partes de seguridad detectaron la vulnerabilidad).

Por lo general, los ataques de día cero se basan en navegadores web y archivos adjuntos de correo electrónico para explotar vulnerabilidades en la aplicación específica que abre el archivo adjunto o en tipos de archivos específicos: Word, PDF, Excel, Flash, etc. Una vez que el malware de día cero ingresa al sistema, puede propagarse rápidamente por todas las áreas objetivo.

Las vulnerabilidades de día cero se presentan de muchas formas. Los atacantes pueden aprovechar algoritmos rotos, seguridad de contraseña deficiente, un firewall de aplicación web defectuoso, falta de autorizaciones, componentes de código abierto sin protección y más, para iniciar un ataque de inyección SQL. Si el ataque tiene éxito, puede comprometer más software en la red objetivo, robar información confidencial, retener datos a cambio de grandes sumas, intentar el robo de identidad, corromper el sistema operativo de la empresa y más.

Las vulnerabilidades de día cero son valiosas para varias partes. Es por eso que existe un mercado donde las organizaciones contratan investigadores para descubrir vulnerabilidades. Además de este "mercado blanco", hay mercados negros y grises, donde las personas maliciosas pueden intercambiar detalles de vulnerabilidad de día cero sin divulgación pública.

Los objetivos típicos de los exploits de día cero son las grandes organizaciones, las agencias gubernamentales, las personas con acceso a archivos críticos (como la propiedad intelectual), los dispositivos de hardware, el Internet de las cosas (IoT, por sus siglas en inglés), el firmware, los usuarios domésticos que utilizan un sistema vulnerable (si están infectados, pueden convertirse en engranajes de una botnet) y más. A veces, las agencias gubernamentales utilizan exploits de día cero para atacar a países, organizaciones o individuos que amenazan la seguridad nacional.

Por lo general, cuando un individuo (o un equipo de seguridad) detecta software con posibles vulnerabilidades de seguridad, alertará a los proveedores de software para que se pueda emitir un parche para solucionar la vulnerabilidad.

Con el tiempo suficiente, los desarrolladores de software pueden solucionar el problema y distribuir parches (o actualizaciones de software) para que todos los usuarios de software puedan aplicarlos lo antes posible. Si los actores malintencionados se enteran de la vulnerabilidad, diseñar un exploit y lanzar un ataque puede llevar algún tiempo. Mientras tanto, con suerte, el parche ya estará disponible e implementado.

Los hackers pueden ser los primeros en descubrir un eslabón débil en un programa de software. Dado que los proveedores y los equipos de seguridad aún no conocen la vulnerabilidad, prácticamente tienen cero días para construir una defensa contra un ataque dirigido. Las empresas vulnerables a tales exploits pueden iniciar procedimientos de detección temprana para salvaguardar sus redes.

Los investigadores de seguridad dedicados a menudo intentan cooperar con los proveedores de software y, por lo general, aceptan retener los detalles de la vulnerabilidad de día cero durante un período prolongado antes de publicarlos.

Una vez que una vulnerabilidad de día cero se hace pública, se denomina vulnerabilidad de "n días" o de "un día".

A continuación, se presentan varios ejemplos de ataques de día cero en los últimos años.

·        Stuxnet

Un gusano informático malicioso atacó las vulnerabilidades de día cero en los sistemas de supervisión y adquisición de datos (SCADA) infiltrándose primero en los sistemas operativos Windows. Stuxnet explotó cuatro vulnerabilidades de día cero de Windows para propagarse a través de unidades USB dañadas. De esta manera, el gusano infectó tanto los sistemas Windows como SCADA sin lanzar un ataque de red.

Stuxnet afectó los ordenadores utilizados para gestionar la fabricación en Irán, India e Indonesia. Se supone que el objetivo principal eran las plantas de enriquecimiento de uranio en Irán. Un golpe a esas tenía la intención de interrumpir el programa nuclear del país. Una vez infectados, los controladores lógicos programables (PLC, por sus siglas en inglés) en los ordenadores objetivo llevaron a cabo comandos inesperados en la maquinaria de la línea de montaje, causando un mal funcionamiento en las centrífugas utilizadas para producir material nuclear.

·        Ataque de día cero de Sony

Sony Pictures fue víctima de un exploit de día cero a finales de 2014. El exploit afectó a la red de Sony, lo que llevó a una violación de datos corporativos en los sitios web de intercambio de archivos.

La información filtrada incluía detalles de las próximas películas, estrategias comerciales y direcciones de correo electrónico personales de altos ejecutivos de Sony.

·        Ataques de día cero a Adobe Flash Player

En 2016, un ataque de día cero explotó una vulnerabilidad no descubierta previamente (CVE-2016-4117) en Adobe Flash Player. Además, en 2016, más de 100 organizaciones también se vieron afectadas por un exploit de día cero (CVE-2016-0167) que permitió una escalada de ataques de privilegios dirigidos a Microsoft Windows.

En 2011, los actores malintencionados utilizaron una vulnerabilidad sin parches en Adobe Flash Player para obtener acceso a la red de la empresa de seguridad RSA. Los actores de amenazas enviaron archivos adjuntos de correo electrónico en hojas de cálculo de Excel a varios empleados de RSA. Los documentos de Excel contenían un archivo Flash incrustado para explotar la vulnerabilidad de día cero.

Al abrir uno de los archivos adjuntos dañados, un empleado, sin saberlo, habilitó la instalación de la herramienta de administración remota Poison Ivy que tomó el control del ordenador infectado. Una vez que se infiltraron en la red de RSA, los piratas informáticos buscaron, copiaron y transmitieron información confidencial a servidores externos bajo su control.

Más tarde, RSA admitió que entre los datos robados se encontraba información confidencial sobre las herramientas de autenticación de dos factores SecurID de la empresa utilizadas a nivel mundial para proteger cargas de trabajo y dispositivos críticos.

·        Ataques de día cero a Microsoft Office

En 2017, una vulnerabilidad de día cero reveló que los documentos de Microsoft Office en "formato de texto enriquecido" pueden permitir la ejecución de un script básico visual que lleva comandos de PowerShell al abrirlos (CVE-2017-0199).

Otro exploit de día cero de 2017 (CVE-2017-0261) llevaba PostScript encapsulado para presentar una plataforma para iniciar infecciones de malware.

·        Operación Aurora

En 2009, un exploit de día cero se dirigió a varias empresas importantes (Google, Yahoo, Adobe Systems y Dow Chemical) para encontrar y robar propiedad intelectual (PI). La vulnerabilidad de día cero existía en Internet Explorer y Perforce (Google utilizó este último para gestionar su código fuente).

Un ataque de día cero es difícil de detectar. El software antivirus, los sistemas de detección de intrusiones (IDS, por sus siglas en inglés) y los sistemas de prevención de intrusiones (IPS, por sus siglas en inglés) no pueden identificar la firma de la amenaza, ya que aún no existe.

La forma óptima de detectar amenazas de día cero es a través del análisis del comportamiento del usuario. La mayoría de las entidades autorizadas para interactuar con su red generalmente exhiben patrones específicos de uso y comportamiento, lo que se considera un comportamiento "normal". Las acciones de red fuera del alcance normal podrían indicar una amenaza de día cero.

Las empresas atacadas por un exploit de día cero a menudo detectarán tráfico inesperado o intentos de escaneo sospechosos de un servicio o un cliente. Además del análisis de comportamiento, las organizaciones también pueden detectar una amenaza de día cero a través de lo siguiente:

·        Base de datos de malware existente y estadísticas de comportamiento de malware como referencia. Sin embargo, incluso si esas bases de datos se actualizan en tiempo real, los exploits de día cero aprovechan las vulnerabilidades recién descubiertas por los atacantes. Por lo tanto, por definición, una base de datos existente es limitada cuando se trata de detectar amenazas desconocidas.

·        El aprendizaje automático se utiliza cada vez más para detectar información de explotación previamente registrada para presentar una referencia para el comportamiento seguro del sistema en función de los datos de interacción del sistema pasados y actuales. A medida que las organizaciones recopilan más y más datos, el enfoque puede detectar amenazas de día cero de manera más confiable.

Dado que la explotación de vulnerabilidades es un campo en constante evolución, se recomienda un enfoque de detección híbrido para proteger a las organizaciones y sus valiosos datos comerciales.

Como los exploits de día cero son tan difíciles de detectar, defenderse de ellos es un desafío. Las herramientas de análisis de vulnerabilidades de software se basan en comprobadores de firmas de malware para comparar el código sospechoso con las firmas de malware conocidas. Cuando un ataque de día cero utiliza un exploit de día cero que no se ha encontrado antes, el análisis de vulnerabilidades no detectará ni bloqueará el código malicioso.

Dado que los ataques de día cero explotan una falla de seguridad desconocida, las empresas no pueden conocer el exploit específico antes de que ocurra. No obstante, existen varios métodos para reducir la exposición al riesgo y proteger a las empresas contra nuevas amenazas.

Las redes de área local virtuales (VLAN, por sus siglas en inglés) pueden segregar áreas de red específicas o utilizar segmentos de red físicos o virtuales para aislar el tráfico esencial entre los servidores de la empresa.

De esta manera, incluso si los atacantes violan las defensas de la empresa y obtienen acceso a la red, no podrán robar datos de las áreas de red críticas para el negocio.

La gestión adecuada de los parches es crucial para las organizaciones de todos los tamaños.

Los desarrolladores de software emitirán parches de seguridad tan pronto como tengan conocimiento de una posible amenaza de explotación. La aplicación de parches de día cero y de día "n" tan pronto como sea posible no solucionará las vulnerabilidades de software desconocidas, pero hará que sea más difícil que un ataque de día cero tenga éxito.

Es imposible detectar todas las vulnerabilidades de seguridad antes de que ocurra un exploit de día cero. Sin embargo, las empresas pueden utilizar un protocolo de seguridad IP (IPsec, por sus siglas en inglés) para invocar el cifrado y la autenticación al tráfico de red crítico.

Por otro lado, la falta de cifrado de datos puede hacer que toda la información en la red de la empresa sea vulnerable, provocar un gran tiempo de inactividad y afectar gravemente los ingresos.

Es posible que los IPS e IDS basados en firmas no puedan detectar y contrarrestar un ataque por sí solos. No obstante, pueden alertar a los equipos de seguridad de archivos entrantes sospechosos como efecto secundario de un ataque en curso.

Las máquinas malintencionadas pueden acceder a áreas críticas del entorno de la empresa y comprometer dispositivos en toda la red. El control de acceso a la red (NAC, por sus siglas en inglés) niega la autorización faltante, permitiendo que solo las personas autorizadas exploren dichas áreas.

El análisis regular de vulnerabilidades en todas las redes empresariales es fundamental para descubrir vulnerabilidades y bloquearlas antes de que los atacantes puedan explotarlas.

Además, muchos exploits de día cero se basan en errores humanos. Informar a los empleados sobre la buena higiene de la ciberseguridad los mantendrá protegidos en línea y evitará los exploits de día cero habilitados accidentalmente y otras amenazas maliciosas.

Un software de detección y respuesta de punto final (EDR, por sus siglas en inglés) dedicado como Acronis Cyber Protect Cloud puede detectar, detener y bloquear actividades maliciosas y restaurar rápidamente los archivos afectados. Además, puede utilizar Acronis Backup 12.5 para proteger archivos y documentos en tiempo real, automatizar parches de software críticos y crear múltiples copias de seguridad completas del sistema para garantizar una recuperación completa incluso si se produce un ataque de día cero.