Una vulnerabilidad de día cero es un error o agujero de seguridad en una pieza de software, hardware o firmware que todavía no ha sido detectado ni corregido. Algo parecido a un desgarro en el bolsillo trasero de tu pantalón que aún no has notado, pero un villano se ha dado cuenta y está esperando a que tu cartera acabe en el suelo para hacerse con ella.
Por lo general, cuando alguien detecta que un programa contiene un problema de seguridad, lo notifica a la compañía desarrolladora del software (y a veces al público en general) para que pueda tomar las medidas oportunas
De esta forma, la compañía puede arreglar el código y distribuir un parche o actualización para corregir la vulnerabilidad.
Sin embargo, en peor de los casos el primero en descubrir la vulnerabilidad puede ser un pirata informático que la mantendrá en secreto durante el mayor tiempo posible para explotar el fallo en beneficio propio.
En cualquier caso, una vulnerabilidad es un objetivo tentador, pero nada más.
Para utilizar esa vulnerabilidad y obtener acceso a un sistema o a sus datos, un atacante debe diseñar un exploit o una pieza de malware que se aproveche de ella.
En otras palabras, una vulnerabilidad solamente representa una vía potencial de ataque y un exploit es la herramienta necesaria para perpetrar ese ataque.
Mientras que algunos atacantes diseñan estos exploits para su propio uso y disfrute, otros los venden o alquilan al mejor postor en lugar de ensuciarse las manos directamente.
La categoría de atacante no hace referencia solamente a los ciberdelincuentes, sino también a los grupos patrocinados por algunos estados que pueden utilizar estas vulnerabilidades con fines de espionaje e incluso sabotaje.
Uno de los ataques de día cero más conocidos fue Stuxnet, el infame gusano supuestamente responsable de causar daños considerables al programa nuclear de Irán.
Este gusano aprovechó cuatro vulnerabilidades diferentes de día cero en el sistema operativo Microsoft Windows.
Generalmente, cuando se descubre una vulnerabilidad de día cero, se agrega a la lista Common Vulnerabilities and Exposures (CVE).
CVE es un diccionario en línea que proporciona definiciones de vulnerabilidades de ciberseguridad divulgadas públicamente.
El objetivo de CVE es facilitar el intercambio de datos mediante un número de identificación, una pequeña descripción y al menos una referencia pública.
Lamentablemente, muchos desarrolladores de software intentan no revelar públicamente las vulnerabilidades de sus programas, con la esperanza de poder emitir un parche antes de que los piratas informáticos la descubran.
Un ataque de día cero puede explotar vulnerabilidades en varios recursos y componentes.
- Sistemas operativos.
- Navegadores web.
- Hardware y firmware.
- Aplicaciones de software.
- Dispositivos de Internet de las cosas (IoT)
Ejemplo de vulnerabilidad de día cero
El 11 de agosto de 2020, Microsoft lanzó una actualización de seguridad que incluía un parche para una vulnerabilidad crítica en el protocolo NETLOGON (CVE-2020-1472) descubierto por los investigadores de Secura.
Dado que no se publicaron detalles técnicos iniciales en CVE, la actualización de seguridad no recibió mucha atención, a pesar de que obtuvo una puntuación CVSS (para determinar el impacto que representa una vulnerabilidad se utiliza una escala que va del 0 al 10) de diez.
Prevención contra exploits y ataques de día cero
El método tradicional empleado por algunos antivirus para la detección de malware basado en bases de datos de firmas de virus en este caso no es suficiente, ya que no pueden detectar ni detener las amenazas desconocidas.
La mejor protección se consigue desde varios frentes.
Asegúrate de tener un buen cortafuegos, para permitir solo el tráfico estrictamente necesario e imprescindible para el correcto funcionamiento del dispositivo y las aplicaciones.
Un firewall no va a convertir tu sistema en invulnerable, pero agregará una capa adicional de protección, ya que los piratas informáticos, primero tienen que saltárselo, antes de poder acceder tu ordenador.
Elimina del sistema las aplicaciones que no uses.
Cuantos más programas tengas, más vulnerable será tu dispositivo.
También es muy importante deshacerse de los programas y sistemas operativos obsoletos o discontinuados, que han dejado de recibir soporte y actualizaciones por parte de sus desarrolladores.
El primer paso (y el más importante) para evitar ser víctima de un ataque de día cero es mantener el sistema operativo y todas las aplicaciones actualizadas.
Los parches corrigen vulnerabilidades del software y de los sistemas operativos, haciéndolos más resistentes ante posibles ataques.
Usa un software de seguridad, que cuente con un sistema de prevención contra intrusiones, y un escudo de comportamiento de las aplicaciones para detener cualquier amenaza, tanto conocida como desconocida.
El código y los programas desconocidos pueden ejecutarse, pero se vigilan para identificar comportamientos sospechosos.
Evita utilizar la cuenta de administrador de Microsoft para realizar tareas cotidianas en el ordenador.
Utilízala solo para acciones que necesiten necesariamente de privilegios administrativos
En ámbitos corporativos, en teoría, cualquier dispositivo o servidor de una empresa podría albergar una vulnerabilidad de día cero, pero es poco probable que esto suceda en todos los terminales de la red.
Una infraestructura de red que dificulte que los atacantes se muevan de un equipo a otro y que pueda aislar los sistemas comprometidos puede ayudar a limitar el daño que puede causar un atacante.
