Básicamente, una vulnerabilidad de día cero es un error o agujero de seguridad en una pieza de software, hardware o firmware que todavía no ha sido detectado ni corregido.
Algo parecido a un desgarro en el bolsillo trasero de tu pantalón que aún no has notado, pero un espabilado se ha dado cuenta, y está esperando a que tu cartera acabe en el suelo para hacerse con ella.
Cuando los investigadores detecta que un programa contiene un problema de seguridad, lo notifican a la compañía desarrolladora del software (y a veces al público en general) para que pueda tomar las medidas oportunas
De esta forma, la compañía puede arreglar el código y distribuir un parche o actualización para corregir la vulnerabilidad.
Sin embargo, en peor de los casos el primero en descubrir la vulnerabilidad puede ser un pirata informático que la mantendrá en secreto durante el mayor tiempo posible para explotar el fallo en beneficio propio.
En cualquier caso, una vulnerabilidad es un objetivo muy tentador, pero nada más.
Para utilizar esa vulnerabilidad y obtener acceso a un sistema o a sus datos, un atacante debe diseñar o conseguir un exploit que se aproveche de ella.
En otras palabras:
- Una vulnerabilidad representa una vía potencial de ataque.
- Un exploit es la herramienta necesaria para perpetrar ese ataque.
Mientras que algunos atacantes diseñan estos exploits para su propio uso, otros los venden o alquilan al mejor postor en lugar de ensuciarse las manos directamente.
Uno de los ataques de día cero más conocidos fue Stuxnet, el infame gusano supuestamente responsable de causar daños considerables al programa nuclear de Irán.
Este gusano aprovechó cuatro vulnerabilidades diferentes de día cero en el sistema operativo Microsoft Windows.
Generalmente, cuando se descubre una vulnerabilidad de día cero, se agrega a la lista Common Vulnerabilities and Exposures (CVE).
CVE es una especie de diccionario en línea que proporciona definiciones de vulnerabilidades de ciberseguridad divulgadas públicamente.
El objetivo de CVE es facilitar el intercambio de datos mediante un número de identificación, una pequeña descripción y al menos una referencia pública.
Un ataque de día cero puede explotar vulnerabilidades en varios recursos y componentes.
- Sistemas operativos.
- Navegadores web.
- Hardware y firmware.
- Aplicaciones de software.
- Dispositivos de Internet de las cosas (IoT).
- Sistemas de gestión de contenidos (WordPress, Drupal, Joomla, e-commerce, etc.)
Ejemplo de vulnerabilidad de día cero
En enero de 2025, Apple lanzó actualizaciones de seguridad para arreglar la primera vulnerabilidad de día cero de este año, etiquetada como activamente explotada en ataques dirigidos a los usuarios de iPhone.
Prevención contra ataques de día cero
La mejor protección se consigue desde varios frentes.
- Elimina del sistema las aplicaciones que no uses.
- Cuantos más programas tengas, más vulnerable será tu dispositivo.
También es muy importante deshacerse de los programas y sistemas operativos obsoletos o discontinuados, que han dejado de recibir soporte y actualizaciones por parte de sus desarrolladores.
El primer paso (y el más importante) para evitar ser víctima de un ataque de día cero es mantener el sistema operativo y todas las aplicaciones actualizadas.
Los parches corrigen vulnerabilidades del software y de los sistemas operativos, haciéndolos más resistentes ante posibles ataques.
Usa un software de seguridad, que cuente con un escudo de comportamiento de las aplicaciones para detener cualquier amenaza, tanto conocida como desconocida.
El código y los programas desconocidos pueden ejecutarse, pero se vigilan para identificar comportamientos sospechosos.
Evita utilizar la cuenta de administrador de Microsoft para realizar tareas cotidianas en el ordenador.
Utilízala solo para acciones que necesiten necesariamente de privilegios administrativos
En ámbitos corporativos, en teoría, cualquier dispositivo o servidor de una empresa podría albergar una vulnerabilidad de día cero, pero es poco probable que esto suceda en todos los terminales de la red.
Una infraestructura de red que dificulte que los atacantes se muevan de un equipo a otro y que pueda aislar los sistemas comprometidos puede ayudar a limitar el daño que puede causar un atacante.