Un error de día cero es aquel que ha sido descubierto por los ciberdelincuentes pero no por los usuarios
Los ciberdelincuentes utilizan vulnerabilidades de día cero (en inglés zero-day o 0-day) para ingresar a computadoras y redes. Los exploits de día cero parecen estar en aumento, pero ¿es ese realmente el caso? ¿Y puedes defenderte? Miramos los detalles.
Vulnerabilidades de día cero
Una vulnerabilidad de día cero es un error en un pedazo del software. Por supuesto, todo el software complicado tiene errores, así que ¿por qué debería darse un nombre especial a un día cero? Un error de día cero es aquel que ha sido descubierto por los ciberdelincuentes, pero los autores y usuarios del software aún no lo conocen. Y, lo que es más importante, un día cero es un error que da lugar a una vulnerabilidad explotable.
Estos factores se combinan para hacer del día cero un arma peligrosa en manos de los ciberdelincuentes. Conocen una vulnerabilidad que nadie más conoce. Esto significa que pueden explotar esa vulnerabilidad sin cuestionar, comprometiendo cualquier computadora que ejecute ese software. Y como nadie más sabe sobre el día cero, no habrá correcciones ni parches para el software vulnerable.
Por lo tanto, durante el breve período que transcurre entre que se producen las primeras vulnerabilidades (y que se detectan) y que los editores de software responden con correcciones, los ciberdelincuentes pueden aprovechar esa vulnerabilidad sin control. Algo evidente como un ataque de ransomware es imperdible, pero si el compromiso es de vigilancia encubierta, podría pasar mucho tiempo antes de que se descubra el día cero. El infame ataque SolarWinds es un buen ejemplo.
Los días cero han encontrado su momento
Los días cero no son nuevos. Pero lo que es particularmente alarmante es el aumento significativo en el número de días cero que se están descubriendo. Se han encontrado más del doble en 2021 que en 2020. Las cifras finales todavía se están recopilando para 2021 (después de todo, todavía nos quedan algunos meses para el final), pero hay indicios de que para finales de año se habrán detectado alrededor de 60 a 70 vulnerabilidades de día cero.
Los días cero tienen un valor para los ciberdelincuentes como medio de entrada no autorizada a computadoras y redes. Pueden monetizarlos ejecutando ataques de ransomware y extorsionando a las víctimas.
Pero los días cero en sí mismos tienen un valor. Son productos vendibles y pueden valer enormes sumas de dinero para quienes los descubran. El valor en el mercado negro del tipo correcto de explotación de día cero puede alcanzar fácilmente muchos cientos de miles de dólares, y algunos ejemplos han superado el millón de dólares. Los actores de día cero comprarán y venderán exploits de día cero.
Las vulnerabilidades de día cero son muy difíciles de descubrir. En un momento, solo fueron encontradas y utilizadas por equipos de piratas informáticos altamente capacitados y con recursos suficientes, como los grupos de amenazas persistentes avanzadas (APT) patrocinados por el estado. La creación de muchos de los días cero armados en el pasado se ha atribuido a los APT en Rusia y China.
Por supuesto, con suficiente conocimiento y dedicación, cualquier hacker o programador suficientemente hábil puede encontrar días cero. Los hackers de sombrero blanco se encuentran entre los buenos que intentan encontrarlos antes que los ciberdelincuentes. Comparten sus hallazgos con la empresa de software correspondiente, que trabajará con el investigador de seguridad que encontró el problema para cerrarlo.
Se crean, prueban y ponen a disposición nuevos parches de seguridad. Se implementan como actualizaciones de seguridad. El día cero solo se anuncia una vez que se implementan todas las medidas correctivas. Para cuando se haga público, la solución ya está disponible. El día cero ha sido anulado.
A veces se utilizan días cero en los productos. Los gobiernos utilizan el controvertido producto de software espía de NSO Group, Pegasus, para luchar contra el terrorismo y mantener la seguridad nacional. Puede instalarse en dispositivos móviles con poca o ninguna interacción por parte del usuario. Un escándalo estalló en 2018 cuando, según informes, varios estados autorizados utilizaron Pegasus para vigilar a sus propios ciudadanos. Disidentes, activistas y periodistas fueron blanco de ataques.
Recientemente, en septiembre de 2021, el Citizen Lab de la Universidad de Toronto detectó y analizó un día cero que afectaba a Apple iOS, macOS y watchOS, que estaba siendo explotado por Pegasus. Apple lanzó una serie de parches el 13 de septiembre de 2021.
¿Por qué la repentina oleada de días cero?
Un parche de emergencia suele ser la primera indicación que recibe un usuario de que se ha descubierto una vulnerabilidad de día cero. Los proveedores de software tienen horarios para cuándo se lanzarán los parches de seguridad, las correcciones de errores y las actualizaciones. Pero debido a que las vulnerabilidades de día cero deben parcharse lo antes posible, no es una opción esperar el próximo lanzamiento programado del parche. Son los parches de emergencia fuera de ciclo los que se ocupan de las vulnerabilidades de día cero.
Si sientes que has estado viendo más de estos recientemente, es porque han sucedido. Todos los sistemas operativos convencionales, muchas aplicaciones como navegadores, aplicaciones de teléfonos inteligentes y sistemas operativos de teléfonos inteligentes han recibido parches de emergencia en 2021.
Hay varias razones para el aumento. En el lado positivo, los proveedores de software prominentes han implementado mejores políticas y procedimientos para trabajar con investigadores de seguridad que se dirigen a ellos con evidencia de una vulnerabilidad de día cero. Es más fácil para el investigador de seguridad informar estos defectos y las vulnerabilidades se toman en serio. Es importante destacar que la persona que informa del problema recibe un trato profesional.
También hay más transparencia. Tanto Apple como Android agregan ahora más detalles a los boletines de seguridad, incluido si un problema fue de día cero y si existe la posibilidad de que la vulnerabilidad haya sido explotada.
Quizás porque se reconoce que la seguridad es una función crítica para el negocio, y se la trata como tal con presupuesto y recursos, los ataques deben ser más inteligentes para ingresar a las redes protegidas. Sabemos que no se explotan todas las vulnerabilidades de día cero. Contar todos los agujeros de seguridad de día cero no es lo mismo que contar las vulnerabilidades de día cero que fueron descubiertas y reparadas antes de que los ciberdelincuentes se enteraran de ellas.
Pero aún así, poderosos, organizados y bien financiados grupos de piratas informáticos, muchos de ellos APT, están trabajando a toda máquina para tratar de descubrir vulnerabilidades de día cero. O las venden o las explotan ellos mismos. A menudo, un grupo venderá un día cero después de haberlo aprovechado ellos mismos, ya que se acerca al final de su vida útil.
Debido a que algunas empresas no aplican parches de seguridad y actualizaciones de manera oportuna, el día cero puede disfrutar de una vida útil más prolongada aunque estén disponibles los parches que lo contrarresten.
Las estimaciones sugieren que un tercio de todos los exploits de día cero se utilizan para ransomware. Los grandes rescates pueden pagar fácilmente nuevos días cero para que los ciberdelincuentes los utilicen en su próxima ronda de ataques. Las bandas de ransomware ganan dinero, los creadores de día cero ganan dinero y todo va dando vueltas.
Otra escuela de pensamiento dice que los grupos de ciberdelincuentes siempre han estado tratando de descubrir los días cero, solo estamos viendo cifras más altas porque hay en funcionamiento mejores sistemas de detección. El Threat Intelligence Center de Microsoft y el Threat Analysis Group de Google, junto con otros, tienen habilidades y recursos que rivalizan con las capacidades de las agencias de inteligencia para detectar amenazas en el campo.
Con la migración de las instalaciones a la nube, es más fácil para este tipo de grupos de monitoreo identificar comportamientos potencialmente maliciosos en muchos clientes a la vez. Eso es alentador. Es posible que estemos mejorando para encontrarlos, y es por eso que estamos viendo más días cero y al principio de su ciclo de vida.
¿Se están volviendo más descuidados los autores de software? ¿Está bajando la calidad del código? En todo caso, debería estar aumentando con la adopción de canalizaciones de CI/CD, pruebas unitarias automatizadas y una mayor conciencia de que la seguridad debe planificarse desde el principio y no incorporarse como una ocurrencia tardía.
Las bibliotecas y los kits de herramientas de código abierto se utilizan en casi todos los proyectos de desarrollo no triviales. Esto puede llevar a que se introduzcan vulnerabilidades en el proyecto. Hay varias iniciativas en marcha para tratar de abordar el problema de los agujeros de seguridad en el software de código abierto y verificar la integridad de los activos de software descargados.
Cómo defenderse
El software de protección de endpoints puede ayudar con los ataques de día cero. Incluso antes de que se haya caracterizado el ataque de día cero y las firmas antivirus y antimalware se actualicen y envíen, el comportamiento anómalo o preocupante del software de ataque puede desencadenar las rutinas de detección heurística en el software de protección de endpoints líder en el mercado, atrapando y poniendo en cuarentena el software de ataque.
Mantén todo el software y los sistemas operativos actualizados y parcheados. Recuerda también parchear los dispositivos de red, incluidos los enrutadores y conmutadores.
Reduce tu superficie de ataque. Instala únicamente los paquetes de software necesarios y audita la cantidad de software de código abierto que utilizas. Considera favorecer las aplicaciones de código abierto que se hayan suscrito a programas de verificación y firma de artefactos, como la iniciativa Secure Open Source.
No hace falta decir que uses un firewall y tu suite de seguridad de puerta de enlace si tienes uno.
Si eres administrador de redes, limita el software que los usuarios pueden instalar en sus equipos corporativos. Educa a los miembros de tu personal. Muchos ataques de día cero aprovechan un momento de inatención humana. Ofrece sesiones de formación sobre concienciación sobre ciberseguridad y actualízalas y repítelas con frecuencia.