¿Por qué hay tantas vulnerabilidades de día cero (Zero-Day)?
Los ciberdelincuentes utilizan vulnerabilidades de día cero o zero-day para ingresar a computadoras y redes. Los exploits de día cero parecen ir en aumento, pero ¿es ese realmente el caso? ¿Y puedes defenderte? Observemos los detalles detenidamente.
Vulnerabilidades de día cero
Una vulnerabilidad de día cero es un error en una parte de un software. Por supuesto, todo software complicado tiene errores, así que ¿Por qué debería darse un nombre especial a un día cero? Una vulnerabilidad de día cero es una que ha sido descubierta por los ciberdelincuentes, pero los autores y usuarios del software aún no la conocen. Y, lo que es más importante, un día cero es un error que da lugar a una vulnerabilidad explotable.
Estos factores se combinan para hacer de un día cero un arma peligrosa en manos de los ciberdelincuentes. Conocen una vulnerabilidad que nadie más conoce. Esto significa que pueden explotar esa vulnerabilidad sin problemas, comprometiendo cualquier computadora que ejecute ese software. Y como nadie más sabe sobre el día cero, no habrá correcciones ni parches para el software vulnerable.
Por lo tanto, durante el breve período que transcurre entre que se producen las primeras vulnerabilidades (y que se detectan) y los editores de software responden con correcciones, los ciberdelincuentes pueden aprovechar esa vulnerabilidad sin control. Algo evidente como un ataque de ransomware es imperdible, pero si el compromiso es de vigilancia encubierta, podría pasar mucho tiempo antes de que se descubra el día cero. El infame ataque a SolarWinds es un buen ejemplo.
Los días cero han encontrado su momento
Los días cero no son nuevos. Pero lo que es particularmente alarmante es el aumento significativo en el número de días cero que se están descubriendo. Se encontraron más del doble en 2021 que en 2020. Las cifras finales todavía se están recopilando para. No obstante, hay indicios de que para fin de año se habrán detectado alrededor de 60 a 70 vulnerabilidades de día cero
Los días cero tienen un valor para los ciberdelincuentes como medio de entrada no autorizada a computadoras y redes. Pueden monetizarlos ejecutando ataques de ransomware y extorsionando a las víctimas.
Pero los días cero en sí mismos tienen un valor. Son productos vendibles y pueden valer enormes sumas de dinero para quienes los descubran. El valor en el mercado negro del tipo correcto de exploit de día cero puede alcanzar fácilmente muchos cientos de miles de dólares. Y, algunos ejemplos han superado el millón de dólares. Existen vendedores de días cero compran y venden exploits de día cero .
Las vulnerabilidades de día cero son muy difíciles de descubrir. En un momento, solo fueron encontrados y utilizados por equipos de ciberdelincuentes altamente capacitados y con recursos suficientes, como los grupos de amenazas persistentes avanzadas (APT) patrocinados por estados. La creación de muchos de los días cero en el pasado se ha atribuido a las APTs en Rusia y China.
Corrección de un día cero
Por supuesto, con suficiente conocimiento y dedicación, cualquier hacker o programador suficientemente hábil puede encontrar días cero. Los hackers de sombrero blanco se encuentran entre las buenas personas que intentan encontrarlos antes que los ciberdelincuentes. Entregan sus hallazgos a la empresa de software correspondiente, que trabajará con el investigador de seguridad que encontró el problema para solucionarlo.
Los expertos en seguridad deben crear, probar y poner a disposición nuevos parches de seguridad. Estos se implementan como actualizaciones de seguridad. El día cero solo se anuncia una vez que se implementan todas las medidas correctivas. Para cuando se haga público, la solución ya está disponible. Es decir, el día cero ha sido corregido.
A veces se utilizan días cero en los productos. Los gobiernos utilizan el controvertido producto de spyware de NSO Group, Pegasus, para luchar contra el terrorismo y mantener la seguridad nacional. Puede instalarse en dispositivos móviles con poca o ninguna interacción por parte del usuario. En 2018 estalló un escándalo cuando, según informes, varios estados autorizados utilizaron Pegasus para vigilar a sus propios ciudadanos. Disidentes, activistas y periodistas fueron blanco de ataques.
Recientemente, en septiembre de 2021, el Citizen Lab de la Universidad de Toronto detectó y analizó un día cero. Este día cero afectaba Apple iOS, macOS y watchOS y estaba siendo explotado por Pegasus. Apple lanzó una serie de parches el 13 de septiembre de 2021.
¿Por qué la repentina oleada de días cero?
Un parche de emergencia suele ser la primera indicación que recibe un usuario de que se ha descubierto una vulnerabilidad de día cero. Los proveedores de software tienen fechas específicas para cuándo se lanzarán los parches de seguridad, las correcciones de errores y las actualizaciones. Pero debido a que las vulnerabilidades de día cero deben parcharse lo antes posible, esperar el próximo lanzamiento programado del parche no es una opción. Son los parches de emergencia fuera de ciclo los que se ocupan de las vulnerabilidades de día cero.
Si sientes que has estado viendo más de esos recientemente, es porque así ha sucedido. Todos los sistemas operativos convencionales, muchas aplicaciones como navegadores, aplicaciones de teléfonos inteligentes y sistemas operativos de teléfonos inteligentes recibieron parches de emergencia en 2021.
Hay varias razones para el aumento. En el lado positivo, los proveedores de software prominentes han implementado mejores políticas y procedimientos para trabajar con investigadores de seguridad que se acercan a ellos con evidencia de una vulnerabilidad de día cero. Es más fácil para el investigador de seguridad informar estos defectos y las vulnerabilidades se toman en serio. Es importante destacar que la persona que informa del problema recibe un trato profesional.
También hay más transparencia. Tanto Apple como Android ahora agregan más detalles a los boletines de seguridad, incluido si un problema fue de día cero y si existe la posibilidad de que la vulnerabilidad haya sido explotada.
La seguridad es crítica
Quizás porque se reconoce que la seguridad es una función crítica para el negocio, y se le trata como tal con presupuesto y recursos, los ataques deben ser más inteligentes para ingresar a las redes protegidas. Sabemos que no se explotan todas las vulnerabilidades de día cero. Contar todos las vulnerabilidades de seguridad de día cero no es lo mismo que contar las vulnerabilidades de día cero que fueron descubiertas y reparadas antes de que los ciberdelincuentes se enteraran de ellas.
Pero aún así, grupos de ciberdelincuentes poderosos, organizados y bien financiados, muchos de ellos APTs, trabajan arduamente para tratar de descubrir vulnerabilidades de día cero. O los venden o los explotan ellos mismos. A menudo, un grupo vende un día cero después de haberlo aprovechado ellos mismos, ya que se acerca al final de su vida útil.
Algunas empresas no aplican los parches de seguridad y las actualizaciones de manera oportuna. Por lo tanto, el día cero puede disfrutar de una vida útil más prolongada aunque los parches que lo contrarresten estén disponibles.
El apogeo del ransomware
Las estimaciones sugieren que un tercio de todos los exploits de día cero se utilizan para ransomware. Las bandas de ransomware más reconocidas pueden pagar fácilmente por nuevos días cero para que los ciberdelincuentes los utilicen en su próxima ronda de ataques. Las bandas de ransomware ganan dinero, los creadores de día cero ganan dinero y todo gira en torno a ello.
Otra teoría dice que los grupos de ciberdelincuentes siempre han estado tratando de descubrir los días cero, solo estamos viendo cifras más altas porque hay mejores sistemas de detección en funcionamiento. El Threat Intelligence Center de Microsoft y el Threat Analysis Group de Google, junto con otros, tienen habilidades y recursos que rivalizan con las capacidades de las agencias de inteligencia para detectar amenazas en el campo.
Con la migración de las instalaciones a la nube, es más fácil para este tipo de grupos de monitoreo identificar comportamientos potencialmente maliciosos en muchos clientes a la vez. Eso es alentador. Es posible que estemos mejorando para encontrarlos, y es por eso que estamos viendo más días cero y al principio de su ciclo de vida.
Buenas prácticas
¿Se están volviendo más descuidados los autores de software? ¿Está bajando la calidad del código? En todo caso, debería estar aumentando con la adopción de canalizaciones de CI/CD y pruebas unitarias automatizadas. Asimismo, con una mayor conciencia de que la seguridad debe planificarse desde el principio y no incorporarse como una ocurrencia tardía.
Las bibliotecas y los kits de herramientas de código abierto se utilizan en casi todos los proyectos de desarrollo no triviales. Esto puede llevar a que se introduzcan vulnerabilidades en el proyecto. Hay varias iniciativas en marcha para tratar de abordar el problema de los agujeros de seguridad en el software de código abierto y verificar la integridad de los activos de software descargados.
Cómo defenderte
El software de protección de puntos finales puede ayudar con los ataques de día cero. Incluso antes de que se haya caracterizado el ataque de día cero y las firmas antivirus y antimalware se actualicen y envíen, la protección de estos es vital. El comportamiento anómalo o extraño del software de ataque puede desencadenar las rutinas de detección heurística en el software de protección de puntos finales, atrapando y poniendo en cuarentena el software de ataque.
Debes mantener todo el software y los sistemas operativos actualizados y parcheados. Recuerda también parchear los dispositivos de red, incluidos los enrutadores y conmutadores.
Debes reducir tu superficie de ataque. Tienes que instalar únicamente los paquetes de software necesarios y auditar la cantidad de software de código abierto que utilizas. Considera favorecer las aplicaciones de código abierto que se hayan suscrito a programas de verificación y firmas, como la iniciativa Secure Open Source .
No hace falta decirlo, debes usar un firewall y utilizar su suite de seguridad de puerta de enlace si tienes uno.
Si eres administrador de red, debes limitar el software que los usuarios pueden instalar en sus equipos corporativos. Tienes que educar a los miembros de tu personal. Muchos ataques de día cero aprovechan un momento de inatención humana. Debes ofrecer sesiones de formación de concienciación sobre ciberseguridad, actualízalas y repítelas con frecuencia.