Cómo identificar y hacer frente a los ataques de Día Cero




por Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000

El término día cero (a menudo expresado como 0-day) se refiere al primer día que un problema informático se conoce o se anticipa. Se refiere a una falla de seguridad para la cual el proveedor del sistema defectuoso aún tiene que poner un parche a disposición de los usuarios afectados.

El nombre evoca un escenario en el que un atacante se ha adelantado a un proveedor de software, implementando ataques que explotan la falla antes de que dicho proveedor pueda responder. Una vez que una técnica de ataque de día cero está circulando en el ecosistema criminal, a menudo vendida por sus descubridores, el tiempo corre para que los proveedores creen y distribuyan un parche que soluciones el problema.

En este sentido, una vulnerabilidad de día cero es un defecto de software o hardware que se ha descubierto y para el que no existe ningún parche. La parte del descubrimiento es clave para esto; sin duda hay una serie de fallas que literalmente nadie conoce. Pero la cuestión de quién conoce estas fallas es crucial para determinar cómo se desarrollan los incidentes de seguridad. Los investigadores de seguridad de sombrero blanco que descubren una falla pueden comunicarse con el proveedor de manera confidencial para que se pueda desarrollar un parche antes de que se conozca ampliamente la existencia de la falla. Mientras tanto, algunos cibercriminales o grupos de delincuentes informáticos patrocinados por Estados-nación pueden querer mantener en secreto el conocimiento de la vulnerabilidad para que el proveedor permanezca en la oscuridad y el agujero permanezca abierto.

De todos modos, una vulnerabilidad en sí misma es un objetivo tentador, pero nada más. Para utilizar esa vulnerabilidad para obtener acceso a un sistema o sus datos, un atacante debe crear un exploit de día cero, una técnica de penetración o una pieza de malware que se aproveche de la debilidad. Mientras que algunos atacantes diseñan estos exploits para su propio uso, otros los venden al mejor postor.

Una vez armado con un exploit, un cibercriminal ahora puede llevar a cabo un ataque de día cero, pues una vulnerabilidad solo representa una vía potencial de ataque y un exploit es una herramienta para realizar ese ataque. Y es el ataque en sí lo que es verdaderamente peligroso. Este puede ser un punto de conflicto dentro de la comunidad de investigación de seguridad, donde las vulnerabilidades a menudo se descubren, con la intención de generar conciencia y hacer que se reparen más rápidamente. Sin embargo, los proveedores — cuyas vulnerabilidades están expuestas — a veces tratan esa exposición como equivalente a un ataque en sí.

Debido a que los exploits de día cero representan un medio para aprovechar una vulnerabilidad que aún no se ha reparado, son una especie de “arma definitiva” para un ciberataque. Si bien cada año se infringen innumerables sistemas en todo el mundo, la verdad es que la mayoría de esas infracciones hacen uso de agujeros que son conocidos por los profesionales de la seguridad y para los que existen soluciones; los ataques tienen éxito en parte debido a la falta de medidas adecuadas de ciberseguridad por parte de las víctimas.

Vale la pena reiterar que la categoría de “atacantes” aquí incluye no solo a los ciberdelincuentes sino también a los grupos patrocinados por los Estados-nación. Se sabe que tanto las agencias de inteligencia chinas como las estadounidenses recopilan información sobre vulnerabilidades de día cero que pueden usar con fines de espionaje o cibersabotaje. Un ejemplo de esto fue una vulnerabilidad descubierta en el protocolo SMB en Microsoft Windows por la Agencia de Seguridad Nacional de Estados Unidos, la NSA, que diseñó el código de explotación EternalBlue para aprovechar esta situación y que finalmente fue robado por ciberdelincuentes que lo usaron para crear el ransomware WannaCry.

Cuando las organizaciones afectadas se enteran de una vulnerabilidad de día cero, pueden encontrarse en un dilema, especialmente si la vulnerabilidad está en un sistema operativo u otra pieza de software ampliamente utilizada: pues deben aceptar el riesgo de ataque o cerrar aspectos cruciales de sus operaciones.

Si bien las vulnerabilidades y ataques de día cero son, por lo tanto, asuntos extremadamente graves, eso no significa que mitigarlos sea imposible. Las formas de luchar contra estos ataques se pueden agrupar en dos categorías amplias: lo que pueden hacer las organizaciones y sus departamentos de sistemas para proteger su propia infraestructura y lo que puede hacer la industria y la comunidad de seguridad en conjunto para hacer que el entorno general sea más seguro.

Por lo anterior, algunas recomendaciones son:
  • Practicar la defensa en profundidad. Muchas infracciones son el resultado de una cadena de ataques que explotan múltiples vulnerabilidades. Mantener sus parches actualizados y su personal al tanto de las mejores prácticas puede romper esa cadena.
  • Estar atento a las intrusiones. Es posible que no sepa la forma que tomará un ataque de día cero, por lo que debe estar atento a cualquier tipo de actividad sospechosa. Incluso si un atacante ingresa a sus sistemas a través de una vulnerabilidad desconocida para usted, dejarán señales reveladoras cuando comiencen a moverse a través de su red y posiblemente a exfiltrar información. Los sistemas de detección y prevención de intrusiones están diseñados para detectar este tipo de actividad, y los antivirus avanzados pueden identificar el código como malware de manera similar en función de su comportamiento.
  • Monitorear las redes. Cualquier dispositivo o servidor de su empresa podría albergar una vulnerabilidad de día cero, pero no es muy probable que todos lo hagan. Una infraestructura de red que dificulta que los atacantes se muevan de una computadora a otra y que sea fácil aislar los sistemas comprometidos puede ayudar a limitar el daño que puede causar un ataque. En particular, implemente controles de acceso basados ​​en roles para asegurarse de que los infiltrados no puedan acceder fácilmente a sus sistemas.
  • Hacer copias de seguridad. A pesar de sus mejores esfuerzos, es posible que un ataque de día cero pueda desconectar algunos de sus sistemas o dañar o borrar sus datos. Las copias de seguridad frecuentes garantizarán que pueda recuperarse rápidamente de los peores escenarios.

Pero luchar contra los ataques de día cero no es algo que deba hacer por su cuenta. De hecho, el ecosistema de seguridad, que está formado por investigadores, especialistas en ciberseguridad, hasta equipos de seguridad de grandes proveedores de software y hardware, tiene interés en descubrir y corregir las vulnerabilidades de día cero antes de que los ciberdelincuentes puedan explotarlas.

Para más información, visite: https://www.silikn.com/