Los atacantes aceleran significativamente la explotación de las vulnerabilidades recientemente divulgadas
Imagen: Zdzisław Beksiński
Los ciberdelincuentes están aprovechando las nuevas vulnerabilidades que surgen debido al crecimiento exponencial en la cantidad y diversidad de dispositivos conectados, así como a la proliferación de nuevas aplicaciones y servicios en línea. Como resultado, es lógico que también se incremente el número de ataques que buscan explotar estas debilidades. Pero no sólo la cantidad, sino la calidad y, sobre todo, la velocidad con la que se ejecutan.
Un estudio realizado por la unidad de investigación de SILIKN ha examinado el panorama actual de amenazas y ha identificado algunas tendencias. Entre estas se encuentra la rapidez con la que los ciberatacantes están explotando las vulnerabilidades recientemente descubiertas en la industria de la ciberseguridad.
La unidad de investigación de SILIKN investigó el tiempo que tarda una vulnerabilidad en ser explotada desde su divulgación inicial, enfocándose particularmente en aquellas con una alta puntuación de predicción de exploits. Descubrieron que, en promedio, los ataques comenzaron tres días después de que se hicieron públicos los nuevos exploits.
Según este análisis, en 2023 los atacantes aceleraron significativamente la explotación de las vulnerabilidades recientemente divulgadas, haciéndola un 65.2% más rápido que en 2022. Este hallazgo subraya la necesidad crítica de que los proveedores identifiquen vulnerabilidades internamente y desarrollen parches antes de que puedan ser explotadas, es decir, mitigar los riesgos asociados con las vulnerabilidades de día cero.
Además, resalta la importancia de que los proveedores informen de manera proactiva y transparente a sus clientes sobre las vulnerabilidades, garantizando así que estos dispongan de la información necesaria para proteger eficazmente sus activos antes de que los ciberdelincuentes puedan aprovecharse de dichas vulnerabilidades.
Lo anterior es en el caso de vulnerabilidades detectadas y difundidas, pero ¿qué pasa con las vulnerabilidades de día cero?
Una vulnerabilidad de día cero se refiere a un defecto de seguridad en un sistema informático o programa que es descubierto por un ciberatacante, pero que aún no ha sido identificado ni por el desarrollador ni por el proveedor del software. Dado que nadie tiene conocimiento de esta falla de seguridad, es imposible mitigarla, incluso después de que se haya detectado. El término “día cero” indica que no ha habido tiempo para que el desarrollador del software aborde este problema de seguridad.
Por otro lado, un exploit de día cero es una pieza de código que puede instalar malware o phishing dirigido para obtener acceso no autorizado a un sistema. En un ataque de día cero los ciberatacantes desencadenan un exploit conocido en un equipo, red o sistema de software de un desarrollador en un ataque de día cero. Este tipo de ataque puede ser altamente perjudicial debido a la ausencia de defensas conocidas que lo protejan en el momento de su lanzamiento.
Un ataque de día cero aprovecha una debilidad que es desconocida para el objetivo, lo que le permite continuar sin obstáculos hasta que sea detectado (si es que llega a serlo). Se introduce el concepto de “ventana de vulnerabilidad”, que representa el lapso entre la identificación de la vulnerabilidad y su mitigación. El tiempo requerido para detectar un ataque de día cero es impredecible y puede variar desde unas pocas horas hasta varios años, dependiendo de una serie de factores. Los desarrolladores y expertos en seguridad trabajan arduamente para minimizar esta ventana de vulnerabilidad en la medida de lo posible.
Es por ello que no solo debe haber preocupación por las vulnerabilidades recién identificadas y difundidas. El análisis reveló que solo el 29.5% de las organizaciones han detectado vulnerabilidades que existen desde hace al menos cinco años, y apenas el 4.8% ha identificado aquellas con más de 15 años de antigüedad. Esto subraya la necesidad urgente de implementar las mejores prácticas de ciberseguridad y mantener una vigilancia constante. Las organizaciones deben actuar rápidamente mediante un programa consistente y ordenado de parches de seguridad y actualizaciones, utilizando estándares que mejoren la seguridad general de los sistemas.
Entre los grupos que están activamente explotando estas vulnerabilidades se encuentran las amenazas persistentes avanzadas (APT), como Lazarus Group (grupo norcoreano al que se le atribuyen los ataques al Banco de México y Bancomext); OceanBuffalo, APT30 (grupo vietnamita que ha dirigido sus ataques a organizaciones gubernamentales y empresas en México para espiar y robar información sensible); Cozy Bear, APT29 (grupo ruso asociado con actividades de ciberespionaje); Winter Vivern, TA473 (grupo bieloruso que se dedica al espionaje de organizaciones militares, gubernamentales y diplomáticas); Hafnium (grupo chino también de ciberespionaje), además de los grupos de cibercriminales especializados en ransomware que han lanzado ataques cada vez más rápidos y precisos contra organizaciones mexicanas y que incluyen a: Cactus, LockBit, Darkvault, Ransomhub, 8base, Play, Dispossessor, Trigona, Redransomware, Rhysida, Hunters, Alphv, Medusa y 3AM, por mencionar los que han lanzado ataques contra México sólo en 2024.
Por consiguiente, el análisis llevado a cabo por la unidad de investigación de SILIKN sigue poniendo de manifiesto la velocidad con la que los cibercriminales están aprovechando las vulnerabilidades recién descubiertas o desconocidas. En este contexto, tanto los proveedores como los clientes tienen un papel crucial que desempeñar. Los proveedores deben implementar un escrutinio exhaustivo de seguridad en todas las etapas del ciclo de vida del desarrollo del producto y comprometerse con una divulgación de vulnerabilidades radical y responsable.
De esta manera, las cuestiones importantes son si el gobierno y las empresas están al tanto de la rapidez de estos ataques, qué medidas están implementando para hacerles frente y si son conscientes de que estos ataques tienden a ser más rápidos con el tiempo y, si no se toman acciones adecuadas, podrían volverse aún más devastadores.
Para más información, visite: https://www.silikn.com/