En este momento estás viendo Ataque cero

¿Qué es un ataque de día cero?

Un ataque de día cero (también conocido como día cero) es un ataque que aprovecha una vulnerabilidad de seguridad de software potencialmente grave que el proveedor o desarrollador puede no conocer. El desarrollador de software debe apresurarse a corregir la vulnerabilidad tan pronto como se descubre para limitar la amenaza a los usuarios de software. La solución se llama parche de software. Los ataques de día cero también se pueden utilizar para atacar el Internet de las cosas (IoT).

Un ataque de día cero recibe su nombre de la cantidad de días que el desarrollador de software conoce sobre el problema.

Conclusiones clave

  • Un ataque de día cero es un ataque relacionado con el software que explota una debilidad que un proveedor o desarrollador desconocía.
  • El nombre proviene de la cantidad de días que un desarrollador de software conoce el problema.
  • La solución para arreglar un ataque de día cero se llama parche de software.
  • Los ataques de día cero se pueden prevenir, aunque no siempre, mediante software antivirus y actualizaciones periódicas del sistema.
  • Existen varios mercados para los ataques cero que van desde legales hasta ilegales. Incluyen el mercado blanco, el mercado gris y el mercado oscuro.

Entender el ataque cero

Un ataque de día cero puede involucrar malware, adware, spyware o acceso no autorizado a la información del usuario. Los usuarios pueden protegerse de cero ataques actualizando automáticamente su software, incluidos los sistemas operativos, el software antivirus y los navegadores de Internet, e instalando de inmediato cualquier actualización recomendada fuera de las actualizaciones programadas regularmente.

Dicho esto, un usuario no necesita proteger a un usuario de un ataque cero un día después de actualizar el software antivirus, porque hasta que la vulnerabilidad del software se conozca públicamente, es posible que el software antivirus no pueda detectarla. Los sistemas de alojamiento de prevención de invasiones también ayudan a proteger contra cero ataques al prevenir y proteger las intrusiones y proteger los datos.

Piense en una vulnerabilidad de un día como la puerta de un automóvil sin llave que el propietario cree que está cerrada, pero un ladrón la encuentra abierta. El ladrón puede identificar y robar objetos no detectados de la guantera del propietario del automóvil o de las existencias que no se pueden notar hasta días posteriores, cuando el daño ya está hecho y el ladrón ya no está.

Si bien se sabe que las vulnerabilidades de un día son explotadas por piratas informáticos criminales, las agencias de seguridad gubernamentales que buscan explotarlas pueden usarlas para vigilar o explotar ataques. De hecho, hay tantas afirmaciones de vulnerabilidades de un día por parte de las agencias de seguridad gubernamentales que ayudan a impulsar al mercado a comprar y vender información sobre esas vulnerabilidades y cómo explotarlas.

Los beneficios de día cero pueden divulgarse públicamente, divulgarse solo al proveedor del software o venderse a un tercero. Si se venden, se pueden vender con o sin derechos exclusivos. La mejor solución para una falla de seguridad, desde la perspectiva de la compañía de software responsable, es que un pirata informático ético o de sombrero blanco exponga en privado la falla a la compañía para que pueda solucionarse antes de que los piratas informáticos criminales se enteren. Pero en algunos casos, más de una de las partes debe abordar la vulnerabilidad para resolverla por completo, de modo que la divulgación privada completa puede ser imposible.

Mercados para ataques de día cero

En el mercado oscuro de la inteligencia de día cero, los piratas informáticos intercambian datos sobre cómo piratear software vulnerable para robar información valiosa. En el mercado gris, los investigadores y las empresas venden información a los militares, las agencias de inteligencia y las fuerzas del orden. En el mercado blanco, las empresas pagan a los piratas informáticos de sombrero blanco o investigadores de seguridad para que detecten y expongan las vulnerabilidades del software a los desarrolladores para que puedan solucionar los problemas antes de que los piratas informáticos criminales puedan encontrarlos.

Dependiendo del comprador, el vendedor y la conveniencia, la información de un día puede valer desde unos pocos miles hasta unos cientos de miles de dólares, por lo que es un mercado potencialmente lucrativo en el que participar. Antes de que se pueda completar una transacción, el proveedor debe realizar una prueba de concepto (PoC) para confirmar que la explotación es cero. Para aquellos que buscan intercambiar información de día cero no detectada, la red Tor permite realizar transacciones de día cero de forma anónima utilizando Bitcoin.

Los ataques de día cero pueden ser una amenaza menor de lo que escuchan. Los gobiernos pueden tener formas más fáciles de espiar a sus ciudadanos y los días cero pueden no ser la forma más eficaz de explotar empresas o individuos. Un ataque debe desplegarse estratégicamente y sin que el objetivo sepa que tendrá el mayor efecto. Un ataque desatendido de un día en millones de computadoras podría exponer simultáneamente la vulnerabilidad y la liberación del parche demasiado rápido para que los atacantes logren su objetivo final.

Ejemplo del mundo real

En abril de 2017, Microsoft fue notificado de un ataque de día cero en su software Microsoft Word. Los atacantes utilizaron un malware llamado troyano bancario Dridex para explotar una versión vulnerable y libre del software. El troyano permitió a los atacantes incrustar códigos maliciosos en documentos de Word que los extraían automáticamente cuando se abrían. El proveedor de antivirus McAfee descubrió el ataque informado por Microsoft por su software de compromiso. Aunque el ataque de día cero se dio a conocer en abril, millones de usuarios ya han sido atacados desde enero.