¿Qué son los ataques de día cero y cómo se pueden combatir?

por Víctor Ruiz, fundador de SILIKN e instructor certificado en ciberseguridad — CSCT™.

Pocas vulnerabilidades de seguridad son la fuente de más problemas para los profesionales de la seguridad, que los ataques de día cero. El pasado 29 de mayo de 2022, se descubrió una nueva vulnerabilidad que permite a los cibercriminales lograr la ejecución remota de código dentro de Microsoft Office. A esta amenaza, que se le dio el nombre de exploit Follina, ha puesto a todas las versiones de Office en riesgo.

Y debido a que son muchas las organizaciones que no tienen tiempo para preparar o parchear sus sistemas y así defenderse contra estas vulnerabilidades de software, los ciberdelincuentes pueden aprovechar y acceder al entorno de una organización para observar y filtrar datos, mientras permanecen completamente ocultos.

Y aunque los cibercriminales sofisticados y los Estados-nación han explotado los días cero durante casi dos décadas, en 2021 se registró un aumento histórico en la cantidad de vulnerabilidades detectadas, con la advertencia de que se están descubriendo más días cero, porque las empresas de seguridad están mejorando para encontrarlos, y no necesariamente, porque los cibercriminales estén descubriendo nuevas vulnerabilidades.

Sin embargo, no todos los días cero son iguales. Algunos requieren técnicas sofisticadas y novedosas, como el ataque a SolarWinds, y otros explotan vulnerabilidades simples en programas de uso común como Windows. Afortunadamente, existen algunas estrategias básicas y buenas prácticas de ciberseguridad que pueden mantener a su organización lo suficientemente preparada para mitigar este tipo de vulnerabilidades.

¿Cómo funcionan los días cero? Por lo general, lo que hará un día cero es obtener acceso a un entorno a través de una vulnerabilidad nunca antes vista, luego mapea sigilosamente el entorno y, cuando está listo, lanza el ataque. Es demasiado tarde para que un equipo de respuesta a incidentes evite daños mayores. Mantenerse alerta ante estos ataques lentos requiere un enfoque de seguridad que priorice la búsqueda de ciertas técnicas y comportamientos que un cibercriminal o un grupo de amenazas persistentes avanzadas puedan usar, en lugar de buscar piezas específicas de malware.

En otras palabras, asegúrese de que la tecnología con la que cuenta su organización sea suficiente para protegerse de lo desconocido. Es posible que muchos días cero nunca lleguen a un disco duro, por lo que apuntar las herramientas de detección de amenazas podría ser inútil.

La aplicación de parches es una parte integral de la protección contra vulnerabilidades. Tan pronto como se haga pública una vulnerabilidad de día cero en la Dark Web o en foros más legítimos como GitHub, la mayoría de los proveedores desarrollarán un parche.

Sin embargo, las vulnerabilidades de día cero son aquellas que el proveedor no sabe que existen y, por lo tanto, no hay ningún parche disponible. Es muy difícil defenderse de estos sin protecciones y detecciones que sean lo suficientemente amplias para identificar tácticas, técnicas y procedimientos.

En algunos casos, las tecnologías de protección pueden usar detecciones de comportamiento para bloquear ciertas actividades, mientras que en otros casos, el uso de tecnologías de detección o la experiencia humana en un centro de operaciones de seguridad es la única defensa.

Sobre todo, es importante invertir en el elemento humano de la seguridad, lo cual colocará a una organización en la mejor posición para limitar las pérdidas financieras y de datos en las que pueden incurrir los días cero. Al tener visibilidad de todos los aspectos de un ecosistema, un equipo de seguridad puede detectar más fácilmente indicios de que un día cero podría estar dirigido contra ellos e implementar los parches necesarios.

Afortunadamente, aunque se están descubriendo más días cero que nunca, todavía son relativamente raros en el mundo de la ciberseguridad. Hasta los últimos años, los exploits de día cero en su mayoría fueron identificados y recopilados por los Estados-nación, que querían guardarlos para implementarlos cuando fuera necesario. Pero las técnicas de comercialización de grupos cibercriminales, incluidas las plataformas de ransomware como servicio, ha creado un ecosistema que incentiva la compra y venta de días cero, a menudo con el respaldo de los recursos financieros o tecnológicos de un Estado-nación.

Con atacantes tan capaces, prácticamente todas las empresas deberían estar preocupadas, desde los grandes corporativos que sirven como objetivos finales para los ciberataques, hasta las empresas más pequeñas que pueden servir como medio para iniciar una secuencia de ataques.

Por lo tanto, si bien la aplicación de parches es una preparación adecuada, la inversión en profesionales de seguridad capacitados, internos o subcontratados, es la mejor defensa contra los días cero.

Cabe mencionar, que en el primer semestre de 2022, se han explotado alrededor de 19 vulnerabilidades de día cero y la mitad de ellas eran fallas prevenibles, pues eran simplemente variantes de errores parcheados previamente y, dado que estos están estrechamente relacionados con las debilidades de seguridad que se han visto antes, se estima que las vulnerabilidades de día cero podrían ser tan avanzadas que los defensores no pueden atraparlas.

Muchos de los días cero encontrados en 2022, se presentan debido a que la vulnerabilidad anterior no se reparó por completo.

La lista de días cero de 2022 afecta a una amplia gama de plataformas, incluidas Apple iOS, Atlassian Confluence, Chromium, Google Pixel, Linux, WebKit y, por supuesto, Windows, que incluye las vulnerabilidades Follina y PetitPotam.

En algunos de estos casos, como Windows win32k y Chromium, se parchó la ruta del ataque, pero no la causa raíz, por lo que los ciberatacantes podrían desencadenar la vulnerabilidad original a través de una ruta diferente.

El objetivo es obligar a los ciberatacantes a comenzar desde cero cada vez que detectamos uno de sus exploits, con lo que ellos se ven obligados a descubrir una vulnerabilidad completamente nueva, tienen que invertir tiempo en aprender y analizar una nueva superficie de ataque, así como desarrollar un nuevo método de explotación.

Para más información, visite: https://www.silikn.com/

--

--

Founder of SILIKN

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store