¿Qué es un ataque de día cero y qué consecuencias tiene para las empresas?

Cuando un hacker logra explotar la vulnerabilidad de un software antes de que el desarrollador la repare, esta acción recibe el nombre de ataque de día cero.

A veces, en el ajetreo del trabajo diario, los desarrolladores sobreestiman la fortaleza de su software. Sí, están acostumbrados a realizar pruebas y generar parches de forma constante para corregir vulnerabilidades; sin embargo, no siempre tienen un sistema formal para actualizarlo constantemente, en vez de sólo crear parches cuando descubren errores o aparecen nuevos exploits.

Esto deja al software desprotegido con vulnerabilidades desconocidas hasta que un hacker las encuentra y explota a su favor. El ataque de día cero es un exploit que la persona o empresa desconoce hasta darse cuenta de que algo está fallando, sin tener la oportunidad de detectarlo a tiempo ni crear un parche para solucionarlo.

Este tipo de ataque no es el más difundido, pero sí tiene un lugar especial en el ciberespacio, pues ya representa 14% de los ataques hacia los pequeños negocios, según estadísticas compiladas por PurpleSec. Y si hablamos de datos generales, MIT Technology Review estima que en 2021 han habido por lo menos 66 exploits de día cero, casi duplicando la cantidad de ataques que hubo en 2020 (este dato representa únicamente los casos que descubrieron, no necesariamente todos los que existieron).

¿Cómo descubren los hackers las vulnerabilidades?

Todo empieza cuando un actor malintencionado utiliza un programa para detectar una vulnerabilidad antes de que el propio desarrollador la encuentre o corrija. En este caso existen tres opciones: reportar la falla al proveedor del software, vender la información a un bróker en el mercado negro para que alguien la compre, o implementar un código de explotación mientras la vulnerabilidad sigue ahí.

Luego de ejecutar el ataque, la audiencia o empresa vulnerada se da cuenta del exploit, ya sea porque le robaron sus datos o identidad, o porque su sistema dejó de funcionar correctamente.

¿Qué peligros representan estos ataques?

Cada día proliferan más las herramientas de hacking y los grupos poderosos que quieren cosechar sus recompensas. La mayoría de los actores involucrados están motivados por el dinero, ya sea el que pueden robar de una compañía grande o el de muchos usuarios pertenecientes a bases de datos de empresas pequeñas y medianas.

El primer problema es que este tipo de ciberataque no siempre se detecta rápido. Puede tomar horas, días o hasta meses descubrir las ramificaciones del ataque, y llegar a ser muy tarde para remediarlo.

El segundo problema es que no se puede clasificar en una sola categoría, ya que el ataque de día cero depende de la vulnerabilidad que exista en el sistema, la cual puede ser una inyección SQL, un cifrado de datos faltante, un algoritmo roto, un mal redireccionamiento o algún error con las contraseñas de seguridad. Sin embargo, también es una buena noticia porque significa que los hackers podrían tardar tiempo en encontrar la falla.

Como sucede con otros ciberataques, el impacto de los zero-day puede ser diverso:

• Robo de datos sensibles de compañías, empleados y clientes, los cuales pueden usar para robarles dinero, venderlos a otros criminales en la dark web o extorsionarlos.
• Acceso y control no autorizado de tu red, sitio web, servidor, programa o cualquier otro sistema, donde pueden instalar alguna técnica de phishing o malware para enviar mensajes maliciosos a tu lista de contactos.
• Pérdida de operaciones y productividad cuando afectan a tus máquinas de producción, de comunicación electrónica y otros sistemas importantes.
• Implicaciones legales cuando tienes que demostrar a las autoridades que la pérdida de datos confidenciales provino de un ataque externo,
• Pérdidas económicas, especialmente en las industrias de banca y servicios financieros.
• Daño a la reputación de tu organización.

El nivel de los ataques día cero (ejemplos actuales)

Hace poco tiempo, la empresa Pulse Secure (que ofrece uno de los servicios de SSL VPN más populares a nivel mundial), estuvo en el ojo del huracán. ¿El motivo? Sus dispositivos VPN SSL Pulse Connect Secure tenían por lo menos cuatro vulnerabilidades críticas que alguien explotó a su favor.

Este ataque afectó a numerosas empresas de la lista Fortune 500, organizaciones europeas y agencias gubernamentales de Estados Unidos. Se cree que hubo hackers chinos detrás de la embestida y que había una importante intención de espionaje para robar documentos confidenciales. Lo que pueden hacer con esos archivos es motivo de preocupación, especialmente para los organismos gubernamentales.

Pero existen casos más identificables y cercanos. Por ejemplo, durante la pandemia de Covid-19, Zoom se volvió una herramienta popular para los trabajadores a distancia. Desafortunadamente, esta plataforma también fue el blanco de un ataque día cero: los usuarios que usaban Windows 7 o versiones anteriores tenían una vulnerabilidad que permitió a los atacantes acceder a todos sus archivos.

Detección y prevención de un ataque de día cero

Incluso si estás tomando medidas de precaución como la actualización de tu software y la creación constante de parches, tu empresa sigue estando en riesgo de recibir ataques como los de día cero, DDoS, troyanos, etc. No te cierres a la posibilidad de contratar a especialistas, o buscar soluciones diseñadas para detectar intrusiones y tomar cartas en el asunto.

Dentro de las soluciones de seguridad puedes considerar un firewall que te proteja ante amenazas, un antivirus empresarial, un sistema de prevención de intrusos, un programa de backups automáticos y un plan de recuperación ante desastres, por mencionar los más importantes.