Un ataque de día cero (también conocido como Zero Day) es un ataque que aprovecha una debilidad de seguridad del software potencialmente grave que el proveedor o desarrollador puede desconocer.
El desarrollador de software debe apresurarse a resolver la debilidad tan pronto como se descubre para limitar la amenaza a los usuarios de software. La solución se llama parche de software.
Los ataques de día cero también se pueden utilizar para atacar el Internet de las Cosas.
Un ataque de día cero recibe su nombre del número de días que el desarrollador de software ha conocido el problema.
¿Qué es un Ataque Zero Day?
- Un ataque de día cero es un ataque relacionado con el software que aprovecha una debilidad que un proveedor o desarrollador desconocía.
- El nombre proviene de la cantidad de días que un desarrollador de software ha conocido el problema.
- La solución para solucionar un ataque de día cero se conoce como parche de software.
- Los ataques de día cero se pueden prevenir, aunque no siempre, mediante software antivirus y actualizaciones periódicas del sistema.
- Existen diferentes mercados para los ataques de día cero que van desde legales hasta ilegales. Incluyen el mercado blanco, el mercado gris y el mercado oscuro.
Comprender un ataque de día cero
Un ataque de día cero puede implicar malware, adware, spyware o acceso no autorizado a la información del usuario. Los usuarios pueden protegerse contra ataques de día cero configurando su software (incluidos sistemas operativos, software antivirus y navegadores de Internet) para que se actualice automáticamente e instalando rápidamente cualquier actualización recomendada fuera de las actualizaciones programadas periódicamente.
Dicho esto, tener un software antivirus actualizado no necesariamente protegerá a un usuario de un ataque de día cero, porque hasta que la vulnerabilidad del software se conozca públicamente, es posible que el software antivirus no tenga forma de detectarla. Los sistemas de prevención de intrusiones en el host también ayudan a proteger contra ataques de día cero al prevenir y defenderse contra intrusiones y proteger los datos.
Piense en una vulnerabilidad de día cero como la puerta de un automóvil abierta que el propietario cree que está cerrada pero un ladrón descubre que está abierta. El ladrón puede entrar sin ser detectado y robar cosas de la guantera o del maletero del propietario del automóvil que tal vez no se den cuenta hasta días después, cuando el daño ya está hecho y el ladrón ya no está.
Si bien las vulnerabilidades de día cero son conocidas por ser explotadas por piratas informáticos criminales, también pueden ser explotadas por agencias de seguridad gubernamentales que quieran utilizarlas para vigilancia o ataques. De hecho, hay tanta demanda de vulnerabilidades de día cero por parte de las agencias de seguridad gubernamentales que ayudan a impulsar el mercado de compra y venta de información sobre estas vulnerabilidades y cómo explotarlas.
Los exploits de día cero pueden divulgarse públicamente, divulgarse únicamente al proveedor de software o venderse a un tercero. Si se venden, se podrán vender con o sin derechos exclusivos. La mejor solución a una falla de seguridad, desde la perspectiva de la empresa de software responsable, es que un hacker ético o un sombrero blanco revele de forma privada la falla a la empresa para que pueda solucionarse antes de que los piratas informáticos criminales la descubran.
Pero en algunos casos, más de una parte debe abordar la vulnerabilidad para resolverla por completo, por lo que una divulgación privada completa puede resultar imposible.
Mercados para ataques de día cero
En el mercado oscuro de la información de día cero, los piratas informáticos delincuentes intercambian detalles sobre cómo atravesar software vulnerable para robar información valiosa. En el mercado gris, los investigadores y las empresas venden información a militares, agencias de inteligencia y fuerzas del orden. En el mercado blanco, las empresas pagan a piratas informáticos de sombrero blanco o investigadores de seguridad para que detecten y revelen vulnerabilidades de software a los desarrolladores para que puedan solucionar los problemas antes de que los piratas informáticos criminales puedan encontrarlos.
Dependiendo del comprador, el vendedor y la utilidad, la información de día cero puede valer entre unos pocos miles y varios cientos de miles de dólares, lo que la convierte en un mercado potencialmente lucrativo en el que participar.
Antes de que se pueda completar una transacción, el vendedor debe proporcionar una prueba de concepto (PoC) para confirmar la existencia del exploit de día cero. Para aquellos que quieran intercambiar información de día cero sin ser detectados, la red TOR permite realizar transacciones de día cero de forma anónima utilizando Bitcoin.
Los ataques de día cero a veces pueden ser una amenaza menor de lo que parecen. Los gobiernos pueden tener formas más fáciles de espiar a sus ciudadanos y los días cero pueden no ser la forma más eficaz de explotar a empresas o individuos.
Un ataque debe desplegarse estratégicamente y sin el conocimiento del objetivo para que tenga el máximo efecto. Desatar un ataque de día cero en millones de computadoras a la vez podría revelar la existencia de la vulnerabilidad y hacer que se lance un parche demasiado rápido para que los atacantes logren su objetivo final.
Ejemplo más reciente, el navegador web Chrome de Google ha sido objeto de varios vectores de ataque y exploits. Solo en 2022, Google instó a los usuarios de Chrome a actualizar sus navegadores en no menos de cuatro ocasiones distintas, citando una serie de ataques de día cero.
¿Por qué se llama ataque de día cero?
El término “día cero” (o día 0) se utiliza para un exploit o pirateo de software en referencia al hecho de que el desarrollador o creador del programa en riesgo acaba de darse cuenta de ello, por lo que literalmente tienen cero días para poder arreglarlo.
¿Cómo se solucionan los ataques de día cero?
Una vez que un desarrollador se entera de un ataque de día cero, el exploit generalmente se identifica y soluciona rápidamente mediante un parche o una actualización de software.
¿Cuál fue el ataque de día cero más famoso?
Si bien, existen muchos ejemplos destacados de día cero, muchos citan el hackeo de Sony Pictures de 2014 que utilizó una vulnerabilidad no reconocida previamente para instalar malware sin ser detectado, que luego se utilizó para eliminar o dañar archivos relacionados con nuevas películas, causando millones de dólares. en daños y una reputación dañada por la aparente falta de seguridad de Sony.
Muchos creen que el ataque fue llevado a cabo por agentes norcoreanos en respuesta al estreno de la película “The Interview”, que parodiaba al líder de Corea del Norte, Kim Jong Un.