La Habana, Cuba. – Generalmente, cuando el desarrollador de una aplicación informática o servicio web descubre un fallo de seguridad en su sistema, rápidamente aplica una actualización o parche para solventarlo. Pero ¿qué ocurre si es el ciberdelincuente el que descubre la vulnerabilidad antes que el desarrollador y se aprovecha de ella sin que éste o los usuarios sean conscientes? Esto es lo que se conoce como una vulnerabilidad Zero Day, 0-Day o de Día Cero. A ese hecho, dedicaré la columna de hoy.

Entonces, ¿qué es un 0-day? La compañía eslovaca de seguridad informática, ESET, lo define como: “Una nueva vulnerabilidad para la cual no se crearon parches o revisiones y se emplean para llevar a cabo un ataque. El nombre 0-day (día cero) se debe a que aún no existe ninguna revisión para mitigar el aprovechamiento de la vulnerabilidad. Estas a veces se usan junto a los troyanos, rootkits, virus, gusanos y otros tipos de malware, para ayudarlos a propagarse e infectar más equipos. Pero, ¿qué significa exactamente? Antes de profundizar en el término “día cero”, se comentarán algunos vocablos relacionados con el tema.

Las palabras vulnerabilidad, exploit y ataque suelen usarse junto al concepto de día cero, y es útil entender la diferencia. Un exploit de día cero es el método que usan los hackers para atacar sistemas con una vulnerabilidad anteriormente no identificada y un ataque de día cero es el uso de un exploit de día cero para causar daños a un sistema afectado por una vulnerabilidad.

Cuando se conoce una vulnerabilidad, los desarrolladores intentan corregirla para detener el ataque. Sin embargo, a veces, pasan días, semanas o incluso meses antes de que se identifique la vulnerabilidad que dio lugar al ataque. Incluso si se publica un parche de día cero, no todos los usuarios lo implementan rápidamente. Los ataques de día cero son especialmente peligrosos debido a que las únicas personas que saben de ellos son los atacantes mismos. Una vez que se infiltran en una red, los criminales pueden atacar inmediatamente o esperar el mejor momento para hacerlo. Las organizaciones atacadas por un exploit de este tipo pueden ver tráfico inesperado o una actividad de escaneo sospechosa que proviene de un cliente o servicio.

Es frecuente la venta en el mercado negro de exploits que aprovechan las vulnerabilidades. Su precio se establece con base a su impacto y el número de dispositivos vulnerables. Un ataque de día cero se considera uno de los más peligrosos instrumentos de una guerra informática.

Los ataques día cero ocurren cuando una vulnerabilidad tiene una ventana de tiempo existente entre el tiempo en el que se publica una amenaza y el tiempo en el que se publican los parches que las solucionan. Normalmente esos parches son preparados por los propios responsables del programa defectuoso en cuestión. La línea de tiempo que se emplea para virus y troyanos, entre otros, es la siguiente: Publicación del ataque o exploit al mundo, Detección y estudio del problema, Desarrollo de una solución al mismo, Publicación del parche (o firma del virus si procede), para evitar el exploit, Distribución e instalación del parche en los sistemas de los usuarios y actualización de los antivirus.

Ese proceso puede durar horas o incluso días. Todo el tiempo que dura el proceso es el que dura la ventana de vulnerabilidad.

Algunos ejemplos de ataques de día cero son los siguientes:

Stuxnet fue uno de los ejemplos más famosos de un ataque de día cero. Aunque se descubrió por primera vez en el 2010, sus orígenes se remontaban al 2005. Ese malware afectaba a de controlador lógico programable (PLC). Su objetivo principal eran las plantas de enriquecimiento de uranio de Irán con el fin de interrumpir el programa nuclear del país. El gusano infectaba los PLC mediante vulnerabilidades en el software Siemens Step7, provocando que los PLC ejecutaran comandos inesperados en la maquinaria de la línea de ensamblaje. En 2019 un exploit de día cero abusaba de una vulnerabilidad de privilegio local en Windows para ejecutar código arbitrario, instalar aplicaciones y ver y cambiar los datos en aplicaciones comprometidas. La diana fueron instituciones gubernamentales en Europa del Este. En el 2020 se encontró una vulnerabilidad en la plataforma de videoconferencias Zoom. Ese ejemplo de ataque de día cero involucró a hackers que accedían de forma remota a la computadora de un usuario si utilizaban una versión antigua de Windows. Si el blanco era un administrador, el hacker podía apoderarse por completo de su equipo y acceder a todos sus archivos. En el 2021, Google Chrome sufrió una serie de amenazas de día cero, la cual se debió a un error en el motor V8 JavaScript que se utiliza en el navegador web.

Cuando se trata de vulnerabilidades, la medida más importante que se debe seguir para proteger la seguridad y privacidad es la de mantener activadas todas las herramientas de protección de las que se disponga. Un antivirus instalado y actualizado puede suponer la diferencia entre un dispositivo infectado y una amenaza contenida. Otra medida fundamental es la de mantener actualizado todo el software que se utilice. Las actualizaciones no son un capricho del desarrollador, sino parches de seguridad que solucionan errores, cierran brechas y vulnerabilidades que han sido descubiertas, como es el caso de las de día cero.

Finalmente, para añadir una capa extra de seguridad, se puede identificar el software que se tiene instalado y realizar suscripción al boletín y avisos de actualidad de la OSI, en el caso de Cuba muchas veces se hace difícil porque los fabricantes lo impiden por el bloqueo. Sin embargo, los administradores de redes tienen forma de lograrlo. De ese modo, se estás al tanto de posibles novedades y amenazas relacionadas con el sistema operativo, programa o la app.

Otro medio para evitar esos ataques es esperar un tiempo razonable para actualizar una versión. Las vulnerabilidades del nuevo software suelen ser resueltas en las primeras actualizaciones del mismo. Es recomendable actualizar el software para arreglar los posibles fallos existentes en el mismo

Concluyendo, como usuarios no siempre depende de nosotros la tarea de proteger los equipos de los ciberataques, pero sí se tiene la responsabilidad de asegurar que se mantengan activas todas las herramientas de protección, así como seguir las pautas y buenas prácticas de las que disponemos para marcar la diferencia. Recuerde que la seguridad depende del eslabón más débil del sistema, que casi siempre es el ser humano.

Aquí termino, hable con el administrador de su red y chequee el estado de su equipo, de esa forma estará más tranquilo. Ah y recuerde, si me ven por ahí, me saludan.