De media, se necesitan siete años para descubrir un ataque de día cero, lo que significa que los atacantes disponen de todo ese tiempo para apro­ve­char las brechas de seguridad de los sistemas in­fo­r­má­ti­cos y espiar a las empresas y or­ga­ni­za­cio­nes con total libertad. Las pérdidas eco­nó­mi­cas oca­sio­na­das pueden ser inmensas.

Por todo ello, para las empresas es im­pre­s­ci­n­di­ble prestar mucha atención a la seguridad de sus sistemas in­fo­r­má­ti­cos y tomar medidas para pro­te­ge­r­se lo mejor posible contra estos ataques.

¿Qué es un ataque de día cero?

El concepto de ataque de día cero implica que a una empresa ya no le quedan días (zero day) para subsanar una brecha de seguridad antes de verse expuesta a una amenaza. Por lo general, las empresas solo detectan las vu­l­ne­ra­bi­li­da­des del software cuando ya se han oca­sio­na­do daños. En otras palabras: se dan cuenta del punto débil cuando los atacantes ya lo han de­s­cu­bie­r­to y utilizado para inyectar spyware o malware en forma de rootkits, troyanos u otros agentes ma­li­cio­sos en el sistema.

De­fi­ni­ción

En un ataque de día cero (en inglés, zero day exploit), los piratas in­fo­r­má­ti­cos apro­ve­chan una brecha de seguridad del software antes de que la vu­l­ne­ra­bi­li­dad haya sido detectada y corregida por la empresa.

De­sa­rro­llo de un ataque de día cero:

  1. El software pro­gra­ma­do por el de­sa­rro­lla­dor incluye una brecha de seguridad en algún lugar del código por error que expone los sistemas a un ataque de día cero y permite a los ci­be­r­de­li­n­cue­n­tes ma­ni­pu­lar­los o sustraer in­fo­r­ma­ción.
  2. Un atacante se da cuenta de la vu­l­ne­ra­bi­li­dad antes que la empresa. En lugar de advertir a la empresa del problema, el pirata in­fo­r­má­ti­co de­sa­rro­lla un código (llamado exploit) para apro­ve­char la brecha. Quizás no lo utilice pe­r­so­na­l­me­n­te, sino que lo venda en el mercado negro, donde obtendrá varios miles de euros por él.
  3. La empresa descubre el ataque de día cero por ca­sua­li­dad, por el aviso de un cliente o por una no­ti­fi­ca­ción de daños. No será hasta ese momento que los de­sa­rro­lla­do­res podrán crear un parche de seguridad para solventar la brecha, aunque, con toda pro­ba­bi­li­dad, el mal ya estará hecho.

¿Quién es más vu­l­ne­ra­ble?

La principal puerta de entrada para este tipo de ataques la presentan, sobre todo, los programas de grandes empresas digitales como Google, Apple y Microsoft. Es­pe­cia­l­me­n­te Microsoft es un blanco frecuente de ataques de día cero. En principio, todas las empresas que utilicen el software de estos pro­vee­do­res están en peligro de sufrirlos.

Para las empresas, el riesgo de co­n­ve­r­ti­r­se en víctima de un ataque de día cero aumenta de manera pro­po­r­cio­nal a su éxito, ya que, cuanto más crecen, más llaman la atención de los ci­be­r­cri­mi­na­les. No obstante, en los sectores altamente co­m­pe­ti­ti­vos, incluso las empresas más pequeñas pueden ser víctimas de tales ataques, que a menudo se utilizan para el espionaje in­du­s­trial.

Consejo

Desde 2014, Google ha estado ela­bo­ra­n­do una lista con los ataques de día cero más im­po­r­ta­n­tes llamada “0day – in the Wild”, que incluye empresas como Microsoft, Apple, Facebook, Adobe y Mozilla, entre otras.

¿Por qué es tan peligroso un ataque de día cero?

Los ataques ci­be­r­né­ti­cos de día cero son es­pe­cia­l­me­n­te pe­li­gro­sos, porque los piratas in­fo­r­má­ti­cos les llevan ventaja en el tiempo a sus víctimas. Pueden pasar meses y hasta años antes de que la empresa se dé cuenta de que está siendo espiada por el atacante.

El software antivirus no reconoce los zero day exploits, porque sus patrones de ataque son de­s­co­no­ci­dos y, por lo tanto, no están en ninguna base de datos. Cuando fi­na­l­me­n­te se descubre la brecha, las empresas po­te­n­cia­l­me­n­te afectadas no pueden responder de inmediato, sino que deben esperar hasta que los de­sa­rro­lla­do­res de la apli­ca­ción en cuestión hayan publicado el parche de seguridad. Solo después de instalar este parche, se re­s­ta­ble­ce la seguridad.

Por el otro lado, si el fa­bri­ca­n­te del software publica el parche, pero la empresa no lo instala por el motivo que sea, la brecha de seguridad permanece intacta.

Nota

Algunos piratas in­fo­r­má­ti­cos no solo ofrecen ataques de día cero en el mercado negro, sino también a pro­vee­do­res de software que, de este modo, pueden poner a salvo sus productos.

¿Cómo pueden las empresas pro­te­ge­r­se contra los ataques de día cero?

Pro­te­ge­r­se contra los ataques de día cero es co­m­pli­ca­do. Sin embargo, existen varias medidas de seguridad que pueden minimizar las po­si­bi­li­da­des de verse afectado, incluso en caso de ataque.

Si bien el software antivirus tra­di­cio­nal no detecta los zero day exploits debido a la firma de­s­co­no­ci­da del virus, las so­lu­cio­nes de seguridad basadas en el co­m­po­r­ta­mie­n­to pueden dar buenos re­su­l­ta­dos en estas si­tua­cio­nes. Los sistemas de detección y pre­ve­n­ción de intrusos (IDS e IPS re­s­pe­c­ti­va­me­n­te) utilizan al­go­ri­t­mos y heu­rí­s­ti­cas para su­pe­r­vi­sar el mo­vi­mie­n­to de los datos y el acceso a la in­fo­r­ma­ción de la empresa, emitiendo alertas o tomando medidas de pro­te­c­ción au­to­má­ti­ca­me­n­te cuando se detectan anomalías.

El peligro por el uso indebido de los datos también se puede minimizar im­ple­me­n­ta­n­do sistemas de cifrado, au­to­ri­za­ción y controles.

En principio, como cada programa re­pre­se­n­ta una puerta de entrada a un ataque de día cero, el número de apli­ca­cio­nes in­s­ta­la­das en la empresa debe reducirse al mínimo necesario. Asimismo, siempre se debe ejecutar y utilizar la versión más actual del software, incluidas todas las ac­tua­li­za­cio­nes de seguridad di­s­po­ni­bles. Las apli­ca­cio­nes que no se utilicen deben eli­mi­nar­se de los di­s­po­si­ti­vos.

Aunque estas medidas no ga­ra­n­ti­zan una seguridad total, sí que pueden reducir no­ta­ble­me­n­te el riesgo de sufrir pérdidas eco­nó­mi­cas debido a un ataque de día cero.

Ir al menú principal