[13/05/2021] Un día cero es una falla de seguridad para el que el proveedor del sistema defectuoso aún no ha puesto un parche a disposición de los usuarios afectados. El nombre deriva del mundo de la piratería de contenidos digitales: si los piratas eran capaces de distribuir una copia pirata de una película o un álbum el mismo día en que salía a la venta de forma legítima (o incluso antes), se le denominaba "día cero".
El nombre evoca un escenario en el que un atacante se ha adelantado a un proveedor de software, implementando ataques que explotan el defecto antes de que los chicos buenos de la seguridad de la información sean capaces de responder. Una vez que una técnica de ataque de día cero circula por el ecosistema criminal -a menudo vendida por sus descubridores por mucho dinero- el reloj sigue corriendo para que los proveedores creen y distribuyan un parche que tape el agujero.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Vulnerabilidad de día cero vs. exploit vs. ataque
Hay tres palabras -vulnerabilidad, exploit y ataque- que a menudo se asocian con los días cero. Entender la distinción le ayudará a comprender el ciclo de vida del día cero.
Una vulnerabilidad de día cero es una falla de software o hardware que se ha descubierto y para el que no existe ningún parche. La parte del descubrimiento es la clave -no hay duda de que existe un gran número de fallas de los que literalmente nadie sabe nada, lo que plantea algunas preguntas filosóficas del tipo "¿Qué pasaría si un árbol cayera en el bosque, pero nadie lo escuchara? Pero la cuestión de quién conoce estas fallas es crucial para el desarrollo de los incidentes de seguridad. Los investigadores de seguridad de sombrero blanco que descubren una falla pueden ponerse en contacto con el proveedor de forma confidencial para que se desarrolle un parche antes de que la existencia de la falla sea ampliamente conocida. Por su parte, algunos hackers malintencionados o grupos de hackers patrocinados por el Estado pueden querer mantener en secreto el conocimiento de la vulnerabilidad para que el proveedor permanezca en la oscuridad y el agujero siga abierto.
En cualquier caso, una vulnerabilidad por sí misma es un objetivo tentador, pero nada más. Para utilizar esa vulnerabilidad para acceder a un sistema o a sus datos, un atacante debe elaborar un exploit de día cero, una técnica de penetración o un trozo de malware que se aproveche de la debilidad. Mientras que algunos atacantes diseñan estos exploits para su propio uso, otros los venden al mejor postor en lugar de ensuciarse las manos directamente.
Una vez armado con un exploit, un hacker malintencionado puede llevar a cabo un ataque de día cero. En otras palabras, una vulnerabilidad solo representa una vía potencial de ataque y un exploit es una herramienta para realizar ese ataque. Lo verdaderamente peligroso es el ataque en sí. Esto puede ser un punto de controversia dentro de la comunidad de investigación de seguridad, en la que las vulnerabilidades son a menudo descubiertas -y ocasionalmente publicadas- con la intención de aumentar la conciencia y conseguir que sean parcheadas más rápidamente. Sin embargo, los proveedores cuyas vulnerabilidades son expuestas a veces tratan esa exposición como si fuera un ataque en sí mismo.
¿Por qué son peligrosos los exploits de día cero?
Porque los exploits de día cero representan un medio para aprovechar una vulnerabilidad que aún no ha sido parcheada, son una especie de "arma definitiva" para un ciberataque. Aunque cada año se vulneran innumerables sistemas en todo el mundo, la triste realidad es que la mayoría de esas vulneraciones aprovechan agujeros conocidos por los profesionales de la seguridad y para los que existen correcciones. Los ataques tienen éxito en parte debido a la escasa higiene de la seguridad por parte de las víctimas, y las organizaciones que están al tanto de su situación de seguridad -que, al menos en teoría, deberían incluir objetivos realmente valiosos como las instituciones financieras y las agencias gubernamentales- habrán aplicado los parches necesarios para evitar ese tipo de vulneraciones.
Pero una vulnerabilidad de día cero, por definición, no puede ser parcheada. Si la vulnerabilidad no ha sido ampliamente publicitada, las víctimas potenciales pueden no prestar atención al sistema o software vulnerable y, por tanto, podrían pasar por alto las señales de actividad sospechosa. La ventaja que esto da a los atacantes significa que pueden tratar de mantener el conocimiento de la vulnerabilidad relativamente en secreto, y utilizar los exploits de día cero solo contra objetivos de alto valor, ya que el secreto no durará para siempre.
Vale la pena reiterar que la categoría de "atacantes" incluye aquí no solo a los ciberdelincuentes, sino también a los grupos patrocinados por el Estado. Se sabe que tanto las agencias de inteligencia chinas como las estadounidenses recopilan información sobre vulnerabilidades de día cero que pueden utilizar con fines de espionaje o sabotaje cibernético. Un ejemplo particularmente famoso de esto fue una vulnerabilidad descubierta en el protocolo SMB de Microsoft Windows por la Agencia de Seguridad Nacional de Estados Unidos. La NSA creó el código de explotación EternalBlue para aprovecharlo, que finalmente fue robado por hackers maliciosos que lo utilizaron para crear el gusano ransomware WannaCry.
Cuando las organizaciones afectadas se enteran de una vulnerabilidad de día cero, pueden encontrarse en un dilema, especialmente si la vulnerabilidad se encuentra en un sistema operativo o en otra pieza de software ampliamente utilizada: deben aceptar el riesgo de ataque o cerrar aspectos cruciales de sus operaciones.
Defensa contra los ataques de día cero
Aunque las vulnerabilidades y los ataques de día cero son asuntos extremadamente graves, eso no significa que sea imposible mitigarlos. Las formas de luchar contra estos ataques pueden agruparse en dos grandes categorías: lo que las organizaciones individuales y sus departamentos de TI pueden hacer para proteger su propio sistema, y lo que la industria y la comunidad de seguridad en su conjunto pueden hacer para que el entorno general sea más seguro.
Empecemos por hablar de lo que usted y su organización pueden hacer para protegerse. La buena noticia es que, incluso si no hay un parche disponible para una vulnerabilidad específica de día cero, las prácticas de seguridad estrictas pueden reducir las posibilidades de verse seriamente comprometido. El blog de Cybriant lo desglosa en los siguientes pasos:
- Practique la defensa en profundidad. Recuerde que muchas infracciones son el resultado de una cadena de ataques que explotan múltiples vulnerabilidades. Mantener sus parches al día y que su personal conozca las mejores prácticas puede romper esa cadena. Los servidores de su centro de datos pueden estar afectados por una vulnerabilidad de día cero, por ejemplo, pero si un atacante no puede vulnerar su firewall actualizado o convencer a sus usuarios de que descarguen un troyano adjunto a un correo electrónico de phishing, no podrán hacer llegar su exploit a ese sistema vulnerable.
- Esté atento a las intrusiones. Dado que es posible que no conozca la forma que adoptará un ataque de día cero, debe estar atento a cualquier tipo de actividad sospechosa. Incluso si un atacante entra en sus sistemas a través de una vulnerabilidad desconocida para usted, dejará señales reveladoras cuando empiece a moverse por su red y a filtrar información. Los sistemas de detección y prevención de intrusos están diseñados para detectar este tipo de actividad, y los antivirus avanzados pueden catalogar el código como malware basándose en su comportamiento, incluso si no coincide con ninguna firma existente.
- Bloquee sus redes. Cualquier dispositivo o servidor de su empresa podría, en teoría, albergar una vulnerabilidad de día cero, pero no es muy probable que todos lo hagan. Una infraestructura de red que dificulte a los atacantes pasar de una computadora a otra y facilite el aislamiento de los sistemas comprometidos puede ayudar a limitar el daño que puede causar. En particular, querrá implementar controles de acceso basados en roles para asegurar que los infiltrados no puedan llegar a tesoro real fácilmente.
- Asegúrese de hacer una copia de seguridad. A pesar de sus esfuerzos, es probable que un ataque de día cero pueda dejar fuera de servicio algunos de sus sistemas o dañar o borrar sus datos. Las copias de seguridad frecuentes le permitirán recuperarse rápidamente de los peores escenarios.
Pero la lucha contra los ataques de día cero no es algo que tenga que hacer usted solo. De hecho, el ecosistema de seguridad más amplio -que está formado por todos, desde investigadores hackers independientes hasta equipos de seguridad de grandes proveedores de software y hardware- tiene interés en descubrir y corregir las vulnerabilidades de día cero antes de que los hackers maliciosos puedan explotarlas.
Es cierto que los actores individuales dentro de este ecosistema a veces se enfrentan, como hemos señalado. Si un investigador de seguridad independiente se pone en contacto con un proveedor con información sobre una vulnerabilidad, el proveedor podría verlo como una amenaza en lugar de una ayuda, especialmente si el investigador es desconocido para el equipo de seguridad del proveedor. Por otro lado, los investigadores pueden sentirse frustrados si un proveedor se demora en parchear un agujero del que han sido informados y por ello publicarán información sobre la vulnerabilidad de día cero antes de que el parche esté listo, con el fin de apurar al proveedor.
Se han hecho esfuerzos para ayudar a estos diversos actores a trabajar mejor juntos, colaborando y compartiendo información de manera responsable en lugar de señalarse unos a otros. Una forma importante de conseguirlo es a través de programas de recompensas como la Iniciativa Día Cero de Trend Micro, que paga recompensas a los investigadores que informan de las fallas de seguridad de forma responsable. Aunque estos programas probablemente no puedan igualar las cantidades que los cárteles criminales desembolsan por los exploits de día cero, proporcionan un incentivo para mantener a los investigadores en el camino correcto, así como una estructura institucional que media entre los hackers de sombrero blanco y los proveedores, y mantiene abiertas las líneas de comunicación sobre el progreso hacia los parches.
Una cosa en la que los vendedores y los investigadores están generalmente de acuerdo es que los grupos patrocinados por el Estado que mantienen la información sobre las vulnerabilidades de día cero para sí mismos con fines de espionaje no ayudan a la causa de la seguridad. A raíz de las revelaciones sobre la NSA y el exploit EternalBlue, Microsoft emitió una declaración contundente en la que pedía que los gobiernos dejaran de "almacenar" vulnerabilidades y que se compartiera mejor la información.
Ejemplos de ataques de día cero
Ya hemos hablado de EternalBlue, un caso en el que el gobierno estadounidense mantuvo en secreto un exploit de día cero durante bastante tiempo. Sin embargo, estrictamente hablando, la ola de ataques que comenzó con WannaCry no fueron realmente ataques de día cero, porque Microsoft publicó un parche para su vulnerabilidad SMB no mucho antes de que comenzaran, aunque muchos sistemas seguían siendo vulnerables.
La marcha de las vulnerabilidades y ataques de día cero es implacable. He aquí algunos de los más destacados a finales del 2020 y principios del 2021:
- El proveedor de seguridad SonicWall instó a sus clientes a tomar medidas preventivas después de que sus propios sistemas fueran atacados a través de vulnerabilidades previamente desconocidas.
- Una vulnerabilidad en Microsoft Exchange Server permitió una serie de ataques vinculados a Hafnium, un grupo de hackers chino.
- Una vulnerabilidad en el navegador Chrome, de uso generalizado, fue explotada en la red antes de que Google pudiera poner a disposición un parche.
- El equipo del Proyecto Cero de Google descubrió a hackers que explotaban vulnerabilidades de día cero en Windows, iOS y Android. Los ataques se encadenaron para vulnerar los sistemas.
Basado en el artículo de Josh Fruhlinger (CSO) y editado por CIO Perú