«Día cero» es un término ámplio que describe vulnerabilidades de seguridad recién descubiertas que los hackers usan para atacar sistemas. El término «día cero» se refiere al hecho de que el proveedor o desarrollador acaba de conocer acerca de la falla, lo que significa que ha tenido «cero días» para corregirla. Un ataque de día cero ocurre cuando los hackers aprovechan la falla antes de que los desarrolladores tengan la oportunidad de solucionarla.
«Día cero» a veces suele escribirse como «día 0». Las palabras «vulnerabilidad», «exploit» y «ataque» suelen usarse junto al concepto de día cero, y es muy útil entender la diferencia:
- Una vulnerabilidad de día cero es una vulnerabilidad de software que los atacantes descubrieron antes de que el proveedor sepa siquiera de su existencia. Debido a que los proveedores desconocen este problema, no existen parches para vulnerabilidades de día cero, por lo cual es muy probable que los ataques tengan éxito.
- Un exploit de día cero es el método que usan los hackers para atacar sistemas con una vulnerabilidad anteriormente no identificada.
- Un ataque de día cero es el uso de un exploit de día cero para causar daños o robar datos a un sistema afectado por una vulnerabilidad.
¿Qué son los ataques de día cero y cómo funcionan?
A menudo, el software tiene vulnerabilidades de seguridad que los hackers pueden aprovechar para provocar el caos. Los desarrolladores de software siempre buscan vulnerabilidades para «parchear»; es decir, desarrollan una solución que lanzan en una nueva actualización.
Sin embargo, a veces los hackers o las entidades maliciosas detectan la vulnerabilidad antes de que los desarrolladores de software lo hagan. Mientras la vulnerabilidad sigue disponible, los atacantes pueden escribir e implementar un código para aprovecharse de ella. Esto se conoce como código de exploit.
El codigo de exploit puede dar lugar a que los usuarios de software sean víctimas; por ejemplo, mediante el robo de identidad u otras formas de cibercrimen. Una vez que los atacantes identifican una vulnerabilidad de día cero, necesitan una forma de comunicarse con el sistema vulnerable. Para ello, a menudo usan un correo electrónico que usa ingeniería social; es decir, un correo electrónico u otro mensaje que supuestamente proviene de un remitente conocido o legítimo, pero que realmente proviene de un atacante. El mensaje intenta convencer a un usuario que realice una acción como abrir un archivo o visitar un sitio web malicioso. Tras hacerlo, se descarga el malware del atacante, el cual se infiltra en los archivos del usuario y roba datos confidenciales.
Simplifique el duro trabajo de los departamentos de TI con la mejor seguridad. Elija un producto de endpoint que ofrezca protección instantánea y pueda crecer cuando sea necesario.
Conocer..
Cuando se conoce una vulnerabilidad, los desarrolladores intentan corregirla para detener el ataque. Sin embargo, a menudo las vulnerabilidades de seguridad no se descubren de inmediato. A veces, pueden pasar días, semanas o incluso meses antes de que los desarrolladores identifiquen la vulnerabilidad que dio lugar al ataque. Además, incluso si se publica un parche de día cero, no todos los usuarios lo implementan rápidamente. En años recientes, los hackers se han vuelto más rápidos en abusar de las vulnerabilidades apenas las descubren.
Los exploits se pueden vender en la web oscura por grandes sumas de dinero. Una vez que se descubre y corrige un exploit, ya no se conoce como una amenaza de día cero.
Los ataques de día cero son especialmente peligrosos debido a que las únicas personas que saben de ellos son los atacantes mismos. Una vez que se infiltran en una red, los criminales pueden atacar inmediatamente o esperar el mejor momento para hacerlo.
Cómo identificar ataques de día cero
Debido a que las vulnerabilidades de día cero pueden adoptar muchas formas (como cifrado de datos faltantes, autorizaciones faltantes, algoritmos rotos, fallas, problemas con la seguridad de contraseñas, etc.), pueden ser muy difíciles de detectar. Debido a la naturaleza de este tipo de vulnerabilidades, la información detallada de los exploits de día cero solo está disponible una vez que se identifica el exploit.
Las organizaciones atacadas por un exploit de día cero pueden ver tráfico inesperado o una actividad de escaneo sospechosa que proviene de un cliente o servicio. Algunas técnicas de detección de día cero incluyen lo siguiente:
- Usar bases de datos de malware existentes y la forma en que se comportan como referencia. A pesar de que estas bases de datos se actualizan con mucha rapidez y pueden ser útiles como un punto de referencia, los exploits de día cero son nuevos y desconocidos por definición. Por lo tanto, existe un límite en la cantidad de información que puede brindar una base de datos existente.
- Alternativamente, algunas técnicas buscan características de malware de día cero según la forma en que interactúan con el sistema objetivo. En lugar de examinar el código de archivos entrantes, esta técnica examina sus interacciones con el software existente e intenta determinar si provienen de acciones maliciosas.
- El aprendizaje automático se usa cada vez más para detectar datos desde exploits antes detectados, a fin de establecer una base para una conducta segura de sistema según los datos de interacciones actuales y anteriores con el sistema. Mientras más datos haya disponibles, más confiable se vuelve la detección.
NORTH NETWORKS es Distribuidor Oficial y brinda licencias nuevas, renovaciones y servicios profesionales de las herramientas mas importantes.
Pongase en contacto y le ayudaremos a analizar sus requerimientos para poder brindarle la herramienta que mejor se ajuste a sus proyectos.
Si te ha gustado, ¡compártelo con tus amigos!
