Solicita información

0-day o día cero: claves, riesgos y consejos para su prevención

Los ataques de 0-day son después de los ataques intencionados o errores no intencionados cometidos por el propio personal interno. El riesgo más importante de seguridad de la información.

En el mundo actual, en el que la sociedad —tanto los particulares como las organizaciones— están hiperconectados a Internet y dependen en su día a día de la tecnología, los ciberataques son uno de los mayores riesgos al que nos enfrentamos. Filtraciones de información confidencial o sensible que suponen una ventaja económica y competitiva para quien la consigue y un perjuicio para quien la sufre, secuestros de información importante para las organizaciones a las que se le solicita un rescate, robos de identidad con los que se comete fraude… A estas circunstancias hay que añadirles los ataques de 0-day, que son aquellos que utilizan o explotan una vulnerabilidad no conocida públicamente en los sistemas y aplicaciones objeto del ataque para conseguir sus fines maliciosos.

Todos dependemos de sistemas y aplicaciones en nuestra vida, tanto personal como profesional, pero estos sistemas y aplicaciones han sido diseñados y desarrollados por personas y es, por ello, que no son perfectos. Estos tienen errores en su diseño o programación, configuraciones no seguras que han pasado por alto algún riesgo de seguridad de la información (acceso no autorizado, ejecución de código remoto, etc.) o utilizan componentes o librerías de terceros que pueden tener los mismos problemas… es decir: están afectados por vulnerabilidades de seguridad.

Los fabricantes tecnológicos de estos sistemas y aplicaciones van descubriendo estas vulnerabilidades por múltiples vías y van corrigiéndolas mediante la publicación de actualizaciones o parches de seguridad para aplicar en los sistemas y aplicaciones afectados por las vulnerabilidades que corrigen. Si estas vulnerabilidades no son subsanadas, pueden ser utilizadas por personas malintencionadas para atacar estos sistemas y aplicaciones mediante técnicas que aprovechan esta vulnerabilidad, conocido como exploit, para conseguir ejecutar sus fines maliciosos.

zero-day

¿Cómo podemos protegernos contra los ataques de 0-day?

Al tratarse de exploits o malware que utilizan vulnerabilidades recientemente identificadas es muy difícil prevenir este tipo de ataques, precisamente porque al tratarse de día cero los fabricantes o desarrolladores aún no han tenido la posibilidad de subsanarlas mediante algún parche o actualización de seguridad.

Recientemente, aprovechando el gran desarrollo que está experimentando la inteligencia artificial, se están desarrollando soluciones de seguridad para proteger los equipos y sistemas (endpoints) y, por lo tanto, también las aplicaciones que se ejecutan en ellos, que se basan en una protección clásica basada en firmas para detectar malware conocido (virus, troyanos, gusanos, etc.), así como en comportamiento, conocidas como EDR (endpoint detection and response).

Las soluciones de protección de los endpoints basadas en comportamiento —como los EDR— aprenden la conducta normal de los equipos o sistemas y las aplicaciones que ejecutan y de los usuarios de estos y son capaces de prevenir o alertar cuando detectan acciones o actividades anormales que se desvían de lo que es el comportamiento normal. Es aquí donde son capaces de detectar algunos ataques de día cero, ya que implican una serie de acciones que se desvían de la normalidad.

En general, las soluciones de seguridad basadas en inteligencia artificial y que analizan el comportamiento tanto de los equipos y sistemas como de las aplicaciones que corren en ellos y los usuarios, son buenas aproximaciones para prevenir muchos de los ataques de 0-day. Están empezando a extenderse las soluciones UEBA (User Behavior Analytics), NTA (Network Traffic Analytics), etc. que son buenas medidas de protección frente a este tipo de ataques.

zero-day

Además, mantener los equipos actualizados de manera diaria nos asegura la instalación de parches y actualizaciones que corrigen vulnerabilidades de día cero, si bien desde que son detectadas hasta que son subsanadas en ausencia de otras medidas de protección estaremos desprotegidos.

Una medida de seguridad que están implementando muchas organizaciones es el uso de honeypots o sistemas de deception. Estos consisten en sistemas trampa o señuelos que simulan un sistema real (por ejemplo un servidor) para que los ataques sean dirigidos hacia él y poder recabar información de los mismos (indicadores de compromiso o IoCs de este como su procedencia, etc.) para protegerse frente a ellos. Además, evita que los ataques sean dirigidos contra los sistemas reales.

Ejemplos de ataques de 0-day

  • Stuxnet en el 2010:gusano que atacó los sistemas de control de las plantas de uranio enriquecido de Irán para hacerlos indisponibles utilizando una vulnerabilidad de día cero de Windows.
  • En el año 2014, utilizando otra vulnerabilidad no detectada se ejecutó un ataque de zero-day contra Sony con el que se filtró información sensible o confidencial (contratos, guiones, etc.).
  • Quizás el más conocido de los ataques de 0-day fue el perpetrado por hackers rusos en la campaña presidencial estadounidense de 2016 contra Hilary Clinton, utilizando vulnerabilidades no conocidas de Flash y Java y que permitieron la filtración de emails confidenciales y con los que consiguieron influir en las elecciones.

zero-day

Los ataques que utilizan las vulnerabilidades de 0-day generalmente son del tipo APT (Advanced Persistent Threat). Las amenazas persistentes avanzadas son ataques que utilizan estas vulnerabilidades para conseguir la intrusión en una red y mediante procesos maliciosos, malware, otras vulnerabilidades, movimientos laterales y escalado de privilegios acceder a los sistemas críticos e información sensible de las organizaciones para conseguir sus objetivos.

Los ataques de 0-day son uno de los peligros o riesgos más importantes para la seguridad de la información a los que se enfrentan las organizaciones y los particulares actualmente, al tratarse de ataques desconocidos para los que no hay un parche o actualización que los evite. Actualmente, las soluciones de seguridad que utilizan la IA para proteger en base al comportamiento son la mejor aproximación para detectarlos y mitigarlos.

    Títulos que te pueden interesar

    Noticias relacionadas

    ¿Qué son las 7 herramientas básicas para la calidad?

    Las 7 herramientas de calidad permiten obtener los datos necesarios para solucionar problemas relacionados con la calidad en cualquier ámbito.

    EMARISMA y UNIR renuevan su acuerdo de formación en gestión de ciberseguridad

    El Máster Universitario en Seguridad Informática experimenta la realidad de la gestión de la seguridad de la información mediante el uso de eMARISMA.

    El cross docking: claves y ventajas

    El cross docking es un sistema de logística que permite acelerar los plazos de entrega, ya que la mercancía se distribuye sin pasar por la fase de almacenamiento.

    Docencia 100% online

    Nuestra metodología te permite estudiar sin desplazarte mediante un modelo de aprendizaje personalizado

    Clases en directo

    Nuestros profesores imparten 4.000 horas de clases online a la semana. Puedes asistir en directo o verlas en otro momento

    Mentor - UNIR

    En UNIR nunca estarás solo. Un mentor realizará un seguimiento individualizado y te ayudará en todo lo que necesites

    La fuerza que necesitas

    Nuestra vida académica y social

    Acompañamiento personalizado