Los ataques denominados como «Zero-Day» son uno de los incidentes de seguridad más temidos y peligrosos, además, cerca del 80% de ataques a gran escala que se producen son debido a un Zero-Day en dispositivos hardware o software. Este tipo de ataques afectan tanto a usuarios domésticos como entornos corporativos. Ahora bien, ¿por qué nos referimos a estos ataques como «Zero-Day»? Vamos a poner en contexto a uno de los tipos de ataques más peligrosos y con justa razón, temidos.
Qué son los ataques Zero-Day
¿Cómo sabemos si estamos ante un ataque de día cero (Zero-Day)? Cuando las vulnerabilidades son nuevas o desconocidas por las distintas soluciones que los detectan, se denominan ataques Zero-Day. En consecuencia, a éstas se las conoce como vulnerabilidades de día cero. Estos ataques tienen la particularidad de sacar provecho de tales vulnerabilidades aún no identificadas, así también de variantes de malware para explotar un determinado fallo de seguridad. El mundo del cibercrimen se caracteriza por descubrir y aprovechar rápidamente toda vulnerabilidad o problema que pueda existir dentro de un sistema o una máquina. Recordemos que los hackeos en general, no se reservan al software sino al hardware también.
Es crucial que los profesionales involucrados en estos tipos de sistemas, hagan todo lo posible para mantener las bases de datos al día y las funcionalidades preparadas. Éstos sistemas, que pueden ser de detección o prevención, deberían de estar siempre preparados para los ataques conocidos, y si es posible, anticiparse a lo que pueda venir. En consecuencia, nosotros los usuarios tendremos más herramientas para estar debidamente protegidos con eficaces soluciones de antivirus y antimalware.
Tipos de ataques
Como puedes ver estos ataques se refieren a las amenazas que explotan vulnerabilidades desconocidas. Pero cuando hablamos de ataques Day Zero, no nos referimos a un solo tipo de ataque. En Internet nos podemos encontrar con muchas variaciones de ellos, los cuales tiene variaciones en la ejecución con respecto al conocimiento de la vulnerabilidad. Pero si nos podemos referir a algunos de ellos, como los más comunes dentro de este contexto. Estos son:
- Ataques de Ejecución de código: Estos se aprovechan de las vulnerabilidades para poder ejecutar código malicioso en el sistema. Sin ir más lejos, un simple documento mal formateado, podría explotar una vulnerabilidad en un procesador de textos para que el código se ejecute al abrirlo.
- Desbordamiento de Búfer: Ocurren cuando los atacantes ingresan muchos más datos de los que el programa puede recibir. Lo cual lleva al equipo a realizar una sobreescritura de memoria, y potencialmente, permitir la ejecución de código malicioso.
- Elevación de privilegios: Estos ataques consisten en que atacantes que ya cuentan con un acceso limitado a un servicio, puedan explotar una vulnerabilidad que eleve estos permisos. Por lo cual tendrán privilegios más altos, así como derechos de administrador.
- Ataques de inyección: Su labor es introducir datos maliciosos en los softwares, los cuales se ejecutan más tarde como comandos. Puede ser, por ejemplo, la inyección SQL, donde se introducen comandos maliciosos en consultas SQL que el sistema realiza.
- Secuestro de sesión: La función de este ataque es buscar algún error que explote, y así poder tomar el control de la sesión de algún usuario que la tiene iniciada. De este modo, podrá manejar el equipo como si fuera ese usuario. Con todas las consecuencias.
- Basados en navegadores: Se dirigen a vulnerabilidades en los navegadores como tal. Y pueden permitir que los atacantes ejecuten código solo con que la víctima acceda a una página web en específico.
Es importante analizar, que independientemente de la función del ataque, cualquier software puede tener vulnerabilidades Zero Day. Estas son muy explotadas por los atacantes, y más cuando se trata de programas muy famosos o donde el ataque es más sencillo para tratar de sacar todo el provecho posible. Por lo cual se deben seguir las normas básicas de seguridad, que nos ayudarán a que nuestro equipo no se quede tan expuesto ante estos posibles ataques.
Por qué ocurren este tipo de ataques
Para un atacante, descubrir una vulnerabilidad de tipo día cero y atacar en base a ello tiene sus ventajas. El tiempo de respuesta y recuperación después de haberse detectado el ataque puede ser muy alto, y pasar días hasta que el fabricante o la comunidad lance un parche que solucione el problema, ya que se debe saber acerca de qué trata el ataque, por qué se dio, cuál es la causa raíz y qué hacer para poder solucionarlo. Además, también debemos tener en cuenta el tiempo que se tarda desde que se lanza el parche hasta que todos los usuarios afectados lo instalan, ya que no es instantáneo.
Un factor preocupante es que estos tipos de ataques no paran de aumentar en cuanto a frecuencia, y es posible que se dupliquen durante el año 2020. Los perjuicios que son causados por este tipo de ataques pueden alcanzar los millones de dólares fácilmente.
¿Qué puedo hacer para evitar ataques de día cero?
Haciendo énfasis en lo que uno puede (y debe) hacer, la medida más importante es proteger tu dispositivo. Sin embargo, el sólo hecho de instalar un antivirus, malware o una completa solución de seguridad no es suficiente. Es importante que sepamos manejar lo esencial o bien, lo más importante de estas herramientas para sacar verdadero provecho y garantizar protección.
Otra medida importante que debemos aplicar es mantener actualizado el software que utilizas. Tanto el sistema operativo como los distintos programas que utilizas. Éstos se actualizan porque incluyen parches de seguridad ante vulnerabilidades y ataques de día cero que han sido descubiertos. Muchas personas han sido víctimas de ataques por la sencilla razón de no haber mantenido actualizado sus programas.
La complejidad de los ataques Zero-Day es muy alta. He ahí la importancia de que, además de las personas que trabajan en tecnología, todas las personas en general deben estar atentos y tomar medidas proactivas. Tal vez no sea posible mitigar en un 100% cualquier tipo de ciberataque pero igualmente, llegar a un importante nivel de resistencia hacia ellos puede marcar la diferencia al momento de notar la reducción de sus impactos.