¿Qué es un ataque de día cero?

El concepto de “día cero” hace referencia a dos elementos: las vulnerabilidades de día cero y exploits de día cero. A continuación, te explicamos de qué se trata y por qué es importante tenerlo en cuenta.

Las vulnerabilidades de día cero están relacionadas con los fallos de software o hardware que todavía no han sido descubiertos por los desarrolladores. El tiempo que tarden en reaccionar y cierren los agujeros en seguridad es fundamental para evitar ciberataques. ¿De qué tipo de vulnerabilidades hablamos? Errores en el código, falta de cifrado, ausencia de elementos de verificación…

La definición del ataque de día cero tiene su origen en los tablones de anuncios tradicionales. Antes de la llegada de internet a la mayoría de las casas, las novedades se anunciaban ahí. Se podría decir que, los programadores, al descubrir fallos en el sistema, pasarían a escribirlo en una nota y clavarla en el tablero. En las comunidades de ciberseguridad se crean bases de datos según la información que va llegando sobre ataques informáticos, pero a veces los hackers son más rápidos.

Un exploit de día cero es el código que emplean los ciberdelincuentes para aprovecharse de una vulnerabilidad que, por el motivo que sea, todavía no ha identificado el equipo de desarrollo de software. La forma en la que actúan es inyectando malware, robando información confidencial o instalando “puertas traseras” para acceder a sitios web y archivos donde no son bienvenidos.

Incluso las instituciones más prestigiosas de España pueden ser objeto de estas prácticas delictivas. A principios de agosto del 2022, el Ministerio de Ciencia e Innovación reconoció que el CSIC (Consejo Superior de Investigaciones Científicas) sufrió un ciberataque entre el 16 y el 17 de julio. Las características del gusano informático son similares al que se utilizó para atacar, meses antes, a los Institutos de Investigación Maz Planck o la NASA. Todavía queda por aclarar si se ha dictado la pérdida de información delicada o confidencial.

Pero ¿por qué un pirata informático diseña esta clase de ataques? Probablemente para publicar datos sensibles en mercados de la Dark Web.

1. Mercados negros: venden información sobre las vulnerabilidades de día cero. Es decir, entregan detalles imprescindibles para elaborar ataques de software malicioso que abusen de los propios fallos del programa.
2. Mercados grises: aquí el el objetivo es llegar a las empresas de ciberseguridad y conseguir que los investigadores vendan información a militares, agencias de inteligencia y otras autoridades.
3. Mercados blancos: es un sistema de recompensas por la divulgación de fallos de software, son los investigadores los que revelan datos confidenciales a los desarrolladores de dicho software.

En este apartado queremos centrarnos en los casos más conocidos de ataques de día cero que afectaron a diversas empresas.

Los piratas informáticos se aprovecharon de las debilidades en el sistema de Sony Pictures. Entraron en la red y robaron una serie de datos confidenciales. Entre la información que posteriormente difundieron, se incluían copias de películas que aún no se habían estrenado en cines. Y no solo eso, también acuerdos comerciales y correos electrónicos de directivos. Todavía no se sabe quién fue el culpable.

Este ataque analizó las vulnerabilidades de día cero de Windows, para, posteriormente, hacerse con el control de los equipos de la empresa. Las consecuencias fueron graves, puesto que causó enormes daños en el programa nuclear de Irán. En concreto, se vio involucrada una quinta parte de la compañía, o lo que es lo mismo, 200000 ordenadores fueron infectados.

El caso de Stuxnet resulta similar al malware que infectó a los usuarios de Zoom en 2020. Actuando como un gusano rootkit, los hackers lograron acceder a las cuentas y los dispositivos de los usuarios que no tenían instalada la última versión de Windows. Este error común puede ocurrir en la Administración o las compañías estatales, por ejemplo Renfe en España, en las que se tramita información personal de numerosos ciudadanos.

El malware Dridex encontró su oportunidad en una vulnerabilidad de Microsoft Word. En 2017, escondieron el contenido malicioso en los archivos adjuntos de MS Word. El troyano se descargaba a la vez que el usuario pensaba que solo estaba accediendo al archivo que le habían enviado. Sin embargo, el malware era un fraude bancario y afectó a millones de usuarios de todo el mundo.

• Firefox: en 2020, un error en la memoria de Firefox permitía que los hackers pudieran colocar código malicioso. Después, bastaba con activarlo e infectar el dispositivo de un usuario de internet. Anunciaron la necesidad de trabajar en un parche de emergencia, pero fue inevitable que se produjeran varios ciberataques.
• Google Chrome: a lo largo del año 2021, el buscador de Google tuvo que aplicar tres parches para eliminar los exploits de día cero.

Por supuesto, este es un problema individual importante, pero en el ámbito laboral cobra (quizá) mayor trascendencia porque este malware se propaga como una cadena a través de todos los emails empresariales o la propia red de la oficina. ¿Cuántos empleados usan a diario motores de búsqueda para realizar sus tareas? Es imprescindible que las compañías dediquen parte de sus presupuestos en la seguridad online y formen a su plantilla. Más vale prevenir que lamentar.

1. Actualiza tu software con frecuencia. Las versiones más nuevas suelen venir con soluciones mejoradas de las vulnerabilidades de modelos anteriores.
2. Mantente informado de los últimos ataques. Las bases de datos de las vulnerabilidades o posibles fallos ayudan a prevenir futuros problemas. Además, puedes tomar cartas en el asunto y empezar a usar la Protección contra amenazadas de NordVPN.
3. Cuidado con las estafas en línea. Reporta mensajes sospechosos que provienen de contactos que no están en tu agenda. Otro factor a tener en cuenta es el lenguaje empleado, por ejemplo, las faltas de ortografía o verbos que inciten a la urgencia de comprar algo.