Exploits de día cero - Ataques antes de que existan parches
Lectura de 2 min aprox.
Un ataque de día cero (Zero-Day Attack) es un ataque que explota una vulnerabilidad del software durante el intervalo que va desde que se descubre la vulnerabilidad hasta que se publica un parche de corrección. El nombre proviene de que los desarrolladores disponen de «cero días» de margen desde que toman conciencia de la vulnerabilidad hasta que aplican las contramedidas. Como no existe ninguna firma conocida, al software de seguridad convencional le resulta difícil detectarlo. En 2024, el Threat Analysis Group de Google confirmó 97 explotaciones de vulnerabilidades de día cero en un solo año, una cifra en aumento respecto al año anterior.
Casos de uso reales
«Se ha divulgado una vulnerabilidad de día cero en el dispositivo VPN que utilizamos y, según dicen, tardarán 48 horas en proporcionar un parche. Como medida provisional, reforzamos las restricciones de acceso al puerto afectado y añadimos la detección del patrón de ataque mediante una regla personalizada del IPS.»
Cronología de un ataque de día cero
Antecedentes históricos
Los ataques de día cero atrajeron la atención internacional en 2010 con Stuxnet. Este malware, supuestamente desarrollado por Estados Unidos e Israel, explotó cuatro vulnerabilidades de día cero para destruir las centrifugadoras de la instalación nuclear de Irán. Fue el primer caso públicamente conocido de uso de un día cero como arma cibernética. En 2021, Log4Shell (la vulnerabilidad de Log4j) fue explotada por atacantes de todo el mundo a las pocas horas de su divulgación, lo que demostró la urgencia de aplicar parches. Las vulnerabilidades de día cero alcanzan un alto valor de mercado: se dice que una vulnerabilidad de ejecución remota de código en iOS se negocia por varios millones de dólares en el mercado de intermediarios.
Características de los ataques de día cero
Las vulnerabilidades de día cero se comercian a precios elevados en la dark web y también se utilizan en ciberataques a nivel estatal. Incluso después de descubrir una vulnerabilidad, los atacantes pueden mantenerla en secreto y explotarla de forma encubierta durante mucho tiempo.libros sobre ataques de día cero (Amazon) te ayudarán a conocer casos y contramedidas.
Cómo plantear la defensa
Un error común es pensar que «los ataques de día cero no se pueden prevenir, así que las contramedidas son inútiles». Aunque la prevención total es difícil, la defensa en profundidad permite reducir los daños al mínimo. Al establecer una contraseña única y robusta para cada servicio y habilitar la autenticación de dos factores, puedes evitar el secuestro de la cuenta aunque se explote una vulnerabilidad. Habilita las actualizaciones automáticas del software y aplica los parches con prontitud en cuanto se publiquen.libros sobre inteligencia de amenazas (Amazon) también son una referencia útil.
¿Te resultó útil este artículo?