¿Por qué hay tantos agujeros de seguridad de día cero?

Un iPhone que muestra una notificación de parche de seguridad
DVKi / Shutterstock.com

Los ciberdelincuentes utilizan vulnerabilidades de día cero para ingresar a computadoras y redes. Las hazañas de día cero parecen ir en aumento, pero ¿es ese realmente el caso? ¿Y puedes defenderte? Miramos los detalles.

Vulnerabilidades de día cero

Una vulnerabilidad de día cero es un error en una pieza de software . Por supuesto, todo software complicado tiene errores, así que ¿por qué debería darse un nombre especial a un día cero? Un error de día cero es uno que ha sido descubierto por los ciberdelincuentes, pero los autores y usuarios del software aún no lo conocen. Y, lo que es más importante, un día cero es un error que da lugar a una vulnerabilidad explotable.

Estos factores se combinan para hacer del día cero un arma peligrosa en manos de los ciberdelincuentes. Conocen una vulnerabilidad que nadie más conoce. Esto significa que pueden explotar esa vulnerabilidad sin ser cuestionada, comprometiendo cualquier computadora que ejecute ese software. Y como nadie más sabe sobre el día cero, no habrá correcciones ni parches para el software vulnerable.

Por lo tanto, durante el breve período entre que se producen los primeros exploits (y que se detectan) y los editores de software responden con correcciones, los ciberdelincuentes pueden explotar esa vulnerabilidad sin control. Algo evidente como un ataque de ransomware es imperdible, pero si el compromiso es de vigilancia encubierta, podría pasar mucho tiempo antes de que se descubra el día cero. El infame ataque SolarWinds es un buen ejemplo.

Los días cero han encontrado su momento

Los días cero no son nuevos. Pero lo que es particularmente alarmante es el aumento significativo en el número de días cero que se están descubriendo. Se han encontrado más del doble en 2021 que en 2020. Las cifras finales todavía se están recopilando para 2021 (después de todo, todavía nos quedan algunos meses), pero hay indicios de que se producirán alrededor de 60 a 70 vulnerabilidades de día cero. se han detectado a finales de año.

Los días cero tienen un valor para los ciberdelincuentes como medio de entrada no autorizada a computadoras y redes. Pueden monetizarlos ejecutando ataques de ransomware y extorsionando a las víctimas.

Pero los días cero en sí mismos tienen un valor. Son productos vendibles y pueden valer enormes sumas de dinero para quienes los descubran. El valor en el mercado negro del tipo correcto de explotación de día cero puede alcanzar fácilmente muchos cientos de miles de dólares, y algunos ejemplos han superado el millón de dólares. Los corredores de día cero comprarán y venderán exploits de día cero .

Relacionado:  Microsoft le permitirá desinstalar el reloj de Windows 11 por alguna razón

Las vulnerabilidades de día cero son muy difíciles de descubrir. En un momento, solo fueron encontrados y utilizados por equipos de piratas informáticos altamente capacitados y con recursos suficientes, como los  grupos de amenazas persistentes avanzadas (APT) patrocinados por el estado . La creación de muchos de los días cero armados en el pasado se ha atribuido a las APT en Rusia y China.

Por supuesto, con suficiente conocimiento y dedicación, cualquier hacker o programador suficientemente hábil puede encontrar días cero. Los hackers de sombrero blanco se encuentran entre las buenas compras que intentan encontrarlos antes que los ciberdelincuentes. Entregan sus hallazgos a la empresa de software correspondiente, que trabajará con el investigador de seguridad que encontró el problema para cerrarlo.

Se crean, prueban y ponen a disposición nuevos parches de seguridad. Se implementan como actualizaciones de seguridad. El día cero solo se anuncia una vez que se implementan todas las medidas correctivas. Para cuando se haga público, la solución ya está disponible. El día cero ha sido anulado.

A veces se utilizan días cero en los productos. Los gobiernos utilizan el controvertido producto de software espía de NSO Group, Pegasus, para luchar contra el terrorismo y mantener la seguridad nacional. Puede instalarse en dispositivos móviles con poca o ninguna interacción por parte del usuario. En 2018 estalló un escándalo cuando, según informes, varios estados autorizados utilizaron Pegasus para vigilar a sus propios ciudadanos. Disidentes, activistas y periodistas fueron blanco de ataques .

Recientemente, en septiembre de 2021, el Citizen Lab de la Universidad de Toronto detectó y analizó un día cero que afectaba a Apple iOS, macOS y watchOS, que estaba siendo explotado por Pegasus . Apple lanzó una serie de parches el 13 de septiembre de 2021.

¿Por qué la repentina oleada de días cero?

Un parche de emergencia suele ser la primera indicación que recibe un usuario de que se ha descubierto una vulnerabilidad de día cero. Los proveedores de software tienen horarios para cuándo se lanzarán los parches de seguridad, las correcciones de errores y las actualizaciones. Pero debido a que las vulnerabilidades de día cero deben parcharse lo antes posible, esperar el próximo lanzamiento programado del parche no es una opción. Son los parches de emergencia fuera de ciclo los que se ocupan de las vulnerabilidades de día cero.

Relacionado:  Cómo agregar (o eliminar) una firma digital en archivos de Microsoft Office

Si siente que ha estado viendo más de esos recientemente, es porque lo ha hecho. Todos los sistemas operativos convencionales, muchas aplicaciones como navegadores, aplicaciones de teléfonos inteligentes y sistemas operativos de teléfonos inteligentes han recibido parches de emergencia en 2021.

Hay varias razones para el aumento. En el lado positivo, los proveedores de software prominentes han implementado mejores políticas y procedimientos para trabajar con investigadores de seguridad que se acercan a ellos con evidencia de una vulnerabilidad de día cero. Es más fácil para el investigador de seguridad informar estos defectos y las vulnerabilidades se toman en serio. Es importante destacar que la persona que informa del problema recibe un trato profesional.

También hay más transparencia. Tanto Apple como Android ahora agregan más detalles a los boletines de seguridad, incluido si un problema fue de día cero y si existe la posibilidad de que la vulnerabilidad haya sido explotada.

Quizás porque se reconoce que la seguridad es una función crítica para el negocio, y se la trata como tal con presupuesto y recursos, los ataques deben ser más inteligentes para ingresar a las redes protegidas. Sabemos que no se explotan todas las vulnerabilidades de día cero. Contar todos los agujeros de seguridad de día cero no es lo mismo que contar las vulnerabilidades de día cero que fueron descubiertas y reparadas antes de que los ciberdelincuentes se enteraran de ellas.

Pero aún así, grupos de piratas informáticos poderosos, organizados y bien financiados, muchos de ellos APT, están trabajando a toda máquina para tratar de descubrir vulnerabilidades de día cero. O los venden o los explotan ellos mismos. A menudo, un grupo venderá un día cero después de haberlo ordeñado ellos mismos, ya que se acerca al final de su vida útil.

Debido a que algunas empresas no aplican los parches de seguridad y las actualizaciones de manera oportuna, el día cero puede disfrutar de una vida útil más prolongada aunque los parches que lo contrarresten estén disponibles.

Las estimaciones sugieren que un tercio de todos los exploits de día cero se utilizan para ransomware . Los grandes rescates pueden pagar fácilmente nuevos días cero para que los ciberdelincuentes los utilicen en su próxima ronda de ataques. Las bandas de ransomware ganan dinero, los creadores de día cero ganan dinero y todo va dando vueltas.

Otra escuela de pensamiento dice que los grupos de ciberdelincuentes siempre han estado tratando de descubrir los días cero, solo estamos viendo cifras más altas porque hay mejores sistemas de detección en funcionamiento. El Threat Intelligence Center de Microsoft y el Threat Analysis Group de Google, junto con otros, tienen habilidades y recursos que rivalizan con las capacidades de las agencias de inteligencia para detectar amenazas en el campo.

Relacionado:  Cómo copiar texto de imágenes en Microsoft OneNote

Con la migración de las instalaciones a la nube , es más fácil para este tipo de grupos de monitoreo identificar comportamientos potencialmente maliciosos en muchos clientes a la vez. Eso es alentador. Es posible que estemos mejorando para encontrarlos, y es por eso que estamos viendo más días cero y al principio de su ciclo de vida.

¿Se están volviendo más descuidados los autores de software? ¿Está bajando la calidad del código? En todo caso, debería estar aumentando con la adopción de canalizaciones CI / CD , pruebas unitarias automatizadas y una mayor conciencia de que la seguridad debe planificarse desde el principio y no incorporarse como una ocurrencia tardía.

Las bibliotecas y los kits de herramientas de código abierto se utilizan en casi todos los proyectos de desarrollo no triviales. Esto puede llevar a que se introduzcan vulnerabilidades en el proyecto. Hay varias iniciativas en marcha para tratar de abordar el problema de los agujeros de seguridad en el software de código abierto y verificar la integridad de los activos de software descargados.

Cómo defenderse

El software de protección de endpoints puede ayudar con los ataques de día cero. Incluso antes de que se haya caracterizado el ataque de día cero y las firmas antivirus y antimalware se actualicen y envíen, el comportamiento anómalo o preocupante del software de ataque puede desencadenar las rutinas de detección heurística en el software de protección de endpoints líder en el mercado, atrapando y poniendo en cuarentena el ataque. software.

Mantenga todo el software y los sistemas operativos actualizados y parcheados. Recuerde también parchear los dispositivos de red, incluidos los enrutadores y conmutadores .

Reduce tu superficie de ataque. Instale únicamente los paquetes de software necesarios y audite la cantidad de software de código abierto que utiliza. Considere favorecer las aplicaciones de código abierto que se hayan suscrito a programas de verificación y firma de artefactos, como la iniciativa Secure Open Source .

No hace falta decirlo, use un firewall y use su suite de seguridad de puerta de enlace si tiene uno.

Si es administrador de red, limite el software que los usuarios pueden instalar en sus equipos corporativos. Eduque a los miembros de su personal. Muchos ataques de día cero aprovechan un momento de inatención humana. Ofrezca sesiones de formación de concienciación sobre ciberseguridad, actualícelas y repítalas con frecuencia.