Qué hay detrás de un ataque ‘zero day’

Todo software, sistema operativo o línea de código desarrollada no está libre de contener ‘bugs’ o errores de diseño que puedan convertirse en fallos de seguridad a explotar o potentes armas con las que perpetrar un ciberataque.

Mucho se habla de los exploit de tipo zero day pero a veces obviamos su principal procedencia. La mayoría van asociados a cuando un proveedor o fabricante de software saca al mercado un nuevo producto y este tiene una brecha de seguridad asociada al desarrollo, de la cual, no son conscientes ni el proveedor ni la empresa antivirus. Es lo que habitualmente conocemos como vulnerabilidad de día cero o exploit zero day. Por definición, los diseñadores del software, los proveedores de antivirus y el público en general desconocen la existencia de estas vulnerabilidades, algo que es aprovechado por los hackers criminales que descubren la brecha para perpetrar sus ataques. Muchos de ellos vienen asociados a los navegadores web y a las aplicaciones de correo electrónico, ya que gozan de una gran distribución y uso.

La solución de estos exploit suele ser labor del proveedor del software, que deberá publicar con la mayor agilidad posible un parche de seguridad para corregir la brecha. No obstante, suele ser decisión de cada usuario o administrador de red de cuando instala el parche o la actualización del software que solventa el problema.

Los ataques de este tipo, como muchos otros, pueden encontrarse en el mercado negro a precios elevados para el que quiera explotarlos. A diferencia del denominado mercado gris que restringe las ventas a los gobiernos de forma aprobada, el mercado negro comercializa con cualquiera, incluido el cibercrimen organizado, los cárteles de droga y países como Corea del Norte o Irán que están supuestamente excluidos del considerado mercado gris.

Con el fin de fomentar los informes sobre vulnerabilidades de día cero, las organizaciones pueden llegar a ofrecer opcionalmente un programa de recompensa de errores, que estimula la investigación y la divulgación al ofrecer importantes pagos por ganar cierta ética en seguridad. Estos pagos no rivalizan con el mercado negro, dado que su objetivo principal es recompensar a los investigadores que hacen lo correcto por descubrir fallos de seguridad del fabricante.

Dicho esto, agencias gubernamentales de diferentes países como es el caso de la NSA, la CIA y el FBI descubren, compran y usan exploits de día cero, una práctica que puede parecer controvertida y que se ha ganado críticas. Al utilizar estos zero day para localizar a los considerados delincuentes, los gobiernos nos hacen a todos más vulnerables dado que los delincuentes y espías extranjeros podrían encontrar o robar dichas vulnerabilidades para hacer el mal. Si el trabajo de los gobiernos debe ser proteger al ciudadano, entonces deberían estar implicados en garantizar una mejor defensa, en lugar de ofender a los hackers malignos, argumentan los más críticos.

Estos ataques zero day se vuelven más peligrosos si cabe en entornos de IoT, dado que los dispositivos sensores asociados a objetos suelen enviarse de fábrica en un estado vulnerable de manera que muchos de ellos no vuelven a ser actualizados. En ocasiones, resulta imposible poder parchear estos dispositivos por su ubicación o condiciones. Así, un parche de seguridad publicado por el proveedor no sirve de nada si ese parche nunca se implementa en producción.

Fuente: computerworld.es

Artículos Relacionados

DEJA UN COMENTARIO:

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.