¿Qué es un ataque de día cero?

¿Qué es un ataque de día cero?

Una vulnerabilidad de día cero (también llamada amenaza de día cero) es un ataque que se aprovecha de una vulnerabilidad de seguridad que no tiene solución. Se denomina amenaza de "día cero" porque una vez que se descubre el fallo, el desarrollador o la organización dispone de "cero días" para dar con una solución.

¿Qué es una vulnerabilidad?

Una vulnerabilidad es un fallo involuntario de software o hardware a causa de un error de programación o de una configuración inadecuada. Como las vulnerabilidades no son intencionadas, son difíciles de detectar, y pueden pasar desapercibidas durante días, meses o incluso años.

¿Cómo funcionan las vulnerabilidades de día cero?

Cuando los atacantes identifican una vulnerabilidad previamente desconocida, escriben código para dirigirse a esa vulnerabilidad específica y lo empaquetan en el malware. El código, cuando se ejecuta, puede poner en riesgo un sistema.

Hay varias formas para que un atacante se aproveche de las vulnerabilidades de día cero. Una táctica habitual es distribuir malware a través de correos electrónicos de phishing que contengan archivos adjuntos o enlaces que tengan las vulnerabilidades incrustadas. Estas cargas útiles maliciosas se ejecutan cuando un usuario interactúa con el archivo adjunto o el enlace.

Un famoso ataque de día cero afectó a Sony Pictures Entertainment en 2014, cuando se hizo pública información confidencial, como copias de películas no estrenadas, comunicaciones por correo electrónico entre empleados de alto nivel y planes de negocio. Los atacantes utilizaron una vulnerabilidad de día cero para obtener esta información.

Las vulnerabilidades de día cero pueden afectar negativamente a una empresa de diversas maneras. Además de perder datos valiosos o confidenciales, los clientes pueden perder la confianza en la empresa, y esta puede tener que desviar valiosos recursos de ingeniería para solucionar el fallo.

Cómo detectar las amenazas de día cero

Por definición, las amenazas de día cero son difíciles de detectar. Se han desarrollado varias estrategias para facilitar su detección:

• Detección basada en estadísticas: mediante el aprendizaje automático, se recopilan datos históricos de vulnerabilidades anteriores y se establece un nivel estándar de comportamiento seguro para detectar las amenazas de día cero en tiempo real. Sin embargo, el enfoque no se adapta a los cambios en los patrones, y es necesario crear nuevos perfiles de ataque para tener en cuenta los cambios.
• Detección basada en firmas: este método se ha utilizado desde los primeros días de la supervisión de la seguridad. Las bases de datos actuales de firmas de malware (valores únicos que indican la presencia de código malicioso) se verifican con archivos locales y descargas al buscar nuevas amenazas potenciales. Uno de los inconvenientes de este método es que las firmas solo pueden identificar las amenazas ya conocidas, por lo que este método no puede detectar la mayoría de las amenazas de día cero.
• Detección basada en el comportamiento: se analizan las interacciones del usuario con el software existente para ver si son el resultado de una actividad maliciosa. La detección basada en el comportamiento se propone aprender el comportamiento futuro e intenta bloquear cualquier comportamiento que no sea el esperado. Se basa en la predicción del flujo de tráfico de red.

Cómo prevenir los ataques de día cero

Aunque ningún enfoque puede evitar del todo la aparición de vulnerabilidades en el código, hay varias tácticas y herramientas que pueden minimizar el riesgo. Dos de las tecnologías más importantes para detener el aprovechamiento de vulnerabilidades son el aislamiento de navegador y los firewalls.

Aislamiento del navegador

La actividad de navegación, como abrir un archivo adjunto de correo electrónico o rellenar un formulario, requiere la interacción con código de fuentes no fiables, lo que permite que los atacantes puedan aprovechar las vulnerabilidades. El aislamiento de navegador mantiene la actividad de navegación separada de los dispositivos de los usuarios finales y de las redes corporativas, para que el código potencialmente malicioso no se ejecute en el dispositivo del usuario. El aislamiento de navegador puede hacerse de tres maneras:

• Aislamiento remoto del navegador: las páginas web se cargan y el código se ejecuta en un servidor en la nube, lejos de los dispositivos de los usuarios y de las redes internas de las organizaciones.
• Aislamiento de navegador en local: funciona de forma similar al aislamiento remoto del navegador, pero tiene lugar en un servidor gestionado internamente.
• Aislamiento de navegador del lado del cliente: as páginas web se siguen cargando en el dispositivo del usuario, pero el uso de espacios seguros, un mecanismo de seguridad para mantener los programas en ejecución de forma independiente, garantiza que el contenido y el código estén separados del resto del dispositivo.

Firewall

Un firewall es un sistema de seguridad que supervisa el tráfico entrante y saliente en base a políticas de seguridad preestablecidas. Los firewalls se sitúan entre las redes de confianza y las que no lo son (en la mayoría de los casos, Internet) para protegerse de las amenazas, bloquear los contenidos maliciosos que llegan a una red de confianza e impedir que la información confidencial salga de la red. Pueden estar integrados en el hardware, en el software o en una combinación de ambos. Al supervisar el tráfico, un firewall puede bloquear el tráfico que puede dirigirse a una vulnerabilidad de seguridad, lo que llevaría a una vulnerabilidad de día cero.

¿Cómo se protege Cloudflare contra las vulnerabilidades de día cero?

Aislamiento remoto del navegador: a solución de aislamiento remoto del navegador de Cloudflare lleva a cabo la actividad de navegación de un usuario en un entorno de nube supervisado mediante el uso de espacios seguros. Dado que la actividad de navegación se aísla de los dispositivos finales de los usuarios, estos dispositivos están protegidos de vulnerabilidades como las amenazas de día cero.

Firewall de aplicaciones web (WAF): el WAF de Cloudflare ayuda a proteger las aplicaciones web del tráfico malicioso HTTP. Debido a que las amenazas de día cero son difíciles de detectar y el panorama de la seguridad cambia constantemente, un conjunto de reglas gestionadas ayuda a proteger contra estas vulnerabilidades. Cloudflare actualiza periódicamente los conjuntos de reglas gestionados para ofrecer una protección continua.