Un ataque de día cero es un ataque que se aprovecha de una vulnerabilidad de seguridad que no es muy conocida.
Después de leer este artículo podrás:
Contenido relacionado
¿Qué es un scripting entre sitios?
¿Qué es el desbordamiento del búfer?
¿Qué es la inyección de código SQL?
¿Qué es un ataque de ingeniería social?
¿Qué es Meltdown/Spectre?
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
Una vulnerabilidad de día cero (también llamada amenaza de día cero) es un ataque que se aprovecha de una vulnerabilidad de seguridad que no tiene solución. Se denomina amenaza de "día cero" porque una vez que se descubre el fallo, el desarrollador o la organización dispone de "cero días" para dar con una solución.
Una vulnerabilidad es un fallo involuntario de software o hardware a causa de un error de programación o de una configuración inadecuada. Como las vulnerabilidades no son intencionadas, son difíciles de detectar, y pueden pasar desapercibidas durante días, meses o incluso años.
Cuando los atacantes identifican una vulnerabilidad previamente desconocida, escriben código para dirigirse a esa vulnerabilidad específica y lo empaquetan en el malware. El código, cuando se ejecuta, puede poner en riesgo un sistema.
Hay varias formas para que un atacante se aproveche de las vulnerabilidades de día cero. Una táctica habitual es distribuir malware a través de correos electrónicos de phishing que contengan archivos adjuntos o enlaces que tengan las vulnerabilidades incrustadas. Estas cargas útiles maliciosas se ejecutan cuando un usuario interactúa con el archivo adjunto o el enlace.
Un famoso ataque de día cero afectó a Sony Pictures Entertainment en 2014, cuando se hizo pública información confidencial, como copias de películas no estrenadas, comunicaciones por correo electrónico entre empleados de alto nivel y planes de negocio. Los atacantes utilizaron una vulnerabilidad de día cero para obtener esta información.
Las vulnerabilidades de día cero pueden afectar negativamente a una empresa de diversas maneras. Además de perder datos valiosos o confidenciales, los clientes pueden perder la confianza en la empresa, y esta puede tener que desviar valiosos recursos de ingeniería para solucionar el fallo.
Por definición, las amenazas de día cero son difíciles de detectar. Se han desarrollado varias estrategias para facilitar su detección:
Aunque ningún enfoque puede evitar del todo la aparición de vulnerabilidades en el código, hay varias tácticas y herramientas que pueden minimizar el riesgo. Dos de las tecnologías más importantes para detener el aprovechamiento de vulnerabilidades son el aislamiento de navegador y los firewalls.
La actividad de navegación, como abrir un archivo adjunto de correo electrónico o rellenar un formulario, requiere la interacción con código de fuentes no fiables, lo que permite que los atacantes puedan aprovechar las vulnerabilidades. El aislamiento de navegador mantiene la actividad de navegación separada de los dispositivos de los usuarios finales y de las redes corporativas, para que el código potencialmente malicioso no se ejecute en el dispositivo del usuario. El aislamiento de navegador puede hacerse de tres maneras:
Un firewall es un sistema de seguridad que supervisa el tráfico entrante y saliente en base a políticas de seguridad preestablecidas. Los firewalls se sitúan entre las redes de confianza y las que no lo son (en la mayoría de los casos, Internet) para protegerse de las amenazas, bloquear los contenidos maliciosos que llegan a una red de confianza e impedir que la información confidencial salga de la red. Pueden estar integrados en el hardware, en el software o en una combinación de ambos. Al supervisar el tráfico, un firewall puede bloquear el tráfico que puede dirigirse a una vulnerabilidad de seguridad, lo que llevaría a una vulnerabilidad de día cero.
Aislamiento remoto del navegador: a solución de aislamiento remoto del navegador de Cloudflare lleva a cabo la actividad de navegación de un usuario en un entorno de nube supervisado mediante el uso de espacios seguros. Dado que la actividad de navegación se aísla de los dispositivos finales de los usuarios, estos dispositivos están protegidos de vulnerabilidades como las amenazas de día cero.
Firewall de aplicación web (WAF): el Cloudflare WAF utiliza información sobre amenazas y aprendizaje automático para bloquear automáticamente las amenazas emergentes en tiempo real. La información sobre amenazas se basa en la red global de Cloudflare, que procesa 81 millones de solicitudes HTTP por segundo en los picos de tráfico. El resultado es una protección incomparable contra las vulnerabilidades zero-day y otros ataques.