Seguridad

1 febrero, 2022

Qué es un ataque del día cero

La seguridad es un asunto que siempre ha estado ligado a la informática y con el que tienen que lidiar los administradores TI en su día a día. Aunque el nivel de calidad del software actual suele ser muy alto en la mayoría de los casos, con el tiempo, siempre aparecen algunas vulnerabilidades que pueden ser utilizadas por terceros con intenciones maliciosas.

Un ataque de día cero informático se produce cuando los ciberdelincuentes se valen de estas vulnerabilidades no detectadas para acceder a los sistemas, robar datos o producir otro tipo de daños.

Es importante implementar sistemas de seguridad para impedir o minimizar este tipo de ataques productos de vulnerabilidades no detectadas del software, por lo que contar con un buen asesoramiento en ciberseguridad e implementar las herramientas de protección adecuadas debe ser una prioridad para toda empresa.

Qué es un ataque de día cero

Un ataque día cero se produce cuando los atacantes descubren una vulnerabilidad de un sistema informático antes que los administradores de sistemas por lo que pueden utilizarla para realizar distintos tipos de ataques con el fin de robar información, interrumpir el sistema y otras prácticas maliciosas.

En el proceso de desarrollo de software se realizan una gran cantidad de pruebas y test para garantizar que los programas lleguen al mercado sin bugs, errores y vulnerabilidades. Sin embargo, hasta que el software no está funcionando en un entorno real y utilizado por una gran cantidad de usuarios o empresas, no se descubren algunas vulnerabilidades que resultan una auténtica amenaza para la seguridad. Si los ciberdelincuentes encuentran este tipo de problemas antes que los propios desarrolladores o los administradores de un sistema, podrán utilizarlas con fines delictivos.

Por qué se denomina ataque día cero

El nombre de ataque día cero o zero day attack hace referencia al momento en el que se descubre esa vulnerabilidad (día cero) y se empieza a trabajar para solucionarla, es decir, comienza en ese momento el proceso para minimizar el impacto del ataque y solucionar la vulnerabilidad.

Por qué son tan peligrosos los ataques de día cero

Los ciberdelincuentes ven facilitada su labor para atacar e introducirse en los sistemas de una empresa gracias a posibles vulnerabilidades del software, tanto del sistema operativo como de otros programas que se utilicen. Si encuentran una vulnerabilidad pueden explotarla para realizar todo tipo de ataques contra el sistema como infecciones por malware, accesos no autorizados a sistemas, robo de información…

Un ataque de día cero quiere decir que la empresa está siendo atacada debido a un fallo en sus sistemas y que, si no reacciona de forma rápida y apropiada, las consecuencias pueden llegar a ser muy graves, tanto a nivel operativo, como económico y de reputación.

Como ataque de día cero de ejemplo podemos recordar el que sufrió la compañía cinematográfica Sony Pictures Entertainment, donde, debido a una vulnerabilidad de sus sistemas, sufrieron un ataque que acabó en el robo de contratos, planes de negocios, películas y guiones, además de todos los correos electrónicos corporativos de los ejecutivos de la empresa.

Cómo detectar un ataque de día cero

Los ataques día cero están directamente relacionados con vulnerabilidades de software, como ya hemos visto. Por este motivo, la responsabilidad de detectarlos debe recaer en profesionales cualificados y con experiencia, capaces de emplear distintas técnicas avanzadas como:

Técnicas estadísticas

Consiste en estudiar un sistema y recopilar datos para crear un patrón de comportamiento normal. Gracias a este patrón se puede monitorizar el sistema y detectar cualquier anomalía o desviación que pueda indicar un ataque de día cero.

Técnicas de firma

Una firma en ciberseguridad, es el rastro o método que utiliza un determinado ataque. Por este motivo, los sistemas de protección como antivirus y antimalware utilizan estas firmas para detectar posibles ataques.

Aunque un ataque de día cero se produce por una vulnerabilidad desconocida, por lo que no hay referencia o firma de dicho ataque, el aprendizaje dejado por anteriores ataques permite detectar ataques similares o con características comunes, que pueden deberse a un ataque de día cero.

Técnicas de comportamiento

Con este método se estudia el comportamiento de un componente potencialmente malicioso con el sistema para detectar si es realmente una amenaza y puede llegar a ser dañino o peligroso.

Técnicas combinadas

Lo habitual es que los expertos en seguridad utilicen una combinación de las tres técnicas anteriores para poder detectar los ataques día cero, consiguiendo así mejores resultados.

Cómo actuar ante un ataque de día cero

Detectar un ataque día cero es fundamental para poder defendernos ante ellos. Veamos cuáles son los pasos o acciones recomendados sobre cómo actuar cuando se detectan este tipo de ataques.

Actualizar sistema operativo y software

Ya que este tipo de ataques explotan vulnerabilidades de software, es crucial el mantener todo el software y los sistemas operativos actualizados a sus últimas versiones. En las actualizaciones de software se incluyen parches de seguridad que corrigen las vulnerabilidades ya detectadas, evitando así que se produzcan ataques relacionados con ellas.

Implementar soluciones de protección

Contar con un buen sistema de protección es fundamental para estar bien protegidos y poder lidiar con los ataques de día cero de manera eficiente. Por ejemplo, con ESET Dynamic Threat Defense se dispondrá de diversas herramientas que previenen las amenazas zero-day. Se trata de un sandbox de seguridad en la nube que añade una capa extra de seguridad a los sistemas informáticos de la empresa.

Contar con un protocolo de actuación

Disponer de un protocolo de actuación definido ante ataques de día cero es la mejor forma de garantizar una respuesta rápida y eficiente. Saber qué es lo que hay que hacer y cuándo, es fundamental para actuar a tiempo y minimizar las consecuencias en caso de que lleguen a producirse este tipo de ataques.

Un ataque día cero se produce debido a una vulnerabilidad del sistema operativo o de algún software que utilice la empresa. Las consecuencias de este tipo de ataques son muy graves por lo que es necesario implementar métodos para detectarlos y herramientas y políticas de actuación para combatirlos en caso de que se produzcan.

Google Analytics	_ga	Esta cookie se usa para distinguir a los visitantes del sitio web.	2 años
	_gid	Esta cookie se usa para distinguir a los visitantes del sitio web.	1 día
	_gat	Esta cookie se usa para limitar el porcentaje de solicitudes. Recopila información de forma anónima.	10 minutos
	_utma	ILIMIT COMUNICACIONS, S.L. apoya el uso de Google Analytics en el sitio web para hacer un seguimiento de la actividad realizada en él.	2 años
	_utmb	Las cookies de Google Analytics recopilan información de registro estándar y datos sobre los hábitos de los visitantes de forma anónima.	30 minutos
	_utmc		Sesión
	_utmz	developers.google.com/analytics/resources/concepts/gaConceptsCookies (en inglés).	6 meses
	_utmv		2 años
HubSpot	_hstc	La cookie principal para monitorear visitantes. Contiene: el dominio, utk (ver abajo), fecha y hora inicial (primera visita), última fecha y hora (última visita), fecha y hora visita actual (esta visita) y número de sesión (incrementos para cada sesión posterior).	2 años
	hubspotutk	Esta cookie se utiliza para controlar la identidad de un visitante. Esta cookie se pasa a HubSpot al enviar la solicitud y se usa cuando se eliminan los contactos duplicados.	10 años
	__hssc	Cookies para controlar las sesiones. Esto se utiliza para determinar si debemos incrementar el número de sesión y las marcas de tiempo en la cookie __hstc. Contiene: el dominio, el conteo de visitas (incrementa cada visita a la página en una sesión), hora de inicio de sesión.	30 minutos
	__hssrc	Cada vez que HubSpot cambia la cookie de sesión, también se configura esta cookie. Sencillamente la fijamos al valor «1» y la usamos para determinar si el usuario ha reiniciado su navegador. Si esta cookie no existe cuando administramos las cookies, asumimos que es una nueva sesión.	Sessión
	__hs_opt_out	La política de privacidad de opt-in usa esta cookie para no volver a solicitar al usuario que acepte las cookies. Esta cookie se configura cuando el usuario opta por no aceptar las cookies.	2 años
	__hs_do_not_track	Esta cookie se configura cuando el usuario pta por no aceptar las cookies. Deshabilita el monitoreo y la personalización.	2 años
	__hs_testcookie	Esta cookie se utiliza para probar si el visitante tiene activadas las cookies.	Sessión
	hsPagesViewedThisSession	Esta cookie se usa para monitorear el número de visitas a la página en una sesión.	Sessión
	hsfirstvisit	Esta cookie se usa para monitorear la primer visita de un usuario.	10 años
Hotjar	_hjClosedSurveyInvites	Esta cookie se establece una vez que un visitante interactúa con una ventana emergente modal de la invitación a la encuesta. Se utiliza para garantizar que la misma invitación no vuelva a aparecer si ya se ha mostrado.	1 año
	_hjDonePolls	Esta cookie se establece una vez que un visitante completa una encuesta usando el widget de encuesta de votos. Se utiliza para garantizar que la misma encuesta no vuelva a aparecer si ya se ha completado.	1 año
	_hjMinimizedPolls	Esta cookie se establece una vez que un visitante minimiza un widget de Encuesta de opinión. Se utiliza para garantizar que el widget se mantenga minimizado cuando el visitante navega por su sitio.	1 año
	_hjDoneTestersWidgets	Esta cookie se establece una vez que un visitante envía su información en el widget Recruit User Testers. Se utiliza para garantizar que el mismo formulario no vuelva a aparecer si ya se ha completado.	1 año
	_hjMinimizedTestersWidgets	Esta cookie se establece una vez que un visitante minimiza un widget Recruit User Testers. Se utiliza para garantizar que el widget se mantenga minimizado cuando el visitante navega por su sitio.	1 año
	_hjIncludedInSample	Esta cookie de sesión está configurada para que Hotjar sepa si ese visitante está incluido en la muestra que se utiliza para generar embudos.	1 año

Qué es un ataque del día cero

Qué es un ataque de día cero

Por qué se denomina ataque día cero

Por qué son tan peligrosos los ataques de día cero

Cómo detectar un ataque de día cero

Técnicas estadísticas

Técnicas de firma

Técnicas de comportamiento

Técnicas combinadas

Cómo actuar ante un ataque de día cero

Actualizar sistema operativo y software

Implementar soluciones de protección

Contar con un protocolo de actuación

+ Post ILIMIT

¿Ya estás despierto?