Zero Day Attack: ¿qué es y cómo funciona?

El Zero Day attack (ataque de día 0 por su traducción al español), es cuando un ciberdelincuente aprovecha una vulnerabilidad nueva en algún sistema informático para ejecutar código malicioso. 

Un ejemplo de este tipo de ataques, es la Operación Aurora, un virus que fue desarrollado por un grupo de hackers vinculados al Ejército Chino contra diferentes organizaciones de Estados Unidos como Adobe System y Rackspace

El punto débil del cual se beneficiaron los hackers para realizar el ataque fue una vulnerabilidad en Internet Explorer, desconocida para usuarios y desarrolladores de Microsoft. 

Los ataques de día cero son tan peligrosos porque nadie puede anticiparse ni responder de manera protocolar ante ellos. ¿Cómo respondes ante una falla de seguridad que no sabías que existía? Es por ello que las soluciones ante estos problemas se publican días o semanas después de haberse perpetrado el ataque. 

En el caso de la Operación Aurora, Microsoft demoró una semana en poder dar una solución a esta falla de seguridad. Además, entendieron que esta vulnerabilidad había sido explotada durante más de 3 meses, pero no había sido notificada hasta que se violó la privacidad de los correos del activista chino Ai Weiwei. 

¿Cómo funcionan los Zero Day Attack? 

Todo empieza por identificar una vulnerabilidad, para ello los hackers se dedican activamente a investigar diferentes medios: navegadores, sistemas operativos, aplicaciones, etc; y encontrar estos errores de seguridad para luego usarlos en su beneficio. 

Una vez haya sido descubierta la falla, puede emplearse de tres maneras. Ser usada para realizar un ataque, informar a la compañía propietaria del medio vulnerable o vender el descubrimiento. 

Existe todo un mercado legal y abierto para estos fallos de seguridad de día cero, el más popular de todos se llama Zerodium.

Quienes actualmente ofrecen hasta un millón de dólares por descubrir errores de seguridad de Whatsapp, iMessage y mensajes de texto. Y hasta 2 millones de dólares por violar la seguridad del iPhone.

Un ejemplo de cómo se negocia con estas fallas de seguridad y se emplean en un “Zero Day Attack” es lo que le paso al CEO de Amazon: Jeff Bezos. 

Mediante el uso de tres fallas distintas en el iPhone se logró colocarle un Spyware, un programa de espionaje, que permitió obtener conversaciones de Whatsapp y selfies privados que demostraban que Bezos tenía una aventura con una presentadora de televisión. 

Jeff Bezos no cedió ante este intento de extorsión y es por ello que sabemos múltiples detalles del ataque. Incluido el nombre del Spyware y los exploits que permitieron la violación de privacidad del hombre más rico del mundo.

Pegasus Spyware 

Pegasus es un programa de espionaje que se le atribuye su creación a la empresa Israelí NOS Group, quien afirma que no fue su software el que se usó para crear a Pegasus. 

Pegasus se aprovecha de tres “exploits” o fallos en el sistema operativo de iPhone, cabe mencionar que estos fallos ya han sido solucionados en la versión 9.3.5. de iOS.

CVE-2016-4655: fuga de información en el núcleo del celular

Esta vulnerabilidad mapea el núcleo del dispositivo móvil, filtra información al atacante y le permite calcular la ubicación del núcleo en la memoria.

CVE-2016-4656: La corrupción de la memoria del núcleo lleva a Jailbreak: 

Un Jailbreak en iOS significa romper los seguros de fábrica del sistema operativo, sin Jailbreak no se pueden ejecutar software no autorizado por Apple, incluido código malicioso de los atacantes. 

CVE-2016-4657: Corrupción de la memoria en Webkit

Webkit es una tienda de aplicaciones a través de safari una vulnerabilidad en este navegador fue la que permitió poner en peligro el dispositivo cuando el usuario hacía clic en un enlace. 

Para resumir, al hacer click en un enlace de Webkit los atacantes podían acceder al dispositivo y a través de un segundo fallo de seguridad penetraban en el núcleo del teléfono, la analizan y a través del tercer fallo proceden a instalar el Spyware, el resto de trabajo lo realiza pegasus accediendo a la cámara, mensajería, GPS, contactos, etc.

5 etapas del Zero Day Attack

Descubrimiento del ataque

Cuando el ataque no solo se ejecuta, sino que es de conocimiento público que se usó un exploit para atacar a la persona u organización. 

Detección y estudio del ataque 

Cuando los responsables del Navegador, aplicación, sistema operativo, etc analizan el fallo de seguridad, buscan alternativas de solución y prevenir que el fallo pueda afectar otras funcionalidades existentes. 

Solución inmediata 

“Parchar” los fallos de seguridad es un tema complejo y que requiere de mucho esfuerzo pero lo que se busca de manera inmediata es reducir el daño e impedir que se siga vulnerando el sistema, para ello se opta por analizar y detectar código malicioso como advertir y aconsejar a los usuarios para que no sean perjudicados. 

Publicación del parche

Analizado adecuadamente el exploit la compañía produce parches de seguridad o la firma del virus si el ataque a sido a través de malware.

Distribución e instalación del parche en los sistemas de los usuarios y actualización de los antivirus.

Finalmente se actualizan los equipos para prevenir nuevos ataques y el ciclo de investigación y ataque vuelve a empezar. 

¿Cómo protegerse de un Zero Day Attack?

La forma de prevenir un Zero Day Attack es contando con una serie de soluciones de ciberseguridad para poder reducir la cantidad de posibles vulnerabilidades. 

Adicionalmente es necesario realizar un monitoreo de redes, acceso a Internet y correo electrónico, ya que así se podría detectar comportamientos sospechosos que podrían relacionarse con un Zero Day Attack. Para proteger la información de tu empresa y mantener el control del Internet, contamos con un portafolio de soluciones en ciberseguridad para prevenir amenazas cibernéticas y vulnerabilidades en la red.

Send this to a friend