Explotaciones Día Cero (0-Day Exploits)

By 1 diciembre, 2011 mayo 5th, 2017 Seguridad informática, Sistemas

Un ataque de día-cero, también conocido como 0-day, es un ataque contra un ordenador basado en encontrar vulnerabilidades aún desconocidas en las aplicaciones informáticas. Este tipo de explotación (exploit) circula generalmente entre las filas de los potenciales atacantes hasta que finalmente es publicado en foros públicos. Una explotación de día-cero normalmente es desconocido para la gente y el fabricante del producto. Generalmente, los ataques de día-cero son considerados unos de los más peligrosos instrumentos de las ciber-guerras.

La capacidad de los que se dedican al malware de aprovecharse de estas vulnerabilidades mediante diferentes vías de ataque es algo preocupante. Una forma de revelar este tipo de  fallos es utilizar aplicaciones que abren ciertos documentos que revelan los fallos. Las vulnerabilidades que pueden regenerar el software se revelan en bases de datos como US-CERT. Sabiendo esto, un atacante puede diseñar malware para conseguir información personal como contraseñas y datos bancarios.

Una vulnerabilidad o exploit cuenta con una ventana de tiempo entre el tiempo en el que se publica una amenaza y el tiempo en el que se publican los parches que los solucionan. Esta ‘ventana’ de tiempo es cuando los ataques día-cero ocurren. Los parches o soluciones para estos problemas son generados y distribuidos por los propios fabricantes de dichos software.

El procedimiento que se emplea para virus y troyanos (entre otros) es el siguiente:

  • Publicación del ataque o exploit al mundo
  • Detección y estudio del problema
  • Desarrollo de una solución al mismo
  • Publicación del parche (o firma del virus si procede), para evitar el exploit.
  • Distribución e instalación del parche en los sistemas de los usuarios y actualización de los antivirus.

El proceso de generar estos parches puede durar de pocas horas hasta varios días, y durante  este tiempo la vulnerabilidad o ventana para un ataque estará abierta.

Una protección día-cero consiste en la habilidad de proporcionar protección contra vulnerabilidades día-cero. Para limitar los ataques día-cero referentes a  vulnerabilidades en memoria por ejemplo, se usan técnicas como buffer overflow. Estos mecanismos de protección se pueden encontrar en la mayoría de los sistemas operativos actuales.

Un método eficaz para evitar ataques es esperar un tiempo razonable antes de actualizar a una nueva versión de SSOO o aplicación. Las vulnerabilidades de los software nuevos suelen ser parcheados en las primeras actualizaciones del mismo, y muy a menudo en los primeros días después de su lanzamiento.  Unos de los mejores ejemplos son las actualizaciones de Windows, que son bastante frecuentes.

Copyright 2017, TresW