Zero-Day: vulnerabilidades, exploits, ataques y cómo gestionarlos

Septiembre 21, 2021
Kaseya
Gestión de vulnerabilidades, Día Cero

El objetivo de un hacker es identificar puntos débiles o vulnerabilidades en la infraestructura informática de una organización para luego aprovecharlos con fines maliciosos. Les interesan especialmente las vulnerabilidades de software que pueden explotarse fácilmente para hacerse con el control de la red de una empresa. Una vez que los delincuentes consiguen acceder a la red informática de una organización, pueden perjudicar al negocio bloqueando el acceso, cifrando sistemas y datos para exigir un rescate, o robando de forma encubierta información crucial que les puede reportar una buena suma de dinero en la dark web.

Las vulnerabilidades de software surgen por múltiples motivos, como una configuración de seguridad incorrecta, errores de programación, un registro y una supervisión insuficientes o, simplemente, errores humanos. Los proveedores publican periódicamente parches para solucionar estas vulnerabilidades, con el fin de frustrar posibles ciberataques. La existencia de vulnerabilidades de día cero es una de las causas más comunes de los ciberataques que tienen éxito, y descubrir una de ellas permite a los hackers campar a sus anchas.

¿Qué es una vulnerabilidad de día cero?

Una vulnerabilidad de día cero es un fallo en una red o en un software que aún no se ha corregido o para el que no existe un parche. El fabricante del software o del dispositivo puede ser consciente de este fallo o no. Una vez que este fallo se hace público, supone un mayor riesgo de ciberataques para las organizaciones que utilizan dicho software o dispositivo. Desde que se fundó el Proyecto Zero de Google en julio de 2014, se han recopilado datos sobre exploits de día cero «en circulación», siendo 2021 el año con más casos registrados hasta la fecha. Google recopila datos de casos de exploits de día cero conocidos públicamente como parte del Proyecto Zero.

¿Por qué se llama «zero-day»?

Las vulnerabilidades de software plantean graves riesgos para la ciberseguridad. Por eso es importante identificarlas y solucionarlas lo antes posible. Sin embargo, a veces los desarrolladores de software o los usuarios tardan días, o incluso meses, en detectar una vulnerabilidad. En cambio, si un hacker la identifica antes que un «buen samaritano», el proveedor del software no tiene tiempo para solucionarla. De ahí el término «vulnerabilidad de día cero». «Zero-day» también se puede escribir como «0-day».

Dato curioso: El término «zero-day» tiene un origen fascinante relacionado con la piratería de contenidos digitales. Antiguamente, si los hackers lograban copiar y distribuir una película o un álbum musical antes de su salida al mercado o el mismo día de su lanzamiento legal, se denominaba «zero-day».

¿Cómo se descubren las vulnerabilidades de día cero?

Todas las empresas de software dedican una cantidad considerable de tiempo y recursos a detectar y corregir las vulnerabilidades de sus productos. Aunque pueda parecer sencillo, identificar y corregir vulnerabilidades no es tarea fácil. La programación es un proyecto complejo que requiere un equipo de programadores cualificados, dotados de las herramientas y los recursos adecuados, para que se lleve a cabo de manera eficiente.

Para detectar vulnerabilidades de seguridad en el software y las redes, las empresas utilizan una herramienta denominada «escáner de vulnerabilidades de software». Sin embargo, los escáneres de vulnerabilidades no solo se limitan a analizar el software en busca de nuevos fallos. Estas herramientas también realizan un inventario de todos los activos de TI —como servidores, ordenadores de sobremesa, máquinas virtuales, sistemas operativos, aplicaciones y puertos activos— en cada equipo para detectar posibles fallos de seguridad. Tan pronto como se identifica una vulnerabilidad, las empresas publican inmediatamente un parche para solucionarla.

En ocasiones, los usuarios del software o los expertos en ciberseguridad pueden detectar vulnerabilidades en el software y comunicarlas a la empresa correspondiente. Google, por ejemplo, recompensa y reconoce a las personas que le informan de fallos de seguridad. Estas recompensas suelen denominarse «programas de recompensa por errores» y pueden ascender a decenas de miles de dólares.

Aunque un programa tenga muchos fallos, puede resultar difícil detectarlos todos. La verdadera preocupación de las empresas en lo que respecta a las vulnerabilidades de día cero es quién las detecta y qué hace quien las descubre con esa información. Si un pirata informático da el primer paso, esto puede suponer un desastre para las empresas que utilizan ese software. 

¿Cómo se aprovechan las vulnerabilidades de día cero?

Las vulnerabilidades de día cero exponen a las empresas a diversos problemas de seguridad. Un atacante que descubra esta vulnerabilidad puede aprovecharla a través de múltiples vectores de ataque, lo que afecta negativamente a los programas, los datos, los ordenadores o la red. Las vulnerabilidades se aprovechan para penetrar en los sistemas de un objetivo y robar datos, información o dinero. A veces, los hackers utilizan una vulnerabilidad de día cero para instalar software malicioso, como el ransomware, que les permite manipular la infraestructura de TI de forma remota para espiar las actividades de una organización o interrumpir sus operaciones.

Una consecuencia directa de las vulnerabilidades de día cero es el exploit de día cero. Un exploit de día cero es un código integrado en un programa informático, como una serie de comandos, que puede utilizarse para aprovechar una vulnerabilidad de día cero. Cuando un hacker descubre un exploit de día cero, puede crear un paquete de exploits para utilizarlo de inmediato o en el futuro, o incluso optar por vender la información sobre la vulnerabilidad y el exploit al mejor postor en la dark web.

No es raro que los investigadores de seguridad utilicen exploits para demostrar el riesgo asociado a una vulnerabilidad y cómo los ciberdelincuentes pueden aprovecharla para sus fines. Un investigador de ciberseguridad utiliza exploits para reforzar las medidas de seguridad y, por lo general, informa al fabricante del software de la falla, lo que le permite corregirla antes de que los delincuentes puedan aprovecharla.

Es posible que los fabricantes de software no descubran una vulnerabilidad hasta pasados meses o incluso años si un ciberdelincuente la descubre primero. Las vulnerabilidades se consideran «vulnerabilidades de día cero» hasta que el proveedor del software tiene conocimiento de ellas y comienza a trabajar en una solución.

¿En qué se diferencia un exploit de día cero de un exploit típico?

Al igual que cualquier otra vulnerabilidad, una vulnerabilidad de día cero puede utilizarse para comprometer la seguridad de una organización, infiltrarse en su entorno informático, socavar la integridad de las páginas web o interrumpir la disponibilidad del software mediante ataques de denegación de servicio distribuido (DDoS). Un exploit de día cero supone una sorpresa total y es especialmente peligroso porque el proveedor no es consciente de él. Eso significa que no puede advertir a los usuarios de la posible vulnerabilidad mientras crea un parche que solucione el problema, como suele ser habitual con los exploits.

Un kit de explotación es un recurso de ciberdelincuencia «plug-and-play» diseñado para aprovechar las vulnerabilidades de programas de uso generalizado, como Adobe Flash, Java y Microsoft Silverlight. Estos kits incluyen diversas herramientas, como complementos y una consola de gestión, que facilitan el lanzamiento de ciberataques o la propagación de malware.

Un exploit típico es aquel que ha sido descubierto y dado a conocer, ya sea por el propio proveedor o por otros expertos del sector. En un escenario habitual de exploit, el proveedor de software está desarrollando o ya ha lanzado un parche para neutralizarlo. Por lo tanto, aplicar los parches de seguridad de forma regular y oportuna es fundamental para prevenir las brechas de ciberseguridad. Hay ocasiones en las que las vulnerabilidades conocidas son explotadas debido a que los desarrolladores tardan en corregirlas.

Por otro lado, un kit de explotación de día cero incluye herramientas y funciones diseñadas para aprovechar una vulnerabilidad desconocida. Los hackers pueden comprar o crear kits de explotación y almacenarlos en sitios web o anuncios comprometidos que, al hacer clic en ellos, instalan malware en el ordenador de la víctima.

Las víctimas desprevenidas pueden sufrir ataques mediante kits de explotación a través de estafas de phishing al visitar sitios web maliciosos o descargar archivos sospechosos que no han sido analizados en busca de virus. Los creadores de kits de explotación pueden basar todo su negocio en la venta de dichos kits como parte de la economía del «cibercrimen como servicio» y obtener importantes beneficios por su trabajo.

¿Cuál es el exploit de día cero más famoso?

En lo más alto de la lista se encuentra EternalBlue, el exploit más dañino de la historia. Desarrollado originalmente por la NASA como herramienta de ciberataque, fue robado y filtrado por el grupo de hackers Shadow Brokers en marzo de 2017. Conocido oficialmente como MS17-010, EternalBlue ataca cualquier sistema que utilice el protocolo de intercambio de archivos SMBv1 (Server Message Block versión 1). Es responsable de algunos de los ciberataques más populares, entre ellos WannaCry y NotPetya.

Stuxnet es otro caso emblemático de ciberseguridad que saltó a los titulares. Descubierto en 2010, esta variante de malware causó daños considerables a objetivos clave, entre ellos las instalaciones nucleares de Irán, y se hizo famoso por su capacidad para inutilizar equipos informáticos. El gusano Stuxnet se propagaba a través de ordenadores con Microsoft Windows y también podía transmitirse mediante memorias USB.

¿Qué se entiende por «ataque de día cero»? 

Las vulnerabilidades de día cero pueden presentarse de diversas formas, entre ellas la falta de cifrado de datos, algoritmos defectuosos, redireccionamientos de URL, fallos en la seguridad de las contraseñas y simples errores de programación. Un ataque de día cero se produce cuando un pirata informático identifica cualquiera de estas vulnerabilidades, escribe un código de explotación y lo ejecuta con éxito —lo que también se conoce como malware— para obtener acceso no autorizado a un sistema informático o a una red. La infección puede adoptar la forma de un virus, un troyano, un gusano, un programa espía, un programa publicitario, un rootkit u otro tipo de malware, como el ransomware.

En la comunidad de la ciberseguridad, los ataques de día cero suelen ser un tema candente de debate entre dos corrientes de pensamiento. Según una de ellas, un ataque de día cero es aquel que aprovecha una vulnerabilidad que aún no se ha descubierto, mientras que la otra corriente se refiere a él como un ataque que aprovecha una vulnerabilidad el mismo día en que se hace pública, pero antes de que se publique un parche.

En cualquier caso, un ataque de día cero es un ciberataque capaz de paralizar la red de una organización y causar graves perjuicios económicos y de reputación. Por ello, es fundamental que las empresas tengan en cuenta los ataques de día cero a la hora de diseñar su infraestructura de seguridad y redactar sus políticas de seguridad.

¿Por qué son tan peligrosos los ataques de día cero?

A medida que los ciberataques acaparan los titulares de los medios de comunicación, las empresas se preocupan cada vez más por algo más que el daño a su negocio y a su reputación. Las empresas también deben preocuparse por el daño potencial que los ciberdelincuentes pueden causar a sus socios y clientes. Al utilizar la infraestructura informática o los datos de la organización que ha sufrido la brecha inicial, los ciberdelincuentes pueden intentar encontrar una puerta trasera para acceder al entorno informático de uno de los clientes o socios de la víctima, lo que se conoce como ataque a terceros o a la cadena de suministro. Se trata de una táctica cada vez más frecuente, y los delincuentes tienen como objetivo empresas de todos los tamaños y sectores, incluidas las pequeñas y medianas empresas (pymes), que suelen contar con un sistema de ciberseguridad básico más fácil de vulnerar para poder atrapar a los peces gordos.

Los autores de las amenazas persistentes avanzadas (APT), a menudo hackers vinculados a Estados-nación o que actúan en nombre de estos, no dudan en recurrir a ataques de día cero para llevar a cabo operaciones encubiertas que pueden pasar desapercibidas durante largos periodos de tiempo, lo que les permite espiar, propagar malware o robar información de forma sigilosa. A medida que la ciberdelincuencia patrocinada por Estados se vuelve más común, todas las empresas corren el riesgo de sufrir ataques de los autores de APT, que no dudan en explotar vulnerabilidades de la cadena de suministro, como una falla de día cero o software sin parches, para realizar el trabajo sucio que les permite atacar objetivos gubernamentales y de infraestructura.

Los ciberataques que aprovechan vulnerabilidades de día cero son especialmente peligrosos, ya que las probabilidades se inclinan a favor precisamente de aquellas personas de las que se necesita protegerse. Cualquier ataque que aproveche una vulnerabilidad de día cero puede resultar muy costoso para una empresa, con consecuencias como la pérdida de ingresos, la recuperación tras un ataque de ransomware, la pérdida de productividad, el robo de datos, el tiempo de inactividad de los sistemas, el daño a la reputación y las sanciones normativas.

¿Existe alguna forma de defenderse contra los ataques de día cero? 

Puede resultar difícil identificar los ataques de día cero, sobre todo si se llevan a cabo de forma sigilosa. A menos que los atacantes tengan la intención de llamar la atención del público, cuando se detecta un ataque de día cero suele ser ya demasiado tarde para que las víctimas puedan mitigarlo. Incluso las mejores herramientas antivirus y antimalware a veces no logran detectar un ataque de día cero porque carecen de la firma necesaria para identificar el malware en uso. Sin embargo, las herramientas basadas en IA tienen muchas más probabilidades de detectar amenazas de día cero. Al recopilar su propia inteligencia sobre amenazas, las soluciones de IA ajustan la protección más rápidamente, ya que no dependen de informes de amenazas para detectar las vulnerabilidades que dan lugar a ataques de día cero.

Cuando se trata de protegerse contra los ataques de día cero, más vale prevenir que curar. La aplicación regular de parches, la realización de comprobaciones de seguridad rutinarias y la formación de los empleados para que se mantengan alerta ante los vectores de ataque más comunes son algunos de los factores que pueden contribuir en gran medida a prevenir los ataques de día cero. La elección de soluciones de seguridad basadas en la inteligencia artificial también puede proporcionar una protección crucial contra los ataques de día cero gracias a la detección temprana y a una mayor resiliencia cibernética. Una investigación de IBM muestra que la seguridad automatizada detecta aproximadamente un 40 % más de amenazas que la seguridad convencional, incluidos los exploits de día cero. 

Aunque tus herramientas de seguridad no detecten ninguna actividad sospechosa, hay algunos indicios reveladores que pueden apuntar a un posible ataque de día cero, como fallos frecuentes del sistema, un rendimiento lento del hardware y el software, cambios no autorizados en la configuración del sistema, pérdida de espacio de almacenamiento y un uso indebido evidente de las credenciales.

A continuación te ofrecemos algunos consejos para proteger tu entorno informático frente a los ciberataques de día cero.

Implementar el control de puntos de acceso a la red y de los dispositivos finales: utilice una herramienta de acceso a la red para garantizar que solo los equipos autorizados puedan acceder a la red de la empresa, junto con una solución segura de gestión de identidades y accesos que impida el acceso a usuarios no autorizados. Además, segmente la red de tal manera que, en caso de una brecha de seguridad, la parte infectada pueda contenerse y aislarse del resto. El inicio de sesión único para las cuentas de usuario ofrece a los equipos de TI la capacidad de poner rápidamente en cuarentena y retirar los permisos de una cuenta de usuario que pueda estar comprometida. También facilita garantizar que los empleados solo puedan acceder a los sistemas y datos que necesitan para realizar su trabajo.

Utilice una solución avanzada o automatizada de seguridad del correo electrónico: a pesar de la enorme cantidad de información disponible sobre los correos electrónicos de phishing, la ingeniería social y la suplantación de identidad, la sofisticación de los mensajes de phishing actuales hace que detectarlos sea un verdadero reto. Se trata de un problema grave, ya que el 90 % de los incidentes que terminan en una filtración de datos comienzan con un correo electrónico de phishing. Con una solución de seguridad de correo electrónico de vanguardia, su empresa estará en mejores condiciones para detectar y detener mensajes peligrosos tanto dentro como fuera de su red, así como para analizarlos en busca de virus. El uso de una solución de seguridad de correo electrónico con una sólida capacidad antiphishing ayuda a garantizar que los empleados tengan una exposición mínima a amenazas como los correos electrónicos infectados con virus y también reduce el riesgo de que alguien caiga en una estafa de phishing.
El phishing está costando a las organizaciones 14,8 millones de dólares en 2021, siendo la pérdida de productividad un componente significativo del coste anual. 

Realice copias de seguridad de sus datos con regularidad: es fundamental que todas las empresas desarrollen su resiliencia cibernética mediante la implantación de procedimientos de recuperación del negocio y de copia de seguridad de los datos, como medida de mitigación frente a los daños causados por la ciberdelincuencia. El auge de los mercados de datos en la dark web garantiza una alta rentabilidad a los ciberdelincuentes que trafican con ellos, especialmente con la información de identificación personal (PII). La situación es aún peor cuando los ciberdelincuentes cifran los datos de una empresa y exigen un rescate que puede ascender a millones. Las soluciones de copia de seguridad de calidad son cruciales para que las empresas puedan reanudar su actividad rápidamente al iniciar la recuperación tras un ciberataque. Según un informe del ITIC, el tiempo de inactividad de un servidor puede costar hasta 1.670 dólares por servidor y por minuto,lo que supone un coste por hora de interrupción del servicio de 100.000 dólares.

Contrarresta las amenazas con herramientas modernas de seguridad de confianza cero: el uso de herramientas de seguridad de nueva generación que adoptan los principios de la seguridad de confianza cero tiene un impacto enorme en la ciberresiliencia de una empresa, incluida su capacidad para resistir los ataques de día cero. La base de la seguridad de confianza cero es la adopción de una solución segura de gestión de identidades y accesos en toda la empresa que incluya la autenticación multifactorial (MFA). Al exigir la autenticación de todos los usuarios en cada inicio de sesión, las soluciones de IAM crean importantes barreras contra las intrusiones a través de las cuentas de usuario. La MFA por sí sola puede prevenir el 99 % de los ciberataques basados en contraseñas. El uso de otras herramientas de control de acceso, como los cortafuegos de nueva generación (NGFW) o alojados en la nube, puede ampliar aún más esa ventaja. Al configurarlos para permitir únicamente las transacciones necesarias realizadas por usuarios autenticados, se garantiza la máxima protección. 

Elige un buen sistema de protección contra intrusiones en el host (HIPS): los programas de monitorización como el HIPS ayudan a detectar actividades sospechosas en los terminales del host. Dado que analiza el comportamiento del código, esta herramienta es más eficaz a la hora de detectar nuevo malware que podría pasar desapercibido para las soluciones antivirus tradicionales. Si un atacante intenta actuar sin ser detectado en tu red, el HIPS está mejor diseñado para detectarlo que una solución antivirus o antimalware.

Convierte la creación de una sólida cultura de seguridad en una prioridad absoluta: Asegurarse de que los empleados dispongan de las herramientas y los conocimientos necesarios para detectar y detener los ciberataques mediante la creación de una sólida cultura de seguridad contribuye en gran medida a evitar que los ataques de día cero tengan éxito. La formación en concienciación sobre seguridad es una forma importante de lograrlo, ya que cuando los empleados comprenden las amenazas, todos se sienten parte del equipo de seguridad. Esto fomenta buenas prácticas de seguridad y permite a los empleados detectar ciberataques, incluidas las amenazas de día cero. Los mensajes de phishing son vectores habituales de las amenazas de día cero; Google reveló que el 68 % de los mensajes de phishing que detiene son ataques de día cero. Los navegadores también son canales habituales que utilizan los hackers para engañar a los usuarios y que descarguen malware. Evite abrir sitios web sospechosos o hacer clic en enlaces dudosos. Su sistema podría infectarse con malware, lo que podría comprometer la red de su empresa.

Manténgase alerta ante las actualizaciones y las posibles intrusiones: Asegurarse de que las aplicaciones, el software y los sistemas operativos se actualicen con regularidad —a ser posible, inmediatamente después del lanzamiento de una actualización— es fundamental para detener los ciberataques basados en vulnerabilidades de día cero. Las actualizaciones son la forma en que los desarrolladores solucionan esos problemas. Los ataques de día cero pueden ser difíciles de detectar directamente, pero a veces hay señales de advertencia que pueden indicarle el camino correcto. Cualquier inicio de sesión de un usuario desconocido o actividad sospechosa en una cuenta es motivo de sospecha. Esté atento a comportamientos extraños en sus sistemas o aplicaciones, como bloqueos, bloqueos de acceso o cambios inesperados. Realice pruebas de penetración periódicas para determinar la seguridad de su entorno. Al identificar y corregir las vulnerabilidades antes que los hackers, puede evitar posibles ataques.

¿Qué es un parche de día cero?

Un parche de día cero es un término que se utiliza para describir un parche específico o especial destinado a solucionar vulnerabilidades de día cero. Es imprescindible aplicar estos parches de inmediato para subsanar las vulnerabilidades y neutralizar las posibles vías de ataque, con el fin de frustrar un ciberataque. 

Manténgase alerta ante las amenazas de día cero con Kaseya 

Con Kaseya VSA, puede gestionar de forma centralizada las vulnerabilidades de las plataformas Windows y macOS, así como de las aplicaciones de terceros, mediante una gestión de parches totalmente automatizada. Este enfoque basado en políticas, escalable, seguro y altamente configurable, no depende de la ubicación y consume poco ancho de banda. 

Además de revisar y anular parches, VSA te permite consultar el historial de parches y automatizar la implementación e instalación de software y parches tanto en dispositivos conectados a la red como en aquellos que no lo están. Además, la herramienta garantiza que todos los equipos cumplan con las políticas de aplicación de parches.

Kaseya VSA es una práctica solución de supervisión y gestión remota (RMM), gestión de terminales y supervisión de redes que proporciona a su empresa todas las herramientas necesarias para garantizar su seguridad y su éxito. Solicite una demostración gratuita para descubrir cómo VSA puede ayudarle a hacer frente a los retos de seguridad específicos de su empresa.

Solicita una demostración gratuita de VSA 

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 es la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Los clientes de Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe Global de Referencia para MSP 2025

El Informe Global de Referencia para MSP 2025 de Kaseya es su recurso de referencia para comprender hacia dónde se dirige la industria.

Descargar ahora

Explora las categorías

¿Qué es la gestión de vulnerabilidades? Definición, pasos del proceso, ventajas y más

La gestión de vulnerabilidades es una estrategia de ciberseguridad que permite a las organizaciones identificar, priorizar y mitigar los riesgos de seguridad en todo su entorno informáticoSeguir leyendo

Leer la entrada del blog
Icono de escudo: ciberseguridad, protección de redes de datos digitales, concepto básico de las conexiones de redes de datos digitales en el futuro.

3 vulnerabilidades que debes subsanar para proteger al personal remoto de tus clientes

La transición hacia el teletrabajo se aceleró considerablemente durante el último año, a medida que las empresas de todo el mundo pedían a sus empleadosSeguir leyendo

Leer la entrada del blog
Base de datos nacional sobre vulnerabilidad

Explicación de la base de datos nacional sobre vulnerabilidad (NVD)

En nuestra entrada anterior del blog —Patch Tuesday: octubre de 2020—, hablamos brevemente sobre los números de vulnerabilidad y exposición comunes (CVE) y cómo el softwareSeguir leyendo

Leer la entrada del blog