Hoy hablaremos de uno de los términos que provocan más miedo entre los equipos de IT de las organizaciones.
El temido “día cero” (zero day)
Es el término utilizado para nombrar aquellas vulnerabilidades y/o ataques de los que se tiene conocimiento globalmente y que pueden comprometer sistemas antes que los proveedores de software o hardware afectados dispongan de una solución correctora a dicha vulnerabilidad y que son utilizadas activamente.
Es te término se utiliza para las vulnerabilidades, para los exploits y para los ataques. De forma descriptiva podemos deducir que cada una de ellas indican que en el momento que son notificados estamos en riesgo ya que no disponemos de un parche previo para protegernos.
Normalmente cuando no encontramos ante una vulnerabilidad, lo ideal es notificar al proveedor de software o fabricante para que tenga tiempo a desarrollar el parche o contramedidas para distribuirlo y parchear los sistemas antes que sea de dominio publico para minimizar el riesgo.
Para ello hay programas de Bug bounty donde incluso las organizaciones ofrecen recompensas a aquellas personas (desarrolladores, hackers éticos …) que proveen de información sobre vulnerabilidades. Es algo habitual y normal en nuestros días. Pero puede darse el caso que quien descubra la vulnerabilidad no sea tan ético y busque fines un poco más oscuros por lo que no notifica al fabricante o si lo hace lo puede chantajear en hacer público.
En el caso de la publicación de una vulnerabilidad sin el parche correspondiente da pie a los cibercriminales a desarrollar aplicaciones que abusan de estos problemas de seguridad para atacar organizaciones y particulares. Lo que de una vulnerabilidad zero day pasaríamos a un exploit zero day y ante un posible ataque zero day. Lo uno es consecuencia de lo anterior.
En este tipo de casos de el de la famosa infección de empresas a partir de la vulnerabilidad ETERNABLUE que permitía atacar sistemas Microsoft Windows del que se aprovechó el ransomware WanaCry en el 2018. Microsoft comenzó a proveer del parche correspondiente al día siguiente de conocerse el problema.
¿Como nos protegemos?
Como siempre en todos los casos siempre debemos tener los antivirus actualizados con las últimas firmas. Tener y mantener actualizadas las aplicaciones necesarias para nuestro día a día. Utilizar equipos de seguridad perimetral como por ejemplo un firewall. La educación de los usuarios ante comportamientos extraños.
Cuando recibimos una comunicación de un zero day normalmente el fabricante publica, mientras desarrolla el parche, conjuntos de contramedidas que seguramente se puedan aplicar a los sistemas afectados. Para mitigar el impacto que pueda tener recibir un ataque de este estilo. Luego hay que estar atentos a la publicación del parche y aplicarlo de forma urgente.
Para asegurar que se siguen las medidas recomendadas de prevención de zero day y, en general, la mejora de la ciberseguridad de la empresa se recomienda hacer seguimiento de la seguridad informática y realizar auditorías regulares para comprobar que se llevan a cabo las buenas prácticas.