Les anomenades vulnerabilitats de dia zero o Zero Day reben aquest nom per haver estat descobertes sense que ningú en tingui coneixement. Això suposa un factor de risc especial en la mesura que aquesta vulnerabilitat pot ser explotada pels ciberdelinqüents durant tot el període de temps que un pedaç, que corregeixi la fallada, trigui a ser desenvolupat i publicat.

Una vulnerabilitat de dia zero és una fallada en la seguretat d’un sistema que encara no ha estat identificat i no està corregit al programari. Quan els atacants troben i exploten aquests errors fan un atac de dia zero o Zero Day, tot aprofitant l’absència de defenses específiques contra aquesta vulnerabilitat.

Parant atenció al passat, podem observar com moltes vegades s’han explotat vulnerabilitats de dia zero per tal de comprometre equips arreu del món. Casos com Stuxnet o, més recentment, la vulneració del protocol HTTP/2 Restabliment ràpid denoten la gravetat d’aquest tipus d’atacs.

I els atacants, com descobreixen aquestes vulnerabilitats?

Hi ha múltiples maneres mitjançant les quals els atacants descobreixen vulnerabilitats Dia Zero. Algunes de les més comunes són les següents:

• Recerca i anàlisi de programari. Els atacants trien una aplicació (preferentment alguna que tingui molts usuaris) i es dediquen a analitzar profundament el codi fent proves de penetració i revisant la documentació i els canvis de configuració a les actualitzacions del programari.
• Adquisició al mercat negre. Sovint, els atacants busquen aquestes vulnerabilitats per tal de fer negoci amb elles, és a dir, vendre-les al millor postor. En aquest cas, són altres delinqüents els que paguen per conèixer aquestes vulnerabilitats per aprofitar-les i fer ells mateixos els atacs a les empreses.
• Fuzzing, és com s’anomena la tècnica mitjançant la qual els atacants fan servir eines automatitzades que envien dades aleatòries o no previstes a les aplicacions i observen com responen per detectar-ne les vulnerabilitats.

Fins i tot, de vegades, els ciberdelinqüents es guarden sota la màniga el coneixement de l’existència de les vulnerabilitats esmentades, per tal d’explotar-les posteriorment en un moment estratègic en què puguin treure més rèdit financer, com en una situació de crisi.

De quina manera afecta les empreses?

Des que l’atacant descobreix la vulnerabilitat fins que el fabricant la detecta i llança una actualització per resoldre-la, el ciberdelinqüent ha tingut temps per comprometre la seguretat del sistema i instal·lar-li programari maliciós, robar dades o modificar el comportament de l’aplicació o el servei.

Per tant, aquest tipus de vulnerabilitats suposen per a les empreses, en primer lloc, una bretxa de seguretat enorme que podria permetre que un atacant accedeixi a dades confidencials. A més, podria suposar costos financers enormes per a la mitigació de l’atac, i haver de fer front a la recuperació de les dades perdudes o assumir els possibles costos legals de la pèrdua de dades de clients.

Totes les empreses treballen amb programari, dispositius o sistemes operatius que en algun moment poden ser afectats per una vulnerabilitat de dia zero o Zero Day. Recentment, s’estan aconseguint avenços prometedors en la lluita proactiva contra aquest tipus de vulnerabilitats.

Tanmateix, imaginem-nos un escenari en el qual una empresa treballa amb un programari de gestió de projectes determinat per coordinar equips i tasques. Un dia, un grup de ciberdelinqüents descobreix una vulnerabilitat de dia zero en aquest programa. Aquesta vulnerabilitat podria permetre executar codi maliciós als servidors de l’empresa on està instal·lat el programari.

En aquests casos, els ciberdelinqüents desenvolupen un exploit (programari o seqüència d’ordres) que els permet aprofitar aquesta vulnerabilitat i decideixen distribuir-lo, per exemple, mitjançant un atac de pesca. Per això, elaboren una sèrie de correus electrònics que semblen procedir del departament de TI, i indiquen que s’ha llançat una actualització i tots se l’han de descarregar i instal·lar als seus equips.

Els treballadors de l’empresa que rebessin aquests correus podrien pensar que són legítims i, per tant, podrien descarregar i instal·lar l’actualització adjunta al correu, que en realitat és un exploit fabricat pels ciberdelinqüents per explotar la vulnerabilitat dia zero descoberta prèviament.

Les conseqüències de l’escenari descrit podrien ser devastadores, perquè es pot donar el cas que no es detectés la intrusió als sistemes fins passat un temps. D’altra banda, no es podria corregir la fallada fins que l’empresa percebés la situació inusual i informés la vulnerabilitat al fabricant, el qual desenvoluparia un pedaç per corregir-la en el menor temps possible.

Com podem protegir la nostra empresa?

Igual que amb la resta d’amenaces, la conscienciació en ciberseguretat dels empleats i de la mateixa empresa és crucial per fer front a aquest tipus d’amenaça concret.

D’altra banda, és fonamental que els responsables de les TI de l’empresa revisin amb assiduïtat la secció d’avisos per a empreses d’INCIBE. En aquesta secció s’informa de la detecció de vulnerabilitats tal com se’n té coneixement. Aquests minuts o hores d’avantatge poden ser crucials perquè una empresa aconsegueixi actuar per mitigar l’impacte de la vulnerabilitat.