¿Cómo descubren los cibercriminales las vulnerabilidades de día 0?

ciberdelincuente

Las amenazas de día 0 surgen cuando nadie sabe que existe un fallo, entonces ¿Cómo hacen los ciberdelincuentes para detectar estas vulnerabilidades? En este artículo aprenderemos por qué los hackers son los primeros en descubrir fallos de seguridad.

Fuzzing: Es una técnica empleada por los cibercriminales que implica introducir grandes cantidades de datos en intervalos de tiempo distintos para analizar cómo responde un programa, el objetivo principal es sobrecargar el programa para que se bloquee, ya sea por la cantidad de datos que recibe o por el comportamiento inesperado, este bloqueo muchas veces abre la puerta a ejecutar código con errores, que los hackers aprovechan para sobrescribir códigos y acceder al sistema.

Reciclar: Una de las técnicas más comunes llevadas a cabo por los cibercriminales es analizar fallos anteriores para aprovecharlos en programas similares, o entender la solución o parche para saltar la protección, muchas veces los cibercriminales analizan el mismo contenido de los parches de seguridad y actualizaciones de software de seguridad para buscar cualquier vulnerabilidad que puedan aprovechar.

Compra de información: Algunos hackers se dedican exclusivamente a encontrar vulnerabilidades y vender esta información a otros hackers para que exploten la vulnerabilidad, pagar por esta información es una práctica común entre hackers.

¿Por qué son tan habituales los ataques de día 0?

En cuanto a repetición las amenazas de día 0 fueron el tipo de malware más habitual en 2020 y se espera que la tendencia continúe por un par de años más, curiosamente el hecho de que estas vulnerabilidades son difíciles de encontrar motiva a los hackers a buscarlas, también como mencionábamos antes el comercio de estas vulnerabilidades es común y se ofrecen miles de dólares por este tipo de información. Conocemos algunos mercados en donde esta información vale oro.

Mercado negro: Donde las actividades delictivas son el principal foco para los interesados, también se conoce como comercio en la Dark web.

Mercado Blanco: Algunas empresas ofrecen recompensas por esta información, los hackers de White hat venden la información a estas empresas para que corrijan los errores y eviten ataques.

Mercado gris: Este mercado es principalmente militar y las vulnerabilidades se usan en la guerra tecnológica entre países.

¿Quiénes son vulnerables a este tipo de amenazas?

La respuesta es contundente, las empresas, organizaciones e instituciones.

El objetivo de los atacantes es interrumpir las operaciones u obtener acceso a información confidencial para negociar con la victima una recompensa, estos ataques suelen ser a gran escala, por lo que no afectan a las personas común y corrientes, aunque existe un porcentaje de individuos privados que han sido víctimas de ataques de día 0, en donde se obtiene el acceso a cuentas bancarias o tarjetas de crédito personales.

En el siguiente artículo te mostraremos algunos ataques de día 0 con gran impacto en el pasado, no te lo puedes perder. Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

#NovaInforma


¿Por qué los parches tardan tanto el salir?

amenazas de día 0

Continuando con nuestra investigación sobre las amenazas de día 0, hoy trataremos uno de los temas más curiosos sobre el tópico, y es que aunque ya sabemos qué son y por qué son tan peligrosas estas amenazas, es difícil hacerse una idea de cómo los desarrolladores corrigen estos problemas desconocidos.

Detectando amenazas de día 0

Cuanto más tiempo pase una amenaza de día 0 sin ser detectada, más posibilidades hay de que los hackers las aprovechen y hagan múltiples ataques, la realidad es que es muy complicado detectar estas amenazas, pero la forma de hacerlo es la siguiente:

  • Análisis de comportamiento: Muchas veces se intenta detectar amenazas siguiendo patrones de comportamiento de ataques anteriores, si se detectan comportamientos extraños puede significar que está sucediendo un ataque.
  • Estadística: el volumen de flujo de datos dentro de una organización suele ser similar entre periodos, un cambio de este volumen podría ser una señal de ataque, también se sabe que los ataques suelen ser lanzados después de las actualizaciones importantes de seguridad, esta es otra variable que se tiene en cuenta para la detección.
  • Ataques previos: los desarrolladores miran vulnerabilidades aprovechadas anteriormente que podrían volver a aparecer en otro momento, así se preparan para posibles ataques futuros.

Aún con todas estas medidas de prevención, los ataques de día 0 suelen ser vulnerabilidades que nunca antes se habían visto, cuando pasan estos filtros la única manera de defenderse de ellas es corregir la vulnerabilidad hasta que ya fue usada en un ataque, el tema es que los desarrolladores probablemente lanzarán el parche hasta su siguiente actualización, por ello es que los ataques son más comunes después de estas actualizaciones, así los delincuentes tienen más tiempo para explotar la vulnerabilidad.

Muchas veces las herramientas de protección contra malware, hacking y diversas amenazas de internet brindan soluciones a estas amenazas antes que los desarrolladores, por ello es importante contar con una buena estrategia de ciberseguridad en todos los niveles, si quieres saber más de cómo crear tu propia estrategia de ciberseguridad para tu organización contáctanos.

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma

Amenazas de día 0

amenaza de día 0

Debido a la aparición de la reciente vulnerabilidad Apache Log4j, es clara la tendencia de este tipo de ataques, por ello comenzamos una investigación profunda en donde detallamos qué es un ataque de día 0 y te hablamos de cómo defenderte de estas amenazas, ahora queremos contestar algunas preguntas comunes.

¿Por qué se llaman amenazas de día cero?

El hecho de aprovechar una vulnerabilidad de software que los mismos desarrolladores no conocen en el momento del ataque, es lo que da el nombre a estas amenazas, los desarrolladores tienen 0 días para corregir el fallo para evitar que la amenaza se propague y sea aprovechada de forma masiva.

Crear un parche de vulnerabilidades de este tipo no es tarea fácil, normalmente los desarrolladores despliegan actualizaciones una vez al mes, lo que vuelve vulnerable a las organizaciones por periodos de tiempo largos.

¿Estos ataques son peligrosos?

La respuesta corta es sí. Y el motivo principal es que no existe un método de detener la amenaza en principio hasta que se publique un parche, como vimos en el punto anterior esto puede llevar tiempo. Otro punto clave es que las organizaciones no siempre actualizan su software apenas se publiquen los parches ampliando aún más el tiempo de vulnerabilidad.

Estos puntos son aprovechados por los ciberdelincuentes quienes constantemente atacan al mayor número de personas mientras se encuentra una solución al problema comprometiendo los datos de estas.

Es importante tener una estrategia de ciberseguridad sólida con herramientas de protección contra malware, hacking y diversas amenazas de internet si tienes alguna duda contáctanos.

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma

Amenazas de “Día Cero”

ciberataque día 0

A principios de mes publicamos un artículo sobre un ataque de día 0 a Windows 11, el fin de semana pasado anunciamos una alerta por la vulnerabilidad de día 0 Apache Log4j, es clara la tendencia de este tipo de ataques y notamos que nuestra audiencia tiene muchas dudas y opiniones sobre el tema, por ello en Nova decidimos dedicar algunos artículos a este tópico y presentar nuestra investigación a aquellos que la necesiten. 

¿Qué son las amenazas de día cero?

Aquellos fallos de seguridad nuevos que son explotados antes de que los proveedores de seguridad los noten, por tanto, no existe protección específica para combatirlos. Los desarrolladores descubren una amenaza de día cero únicamente después de un ataque, por ello tienen cero días de advertencia para crear un parche.

Si un hacker identifica una vulnerabilidad de software, empieza a trabajar para aprovecharla, aquí empieza una carrera, ¿podrá hacerlo antes de que los desarrolladores de software la detecten también y creen una solución?

Estos programas maliciosos aprovechan la vulnerabilidad de sistemas y aplicaciones para sus ataques hasta que se identifica y los desarrolladores crean un parche para corregir la vulnerabilidad, pero, la publicación de estos parches lleva algún tiempo y los sistemas están en peligro mientras no se apliquen estas correcciones, muchas veces incluso después de la publicación de parches, si el área de seguridad de TI no despliega los parches en su red, el riesgo sigue vigente.

¿Qué hacer para evitar este tipo de amenazas?

Se recomienda crear una estrategia de ciberseguridad robusta y mantener especial atención a las alertas de amenazas de día cero, la mejor protección se consigue desde varios puntos, algunos de los más importantes son:

Firewall: Estas soluciones funcionan como filtros para permitir solo el tráfico necesario de información, manteniendo al mínimo el peligro de amenazas

Correcta gestión del inventario de activos de TI: Es clave tener visibilidad de todo el parque informático para poder mantener actualizados los parches que los proveedores facilitan, al mismo tiempo, eliminar del sistema aplicaciones obsoletas que muchas veces son el origen de ataques.

Seguridad por capas: Implementar una estrategia integral de seguridad de la información permite tener controles definidos, el concepto de múltiples capas argumenta que es mejor colocar varias capas de defensa consecutivas en lugar de una línea única muy fuerte.

El modelo de seguridad por capas funciona de la siguiente manera:

 1. Directivas, procedimientos y concienciación

  • Orientada a las personas:
    • Políticas
    • Procedimientos
    • Campañas de concientización
    • Cultura de Seguridad Informática

2. Perímetro

  • Orientada a proteger la red interna de ataques externos:
    • Firewall
    • Data Loss Prevention (DLP)
    • Intrusion Prevention System (IPS)
    • Distributed Denial of Service (DDoS)
    • Wireless Security
    • Virtual Private Network (VPN)

3. Red Interna

  • Orientada a proteger la red interna de ataques internos:
    • Virtual LAN (VLAN)
    • Network Access Control (NAC)
    • Access Control List (ACL)
    • Secure Socket Layer (SSL)
    • Network Intrusion Detection System (NIDS)

4. Host

  • Orientada a proteger los dispositivos de la red interna:
    • Desktop Management
    • Patch Management

5. Aplicación

  • Orientada a proteger las aplicaciones:
    • Desarrollo Seguro de Aplicaciones
    • Web Application Firewall
    • Identity and Access Management (IAM)
    • Demilitarized Zone (DMZ)
    • Virtual LAN (VLAN)
    • Patch Management

6. Datos

  • Orientada a proteger los datos:
    • Data Loss Prevention (DLP)
    • Cifrado de la Información
    • Respaldo / Réplica de Información
    • Disaster Recovery Plan (DRP)
    • Data Access Audit

Aunque existen muchas opciones en cada capa, tu estrategia de ciberseguridad debe ajustarse a las necesidades de tu organización, para más información Contáctanos

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

Consulta las fuentes de este artículo aquí:

#NovaInforma