¿Qué es una vulnerabilidad Zero Day?

Como su nombre indica, una vulnerabilidad de día cero o Zero Day, es un tipo de vulnerabilidad que acaba de ser descubierta y que aún no tiene un parche que la solucione. La principal amenaza reside en que, hasta que se lanza dicho parche correctivo y los usuarios lo instalan en sus equipos, los atacantes tienen vía libre para explotar la vulnerabilidad y sacar provecho del fallo de seguridad. A este tipo de ataques, se les denomina ataques de día cero o Zero day attack.  

¿Cómo descubren los atacantes estas vulnerabilidades?

Los ciberdelincuentes invierten una gran cantidad de tiempo en la búsqueda de nuevas formas con las que llevar a cabo sus ataques, por ejemplo, tratando de identificar durante horas posibles fallos en el código de algún software, servicio o página web. Sin embargo, la estructura interna de una página web o una aplicación es muy compleja, y encontrar puntos débiles en su código es una tarea increíblemente compleja para una persona.

A continuación, el paso a paso desde que se descubre una vulnerabilidad, hasta que se diseña un parche para solucionarla:

1. Un fabricante de software acaba de lanzar al mercado una aplicación para dispositivos móviles que rápidamente se pone de moda. Sin saberlo, el código detrás de la aplicación contiene un fallo que se traduce en una vulnerabilidad de día cero. 
2. Un grupo de ciberdelincuentes, conscientes de la reciente popularidad de la app, lanzan varios ataques contra ella para identificar posibles fallos en su seguridad. Finalmente, dan con la vulnerabilidad, que les permite acceder al código de la aplicación.
3. Los atacantes escriben e implementan un código o script para explotar la vulnerabilidad y se aprovechan de ella mientras esté disponible, es decir, mientras el desarrollador no aplique un parche que lo corrija.
4. Como consecuencia de lo anterior, los usuarios comienzan a notar fallos en la apps y notifican al fabricante el mal funcionamiento de la misma. Los desarrolladores lo investigan y detectan la vulnerabilidad. Rápidamente, preparan una actualización con la que solucionar la vulnerabilidad. 
    

Una vez se descubre y soluciona la vulnerabilidad, deja de ser una vulnerabilidad de día cero. Lamentablemente, este tipo de vulnerabilidades no se descubren de inmediato, y pueden pasar días, semanas e incluso años hasta que se descubren las consecuencias de los ciberataques. 

¿Cómo afecta a los usuarios?

Desde que el atacante descubre la vulnerabilidad, hasta que el fabricante lanza una actualización con la que resolverla, el ciberdelincuente ha tenido tiempo para comprometer la seguridad del sistema e instalar malware, robar datos o modificar el comportamiento de la aplicación o servicio.

Algunos ejemplos de malware utilizados en ataques de día cero son: ransomware, keylogger, adware o spyware, entre otros. En el caso de robo de datos, la prioridad del atacante es obtener el mayor número de credenciales de acceso, correos electrónicos e información personal posible. 

Uno de los objetivos favoritos son los navegadores Web, debido a lo extendidos que están y a la cantidad de información que almacenan sobre los usuarios, como credenciales o hábitos de búsqueda.

Como usuarios, el nivel de amenaza que supone una vulnerabilidad de este tipo es muy alta. Primero, porque el atacante aprovecha una vulnerabilidad de la propia estructura interna de la app o servicio web, con lo cual no tenemos control, ni opción con la que protegernos. Y segundo, porque podemos llegar a comprometer nuestros dispositivos realizando acciones tan comunes, como utilizar el navegador web, navegar por una página web fiable o simplemente ejecutando algún archivo multimedia.

¿Cómo podemos protegernos?

Cuando se trata de vulnerabilidades, la medida más importante que debemos seguir para proteger nuestra seguridad y privacidad es la de mantener activadas todas las herramientas de protección de las que se disponga. Un antivirus instalado y actualizado puede suponer la diferencia entre un dispositivo infectado y una amenaza contenida.

Además, otra medida fundamental es la de mantener actualizado el software del dispositivo que se utilice. Las actualizaciones no son un capricho del desarrollador, sino parches de seguridad que solucionan errores, cierran brechas y vulnerabilidades que han sido descubiertas, como es el caso de las de día cero.

En conclusión, no siempre depende de los usuarios  la tarea de proteger los equipos de los ciberataques, pero sí la responsabilidad de asegurarse de mantener activas todas las herramientas de protección, así como seguir las pautas y buenas prácticas.