El aumento de las amenazas de día cero

El rápido aumento de las amenazas de día cero se ha convertido en una de las grandes amenazas actualmente. Tan solo en 2022, SonicWall observó que se explotaron de forma activa 35 amenazas de día cero, mientras que se descubrieron 26.448 CVE’s (Common Vulnerabilities & Exposures), un 31% más que en 2021. Además, los cibercriminales han intensificado su búsqueda de vulnerabilidades de día cero debido al mayor potencial de recompensa de este tipo de exploits.

Para mitigar el riesgo, las empresas de todos los tamaños deben conocer los exploits de día cero y estar preparadas para el caso de que su organización sea el blanco de un ataque. Una verdadera amenaza de día cero es una vulnerabilidad no parcheada y no descubierta que se utiliza para explotar una empresa de forma inmediata. Esto no es solo una opinión: el Instituto Nacional de Estándares y Tecnología (NIST) de EEUU define una amenaza de día cero (zero-day vulnerability) de la siguiente manera: “Un ataque que explota una vulnerabilidad de hardware, firmware o software previamente desconocida”.

La motivación que hay detrás de los ataques de día cero

Los cibercriminales explotan vulnerabilidades de día cero para infiltrarse en las tecnologías más utilizadas. Cuantos más usuarios tengan una aplicación, un sistema operativo u otro software, más valioso es para los cibercriminales. Es por ello que el 75% de los exploits de día cero se dirigen contra productos de Microsoft, Apple y Google. Un buen exploit de día cero puede suponer millones de dólares en el mercado abierto.

Los borrosos límites del mercado de día cero

Los exploits de día cero son un bien muy codiciado. Los cibercriminales no son los únicos que quieren adquirir amenazas de día cero — también hay brokers del mercado blanco, brokers del mercado gris y brokers del mercado negro que compiten por comprar y vender amenazas de día cero.

Normalmente, el mercado blanco es el que paga menos. Este mercado está compuesto por investigadores de seguridad que ofrecen recompensas por cualquier vulnerabilidad que alguien pueda encontrar. El mercado blanco suele estar formado por los desarrolladores originales de un software.

El mercado gris lo conforman empresas que ofrecen grandes cantidades por adquirir amenazas de día cero. Algunas empresas ofrecen millones de dólares por las vulnerabilidades de mayor riesgo con exploits activos. Una vez adquiridas, esas organizaciones revenden los datos a las empresas que necesitan protegerse de la vulnerabilidad. El mercado gris se solapa tanto con el mercado negro como con el blanco. Los compradores del mercado gris también pueden ser clientes del sector privado, brokers que pretenden revender los exploits o incluso gobiernos que quieren utilizar estos exploits para recopilar inteligencia o para conseguir otros fines.

El mercado negro está compuesto por perpetradores de ataques y grupos cibercriminales. Cuentan con el capital necesario para competir con las empresas del mercado gris y pagar más por los exploits más buscados en el mercado. Para los cibercriminales, comprar amenazas de día cero es igual que para el propietario de una empresa reinvertir dinero en su negocio.

Esta es una de las razones por las que la gente cree que no se debería permitir a las empresas pagar rescates a los cibercriminales que han secuestrado sus datos y recursos, ya que al hacerlo contribuyen a perpetuar el cibercrimen.

El mercado de día cero tiene un diverso grupo de compradores y vendedores. Tanto si actúan maliciosamente como si trabajan para proteger los datos personales, todos contribuyen al mercado de las amenazas de día cero.

Durante los últimos años se han producido ataques devastadores de día cero que no sólo han afectado a organizaciones, sino a millones de personas en todo el mundo. Algunos ejemplos serían WannaCry, en 2017, que infectó a 300.000 dispositivos en todo el mundo, SolarWinds, en 2020, que produjo filtraciones de datos de varias agencias federales y cientos de empresas importantes, o Log4j, en diciembre de 2021, que existió durante ocho años antes de ser anunciada y afectó a millones de productos en casi todos los sectores.

Niveles de riesgo de las amenazas de día cero

A pesar del gran temor que suscitan las amenazas de día cero, en realidad representan un porcentaje relativamente bajo de todas las vulnerabilidades. Como hemos mencionado anteriormente, en 2022, de las 26.448 vulnerabilidades descubiertas, SonicWall identificó solo 35 vulnerabilidades de día cero que estaban siendo explotadas. Aunque los exploits de día cero pueden ser mucho más peligrosos que otras vulnerabilidades, las empresas no deberían centrar todos sus esfuerzos en prevenir un exploit de día cero, ya que la mayoría de las vulnerabilidades utilizadas por los cibercriminales ya tienen parches u otros remedios disponibles.

Medidas preventivas

Existen numerosas opciones para las empresas que desean proteger sus redes, usuarios y recursos no solo contra las amenazas de día cero, sino contra todas las vulnerabilidades. La tecnología Real-Time Deep Memory Inspection TM (RTDMI) de SonicWall aprovecha el poder de la inteligencia artificial para identificar tanto los exploits conocidos como los de día cero. La combinación del sandbox multimotor Capture ATP de SonicWall con la tecnología RTDMI puede detectar incluso amenazas que aún no muestran signos de ser maliciosas. La eficacia de nuestros algoritmos es muy elevada, y encuentran malware que muchos otros fabricantes de soluciones de ciberseguridad no detectan.

Aparte de las soluciones de hardware y software, las empresas también pueden protegerse con inteligencia de amenazas accionable y procedimientos cuidadosamente meditados: conocer bien los sistemas, priorizar la aplicación de parches o llevar a cabo procedimientos contra las vulnerabilidades. Y por supuesto, construir una verdadera defensa en profundidad, con visibilidad y control, atención especial por el acceso remoto a los recursos de la organización y a un coste razonable. Esa es la estrategia que propone SonicWall para mitigar riesgos a todo tipo de organizaciones.