Empecemos el año desde cero, comenzando por entender que es un “zero day exploit”; pese a que suena bastante complejo, no es más que uno de los más grandes problemas a nivel de seguridad informática cuando hablamos de ciberataques.
Estos ataques producidos por hackers son casi imposibles de detener y ocurre cuando éstos descubren una vulnerabilidad dentro de un software antes de que el fabricante del sistema la encuentre.
Todo ocurre antes de que el fabricante lance un parche para cubrir una vulnerabilidad, y justo en ese momento de vulnerabilidad los hackers aprovechan para extraer información o hacer daños en el sistema.
Este tiempo puede durar días o incluso años, muchas veces se hacen para atacar sistemas y extraer información recurrente.
¿Qué es un Exploit?
Un exploit es una pequeña pieza de código que es la que hace daño directo al sistema de manera específica.
El 0-day exploit se produce el mismo día en que se descubre la vulnerabilidad en el software; en pocas palabras es una vulnerabilidad de seguridad desconocida.
Cuando un usuario detecta que hay un riesgo de seguridad en un programa, puede informar al respecto a la compañía de software e incluso a otros usuarios, hasta que desarrollen el parche de seguridad para corregir el error.
Por regla general, los creadores del programa actúan con rapidez y crean una solución que mejora la protección del programa; sin embargo, la mayoría de los hackers van un paso adelante.
Cuando esto sucede, existe muy poca protección contra un ataque porque la falla del software es muy reciente. Los hackers aprovechan los 0-day exploit para infectar sistemas.
5 casos de 0-days exploits
1. Caso de la centrifugadora de uranio en Irán
Una investigación confirmó en 2011 que una fábrica de centrifugación de uranio en Irán explotó las centrifugadoras; se cree que todo fue a través de un virus que se replicaba y era sumamente silencioso.
Cuando detectaba que estaba instalado en un sistema scada (sistema de control), generaba un ataque, un 0-day exploit; y en septiembre de este año volvió a salir otro caso en Irán, en el cual una serie de generadores auxiliares se sobrecargaron y explotaron una vez más en una centrifugadora de uranio para impedir que Irán tenga armas nucleares.
2.Ciberataques a Cencosud
Cencosud sufrió de un hackeo masivo mediante un ransomware llamado ‘’Egregor”; las máquinas registradoras de los supermercados estaban arrojando un mensaje que se estaba imprimiendo a la fuerza en todas las máquinas.
Nadie tenía acceso a los sistemas informáticos de todos los diferentes supermercados con un mensaje de extorsión, donde se les pedían millones de dólares en bitcoin.
Los ciberdelincuentes le otorgaron a Cencosud un plazo de tres días para recuperar la información, o podrían publicar y vender datos sensibles de consumidores y de la empresa.
3. Prevención de ataque por parte de Kaspersky
Spearphishing derivado del phishing, es la combinación de técnicas de ingeniería social junto con 0-day exploit.
Kaspersky descubrió un caso así, donde Cozybear (un grupo de hackers) quería hackear a la Comisión Nacional Demócrata antes de las elecciones en USA, pero Kaspersky publicó toda la información por completo de cómo sería el ataque.
4. Hackeo a Jeff Bezos
Hackeo a Jeff Bezos que provocó su divorcio por medio de unas fotos comprometedoras que apuntaban a una infidelidad.
Se acusó al príncipe heredero de Arabia Saudita de acceder al teléfono del dueño de Amazon y del Washington Post, desde un número que habría sido usado por él mediante una foto encriptada de WhatsApp que provocó el 0-day exploit, mediante un hueco de seguridad.
Involucrándolo en la filtración de datos, lo que lo relaciona directo con el ataque y el supuesto hackeo con la cobertura del Washington Post sobre la muerte de Khashoggi (periodista del Washington Post ciudadano de USA y también nacido en Arabia Saudita que se consideraba crítico de Donald Trump y de los abusos humanitarios en Arabia Saudita contra Yemen y las mujeres).
Jeff Bezos decidió que iba a apoyar la investigación del caso y que iba a continuar tratando de entender el nivel de corrupción que existía entre Arabia Saudita y la administración Trump; y de aquí la razón de este gran hackeo.
5. Un ataque a los servidores de Windows
Microsoft anunció en los servidores Windows un ataque llamado “Zerologon”, lo que los hizo vulnerables en el proceso de login de Windows Server para resetear cualquier contraseña.
Y con ello poder tomar control de cualquier computadora que está en un entorno de active directory de Windows.
Empresas buscadoras de 0-days exploits
Hay múltiples empresas que buscan estos 0-days exploits y en vez de usarlos para atacar, los usan para anunciarle a estas organizaciones que tienen un problema y taparlo.
El año pasado Kaspesrky encontró 37 huecos de seguridad en diferentes sistemas de acceso a escritorio remoto, basado en el protocolo de VNC; lo publicaron y lo anunciaron primero de manera privada a los fabricantes, incluyendo los equipos de software libre y luego de manera pública para que las personas tuvieran la oportunidad de tapar el hueco y que no hubiera 0-day exploits.
Zerodium es una empresa de seguridad que se dedica a pagar a las personas por encontrar 0-day exploits.
Si encuentras un ataque que pueda hackear el sistema login de Windows pagan un millón de dólares. Si encuentran un ataque a sistemas antivirus, a routers, a sistemas de foros, pagan 10,000 dólares; y ataques a Safari a WordPress, pagan 100,000 dólares.
En el mundo móvil es mucho más alto el precio, si alguien encuentra una forma de atacar el protocolo FCP de Android paga 2.5 millones de dólares, para iOs 2 millones de dólares.
Justo ahí es el mundo en donde viven los hackers haciendo análisis de malware para encontrar 0-day exploits.
