El concepto de las vulnerabilidades de software de "zero day" o "día cero", no era muy conocido, además de ser misterioso e intrigante. Pero cuando los hackers son descubiertos explotando activamente estas nuevas fallas antes de que nadie sepa de ellas, es donde estas se hacen notar más y ahora ya se está conociendo un poco más este concepto. Cada vez que los investigadores van ampliando su enfoque para detectar y estudiar más estas explotaciones, se van evidenciando con más frecuencia. Esta semana, dos informes de la empresa de inteligencia sobre amenazas Mandiant y del equipo de búsqueda de errores de Google, Project Zero, pretenden dar una idea de la magnitud exacta de la explotación de los días cero en los últimos años.
Mandiant y Project Zero tienen un alcance diferente en cuanto a los tipos de días cero que rastrean. En el caso de Project Zero por ejemplo, no se centra actualmente en el análisis de los fallos de los dispositivos usados para el Internet de las Cosas (cualquier tipo de "cosa" o dispositivo no habitual que puede conectarse a internet) que se explotan comúnmente. Como resultado, las cifras absolutas de los dos informes no son directamente comparables, pero ambos equipos rastrearon un número récord de días cero explotados en 2021. Mandiant rastreó 80 el año pasado en comparación con los 30 en 2020 y Project Zero rastreó 58 en 2021 en comparación con los 25 del año anterior. Sin embargo, la cuestión clave para ambos equipos, es cómo contextualizar sus hallazgos, dado que nadie puede ver la escala completa de esta actividad clandestina.
La investigadora de seguridad de Project Zero, Maddie Stone menciona, "Empezamos a ver un pico a principios de 2021 y muchas de las preguntas que recibí durante todo el año fueron: '¿Qué demonios está pasando?' Mi primera reacción fue: 'Oh, Dios mío, hay tanto'. Pero cuando di un paso atrás y lo miré en el contexto de los años anteriores, para ver un salto tan grande, ese crecimiento en realidad es más probable que se deba al aumento de la detección, la transparencia y el conocimiento público sobre los días cero".
Para entender bien el concepto, se denomina "día cero" a una vulnerabilidad de software, antes de que se revele públicamente, porque ha habido cero días en los que el fabricante de software podría haber desarrollado y publicado un parche y cero días para que los defensores empiecen a vigilar la vulnerabilidad. A su vez, las herramientas de hacking que utilizan los atacantes para aprovechar estas vulnerabilidades se conocen como "exploits" de día cero. Una vez que un fallo se conoce públicamente, puede que no se publique una solución inmediatamente (o nunca), pero los atacantes están sobre aviso de que su actividad podría ser detectada o el agujero podría ser tapado en cualquier momento. Por ello, los días cero son muy codiciados y suponen un gran negocio tanto para los delincuentes como, en particular, para los hackers respaldados por el gobierno, que desean llevar a cabo tanto campañas masivas como ataques individuales a medida.
Las vulnerabilidades y los "exploits" de día cero suelen considerarse herramientas de hacking poco comunes y raras, pero los gobiernos han demostrado repetidamente que almacenan días cero y el aumento de la detección ha revelado la frecuencia con la que los atacantes los despliegan. En los últimos tres años, gigantes de la tecnología como Microsoft, Google y Apple han empezado a normalizar la práctica de señalar cuándo revelan y solucionan una vulnerabilidad que ha sido explotada antes del lanzamiento del parche.
James Sadowski, investigador de Mandiant, señala que ve indicios de un cambio en el panorama, aunque estén aumentando los esfuerzos de concienciación y detección.
Afirma que, "Definitivamente, se están utilizando más días cero que nunca. El recuento general del año pasado para 2021 se disparó y probablemente hay un par de factores que contribuyeron, incluyendo la capacidad de la industria para detectar esto. Pero también ha habido una proliferación de estas capacidades desde 2012", año al que se remonta el informe de Mandiant. Dice que, "Ha habido una expansión significativa en el volumen, así como en la variedad de grupos que explotan los días cero".
Si antes los días cero eran el dominio de grupos de hackers de élite respaldados por el gobierno, ahora se han democratizado, dice Sadowski. Los grupos de delincuencia digital con motivaciones económicas, algunos de los cuales emplean a hackers con altos niveles de habilidades, han sido descubiertos ahora utilizando también los días cero, a veces para estafas financieras tradicionales y otros ataques como el "ransomware". Y el auge de los llamados "brokers de exploits", una industria que vende información sobre los "zero-days" y, normalmente, el correspondiente "exploit", ha permitido que cualquiera con suficiente dinero pueda utilizar los "zero-days" para sus propios fines.
Para todos los tipos de actores, gran parte del "hacking" de base sigue implicando la explotación de vulnerabilidades que se hicieron públicas hace mucho tiempo pero que no han sido parcheadas de forma consistente. Los días cero siguen siendo menos comunes. Sin embargo, al hacer un seguimiento de los días cero que ya han sido explotados activamente, los defensores pueden priorizar el despliegue de ciertos parches y mitigaciones en el interminable flujo de actualizaciones que hay que hacer.
Maddie Stone, de Project Zero, también destaca que, aunque es difícil tener una idea completa de la escala y el contexto de los días cero explotados, el estudio de los que se han detectado ayuda a arrojar claridad sobre cómo los desarrolladores de software y los profesionales de la ciberseguridad pueden hacer un mejor trabajo para asegurar los productos en el futuro. Su investigación demostró, por ejemplo, que muchos de los días cero explotados en 2021 "no eran tan especiales", como ella dice. Esto significa que cuando las empresas parchean una vulnerabilidad o escriben un nuevo código, podrían hacer un mejor trabajo buscando clases de vulnerabilidades conocidas y cortando las rutas de ataque clásicas para que haya menos errores fáciles de encontrar y explotar por los atacantes.
Maddie dice, "Cuando observamos todas estas vulnerabilidades, se parecen mucho a las vulnerabilidades anteriores que la gente ha visto antes y que se discuten públicamente en la investigación. Y eso no es lo que queremos. Queremos que los atacantes tengan que idear una vulnerabilidad completamente nueva, todo nuevo desde el principio hasta el final, en lugar de poder mirar patrones de código o copiar y pegar. La esperanza es seguir subiendo ese listón".
Mientras la industria de la seguridad se esfuerza por averiguar cómo hacer que eso suceda, en este año los atacantes siguen creando más incidentes que se analizan todo el tiempo.