Denominamos ‘ataque Zero Day’ a cualquiera lanzado aprovechando la ventana de oportunidad producida por vulnerabilidades recién descubiertas: es decir, un ataque rápido desplegado por cibercriminales antes de que los proveedores de seguridad hayan sido capaces de reparar la vulnerabilidad… o incluso de que hayan oído hablar de su existencia.
Dar con algo así es el sueño de cualquier hacker, dado que le provee de fama (a veces estas vulnerabilidades se difunden en la Deep Web) y de una notable capacidad destructiva (cuando decide usarlas en su propio beneficio). También son un recurso muy utilizado por determinados gobiernos para socavar sistemas críticos de otros países o de las empresas originarias de los mismos.
La carrera para localizar los Zero Day
La importancia de protegerse ante estas vulnerabilidades es tal que las grandes compañías tecnológicas cuentan con equipos de hackers éticos que compiten con los cibercriminales en la carrera por localizar nuevas vulnerabilidades Zero Day antes de que sean explotadas por ellos.
El objetivo de estos equipos es el de desarrollar el pertinente parche o bien de poner el problema en conocimiento del proveedor del software afectado. Google, por ejemplo, cuenta para este cometido con un ‘dream team’ hacker llamado Project Zero, liderado por Chris Evans y del que forman parte otros reconocidos hackers como George Hotz (ganador del mayor premio de la historia por la detección de una vulnerabilidad), Tavis Ormandy, Ben Hawkes o Brit Ian Beer. Otras compañías, como Endgame Systems, ReVuln, VUPEN Security, Netragard o Exodus Intelligence se dedican específicamente a la detección de estas amenazas.
Es importante tener en cuenta otro aspecto de las vulnerabilidades Zero Day: si los hackers que la descubren deciden no difundirla y eligen un método discreto para explotarla, los usuarios pueden pasar semanas, meses o años expuestos a una vulnerabilidad que desconocen (ésta es la base de las APT o ‘amenazas persistentes avanzadas‘).
¿Cómo protegernos frente a las amenazas Zero Day?
Y es precisamente ahí donde reside la extrema peligrosidad de estos ‘días cero’: del mismo modo en que resulta imposible desarrollar una vacuna para una enfermedad que desconocemos que estemos incubando, o que sabemos que existe pero desconocemos el patógeno que lo causa, las herramientas de seguridad más tradicionales, como los antivirus, se encuentran básicamente desprotegidas frente a un posible malware cuya ‘firma’ aún no ha sido identificada.
Desde luego, existe un puñado de buenas prácticas que nos ayudarán a reducir parcialmente nuestra exposición al daño de los ataques basados en vulnerabilidades Zero Day:
- Nunca instalar software innecesario: cada software instalado en nuestro sistema es una ventana extra que podrá ser abierta por un eventual Zero Day. Resulta recomendable revisar la lista de software periódicamente y desinstalar aquél que haya dejado de tener uso.
- Permanecer actualizados: El software que mantengamos instalado en nuestro sistema debe estar en todo momento al día en lo que se refiere a actualizaciones.
- Contar con un cortafuegos de calidad: si resulta imposible detectar un determinado malware por basarse en una vulnerabilidad desconocida, quizá sí podamos detectar alguna conexión sospechosa y cortarle el paso a Internet.
Pero, más allá de eso, resulta fundamental que nuestros sistemas cuenten con una barrera de protección adicional que no dependa de la tecnología basada en firmas para detectar software malicioso. Con este fin, Panda ha desarrollado su solución Adaptive Defense 360, basada en un enfoque distinto: la monitorización de todas las aplicaciones en funcionamiento, y el análisis en tiempo real de su comportamiento unida a técnicas de ‘machine learning’ en plataformas Big Data.
Esto le permite a Adaptive Defense 360 ofrecer dos modalidades de bloqueo de aplicaciones:
- ‘Modo Bloqueo Básico’, que permite ejecutar tanto el software con la etiqueta de goodware como aquél otro, aún sin catalogar por los sistemas automatizados y el personal experto de Panda Security.
- ‘Modo Bloqueo Extendido’, el que permite únicamente la ejecución de Las aplicaciones catalogadas como goodware.