Previamente desconocido”Día ceroLas vulnerabilidades de software son misteriosas e intrigantes como concepto. Pero son aún más notables cuando se detecta a los piratas informáticos explotando activamente las nuevas fallas del software antes de que nadie más las conozca. A medida que los investigadores han ampliado su enfoque para detectar y estudiar más esta explotación, la ven con más frecuencia. Dos informes esta semana de la firma de inteligencia de amenazas mandante
Mandiant y Project Zero tienen cada uno un alcance diferente para los tipos de día cero que rastrean. Project Zero, por ejemplo, actualmente no se enfoca en analizar fallas en dispositivos de Internet de las cosas que se explotan en la naturaleza. Como resultado, los números absolutos en los dos informes no son directamente comparables, pero ambos equipos rastrearon un número récord de días cero explotados en 2021. Mandiant rastreó 80 el año pasado en comparación con 30 en 2020, y Project Zero rastreó 58 en 2021 frente a los 25 del año anterior. Sin embargo, la pregunta clave para ambos equipos es cómo contextualizar sus hallazgos, dado que nadie puede ver la escala completa de esta actividad clandestina.
“Comenzamos a ver un pico a principios de 2021, y muchas de las preguntas que recibí durante todo el año fueron: ‘¿Qué diablos está pasando?’”, dice Maddie Stone, investigadora de seguridad en Project Zero. “Mi primera reacción fue, ‘Dios mío, hay tanto’. Pero cuando di un paso atrás y lo miré en el contexto de años anteriores, para ver un salto tan grande, es más probable que ese crecimiento se deba a una mayor detección, transparencia y conocimiento público sobre los días cero”.
Antes de que una vulnerabilidad de software se divulgue públicamente, se denomina “Día cero”, porque hubo cero días en los que el fabricante de software podría haber desarrollado y lanzado un parche y cero días para que los defensores comenzaran a monitorear la vulnerabilidad. A su vez, las herramientas de piratería que utilizan los atacantes para aprovechar dichas vulnerabilidades se conocen como exploits de día cero. Una vez que se conoce públicamente un error, es posible que no se publique una solución de inmediato (o nunca), pero los atacantes están informados de que su actividad podría detectarse o que el agujero podría taparse en cualquier momento. Como resultado, los días cero son muy codiciados y son grandes negocios tanto para los delincuentes como, en particular, los piratas informáticos respaldados por el gobierno que desean llevar a cabo tanto campañas masivas y a la medida, focalización individual.
Las vulnerabilidades y exploits de día cero generalmente se consideran herramientas de piratería poco comunes y enrarecidas, pero se ha demostrado repetidamente que los gobiernos reserva de día cero, y el aumento de la detección ha revelado la frecuencia con la que los atacantes los implementan. En los últimos tres años, los gigantes tecnológicos como Microsoft, Google y Apple han comenzado a normalizar la práctica de señalar cuándo revelan y corrigen una vulnerabilidad que se aprovechó antes del lanzamiento del parche.