Los exploits de día cero, que facilitan a un hacker el acceso a un objetivo concreto, tienen ese nombre porque los ciberdefensores no tienen ni un solo día para reparar las vulnerabilidades recién descubiertas, algo que hace que estas herramientas sean especialmente capaces, peligrosas y valiosas. En el extremo superior, comprar o desarrollar ciberataques de día cero puede costar más de un millón de dólares (unos 850.000 euros). Por esa razón, históricamente se han encontrado en arsenales de grupos de ciberespionaje respaldados por los estados más sofisticados de la Tierra.
nPero una nueva investigación de la empresa de ciberseguridad Mandiant muestra que en un año récord de ataques de hackers, está creciendo la proporción de exploits de día cero usados por ciberdelincuentes. Según la investigación de Mandiant, un tercio de todos los grupos de hackers que usaron vulnerabilidades de día cero en 2021 eran delincuentes motivados por ganancias económicas, a diferencia de los grupos de ciberespionaje respaldados por gobie os. Durante la última década, los ciberdelincuentes tan solo usaron una fracción muy pequeña de exploits de día cero. Los expertos creen que este cambio tan rápido tiene que ver con la multimillonaria industria ilícita de ransomware.
n“Los grupos de ransomware han podido reclutar nuevos talentos y utilizar los recursos de sus operaciones de secuestro de datos y de las increíbles cantidades de ingresos que ganan para centrarse en lo que antes controlaban grupos de hackeo respaldados por estados”, indica James Sadowski, investigador de Mandiant.
nLos exploits de día cero generalmente se compran y venden en el mercado negro. Pero lo que sí sabemos muestra cuánto dinero hay en juego. Un reportaje reciente de MIT Technology Review detalló cómo una empresa estadounidense había vendido un poderoso exploit de día cero de iPhone por 1,3 millones de dólares (1,1 millones de euros). Zerodium, proveedor de exploits de día cero, tiene una oferta permanente para pagar 2,5 millones de dólares (2,33 millones de euros) por cualquier exploit de día cero que le ofrezca al hacker el control de un dispositivo Android. Zerodium vende posteriormente ese exploit a otra organización, quizás a una agencia de inteligencia, con un margen de beneficio significativo. Los gobie os están dispuestos a pagar esa cantidad de dinero porque los ataques de día cero pueden significar el triunfo instantáneo en el juego global del espionaje, que podría valer más que los millones que gastaría una agencia.
nPero claramente también tienen gran valor para los delincuentes. Un grupo de ransomware especialmente agresivo y hábil, conocido con el nombre en clave UNC2447, explotó una vulnerabilidad de día cero en SonicWall, una herramienta de red privada virtual utilizada en las principales corporaciones de todo el mundo. Después de que los hackers obtuvieran acceso, usaron ransomware y presionaron a las víctimas para que pagaran amenazándolas con informar a los medios de comunicación sobre los ataques o con vender los datos de las empresas en la Deep Web.
nQuizás el grupo de ransomware más famoso de la historia reciente sea Darkside, los hackers que provocaron el cierre del oleoducto Colonial Pipeline y, finalmente, la escasez de combustible en el este de Estados Unidos. Sadowski señala que este grupo también explotó al menos una vulnerabilidad de día cero durante su breve pero intenso período de actividad. Poco después de volverse mundialmente famoso y atraer toda la atención no deseada de las fuerzas del orden que vino con esa fama, Darkside desapareció, pero es posible que desde entonces el grupo simplemente haya cambiado de nombre.
nPara un hacker, lo siguiente mejor después de un exploit de día cero podría ser una vulnerabilidad de uno o dos días, un agujero de seguridad que se ha descubierto recientemente pero que aún no ha sido solucionado por los posibles objetivos de ese hacker en todo el mundo. Los ciberdelincuentes también están haciendo rápidos avances en esa carrera.
nLos grupos de ciberdelito “están detectando ciberataques de día cero de actores de amenazas respaldados por estados a un ritmo más rápido”, asegura Adam Meyers, vicepresidente senior de inteligencia de la empresa de seguridad Crowdstrike. Los delincuentes notan que se utilizan exploits de día cero y luego rápidamente emplean esas herramientas para sus propios fines antes de que la mayoría de los ciberdefensores sepan lo que ocurre.
n“Rápidamente descubren cómo usarlo y lo aprovechan para operaciones continuas”, explica Meyers.
nLos ciberdelincuentes pueden reclutar y pagar al personal técnico porque están ganando más dinero que nunca. Y la perspectiva de obtener más beneficios es un gran incentivo para actuar rápidamente y usar vulnerabilidades de día cero para sus propios fines.
nEl año pasado, algunos grupos de hackers respaldados por el Gobie o chino empezaron a atacar los servidores de correo electrónico de Microsoft Exchange con exploits de día cero en una campaña generalizada dirigida por algunos de los operadores de ciberespionaje más sofisticados del país. Como suele ser el caso, dondequiera que haya depredadores, los carroñeros los siguen. Los ciberdelincuentes motivados por las ganancias económicas tuvieron en sus manos en cuestión de días la herramienta que hasta entonces había sido bastante exclusiva.
n