El miedo a que Rusia lance un ataque informático capaz de generar un colapso informático que paralice la actividad de las principales empresas españolas está encima de la mesa. Por eso, el Gobierno ha aprobado esta semana un paquete de 1.200 millones de euros en un plan especial de ciberseguridad, y por eso, los expertos del Centro Criptológico Nacional, adscrito al servicio secreto español, tratan de predecir una amenaza cada vez más palpable: que los hackers adscritos al Gobierno ruso sean capaces de lanzar un ataque de “día cero” que colapse los sistemas informáticos de los países que envían armas a Ucrania.
Sobre eso aparece una primera pregunta ¿Qué es un ataque de día cero y por qué puede ser tan dañino? En el sector de la seguridad informática, se conoce como ataque “Zero-Day” aquel que utiliza una vulnerabilidad que todavía no ha sido detectada por los usuarios y programadores de un servicio concreto. Una brecha en la que los expertos en seguridad informática han tenido “cero días” de trabajo.
Por norma general, en el escalafón más bajo en este tipo de piratería, están los equipos dedicados a explotar vulnerabilidades ya conocidas y descubiertas y explotadas por otros hackers. Lo que hacen estos ciber-delincuentes es aprender los agujeros de seguridad publicados en la red, a veces incluso por las propias empresas en sus parches y actualizaciones, y buscar a usuarios de esos programas que no hayan actualizado todavía para poder infectarlos con ese mismo método.
Por norma general, en el escalafón más bajo en este tipo de piratería, están los equipos dedicados a explotar vulnerabilidades ya conocidas y descubiertas y explotadas por otros hackers. Lo que hacen estos ciber-delincuentes es aprender los agujeros de seguridad publicados en la red, a veces incluso por las propias empresas en sus parches y actualizaciones, y buscar a usuarios de esos programas que no hayan actualizado todavía para poder infectarlos con ese mismo método.
Sistemas operativos y navegadores
En un segundo escalafón, mucho más especializado, están los equipos capaces de analizar el código de un programa y encontrar una brecha donde nadie antes la había visto. Cuando más utilizado es el programa, más valioso es el «exploit» como se conoce en el argot, para los ciber-delincuentes, que llegan a venderlo en el mercado negro a otros grupos o a explotarlo en su beneficio en exclusiva. Cuando ese exploit se descubre y se conoce, las empresas de seguridad lanzan una alerta, los informáticos crean parches contra él, se devalúa y pasa a la fase anterior. donde otros piratas tratan de beneficiarse de él al descuido.
Hay tres objetivos básicos para vigilar: los sistemas operativos, los programas de ofimática más utilizados en cualquier PC de sobremesa y sobre todo los navegadores, que son de implantación masiva y la primera línea de contacto con los archivos que viajan por la red.
Hay antecedentes de ataques de “día cero” sobre programas de uso masivos atribuidos a ciber-delincuentes vinculados con el Gobierno ruso. Fue durante 2017 cuando el paquete de ofimática de Microsoft, uno de los programas más distribuidos del mundo, comenzó a sufrir ataques de este tipo. Uno de ellos se utilizó para infectar las máquinas con el troyanoFelixRoot, que lanzaba ya entonces una campaña de ciber-ataque contra Ucrania. En aquel caso, el troyano se distribuyó por medio de archivos .rtf de texto enriquecido en ruso, por lo que se vinculó con la estrategia a los servicios secretos del país, sin confirmación oficial alguna.
Cómo detectar ataques de día cero
Con estos elementos sobre la mesa, los expertos se encuentran en una encrucijada. ¿Cómo encontrar una aguja en un pajar, si la aguja todavía no existe? ¿Cómo identificar el servicio que puede atacar Rusia o el que pueda estar ya utilizando sin que haya sido todavía detectado? El trabajo en este caso se hace por partida doble: por un lado está la prevención para este y otros ataques, y por otro el intento de adelantarse a los movimientos de los ciber-delincuentes.
Para preveer un ataque de este tipo, los expertos en seguridad informática utilizan un método combinado que analiza distintos aspectos dentro del código de un programa: por un lado se monitorizan los comportamientos del software para ver si se comporta de un modo no esperado, por otro se realizan análisis estadísticos para confirmar si se ha introducido alguna línea de código coincidente con vulnerabilidades ya conocidas o con líneas de malware. Es lo que se conoce como análisis heurístico, un proceso capaz de identificar amenazas de forma proactiva y sin necesidad de tener lo que los expertos conocen como “la firma” de un virus o un código malicioso, es decir, el código clave con el que trabaja, que ya es conocido.
Fuente: NI