BLOGS
26/09/2012 08:59 CEST | Actualizado 25/11/2012 11:12 CET

Los '0 Days' nos acechan

Compañías perfectamente legales que basan su modelo de negocio en comprar vulnerabilidades para a su vez revenderlas a sus clientes, normalmente organismos gubernamentales que los emplean para la ciber guerra (¿Les suenan nombres como Stuxnet o Flame?).

Últimamente se ha puesto de moda en la prensa más generalista el término 0 Day como si fuera una clase de nueva amenaza que ha surgido súbitamente de la nada. Casos como los de Java o más recientemente el de Internet Explorer han lanzado a la picota este término empleado -normalmente- en círculos relacionados con la seguridad informática.

¿Pero qué es exactamente un 0 Day? Explicarlo es bastante sencillo, todo programa informático suele tener una complejidad que varía en función de las cosas que hace; no es lo mismo la calculadora de Windows que por ejemplo Internet Explorer. Esa complejidad se traduce en el tamaño de su código fuente, es decir, en el número de instrucciones que deben ser escritas para dotar de funcionalidades a ese programa.

Como esos programas los hacen humanos, es normal e imposible de evitar, que en algún momento dado alguien meta la pata y escriba una instrucción erróneamente que abra la puerta a que otra persona encuentre una funcionalidad no deseada, y provoque un fallo que corrompa la seguridad de dicho programa.

Mientras no exista un parche que solucione dicho problema, a ese fallo se le denomina 0 Day.

No es nada nuevo, llevan existiendo desde que empezó la informática tal y como hoy la conocemos. De hecho, el primer incidente mediático provocado por un 0 Day data de 1988.

Un universitario encontró un fallo en Sendmail (un servidor de correo muy usado en esa época) y lo explotó para distribuir un gusano que causó estragos en el Internet de aquella época (60.000 equipos conectados).

Ahora todo es bastante peor ya que existe un creciente y muy lucrativo mercado de 0 Days. Compañías perfectamente legales que basan su modelo de negocio en comprar vulnerabilidades para a su vez revenderlas a sus clientes, normalmente organismos gubernamentales que los emplean para la ciber guerra (¿Les suenan nombres como Stuxnet o Flame?).

Las cifras, como es lógico, no son públicas pero no es extraño pensar en que si usted encuentra un fallo, digamos en IOS, (el sistema operativo de Apple), pueda venderlo por unos 200.000 euros o más.

Esa es la cúspide de la pirámide del negocio de los 0 Days, después de eso hay niveles inferiores, gente que desarrolla programas maliciosos de forma industrial, lo que se denominan Exploit Kits. Emplean vulnerabilidades recientes (0 Days o vulnerabilidades con soluciones publicadas a pocos días vista) y su negocio está en infectar masivamente a gente de forma indiscriminada.

Esas infecciones pueden perseguir robar contraseñas bancarias, o simplemente crear redes de PCs zombis que luego alquilan a personas interesadas en enviar correos SPAM o atacar otras webs empleando el ancho de banda de los PCs infectados.

Ante este panorama, usted puede pensar que estamos en la jungla, y efectivamente, lo estamos.

Piense en un documental de leones y gacelas, el león acecha a sus víctimas y cuando detecta las más vulnerables, se abalanza hacia ellas para atacarlas. Por tanto, en este escenario de lo que se trata es de no ser la gacela mas vulnerable.

De entrada, usar un buen antivirus y tenerlo actualizado, es algo que marca la diferencia entre ser una gacela vieja y coja, a una gacela joven y saludable. Si además ha configurado su sistema operativo (y demás programas que use) para que se descarguen automáticamente las actualizaciones del fabricante, usted será una de las gacelas más rápidas de la pradera. Para saber cómo de fiable es su política de actualizaciones puede emplear la herramienta gratuita Secunia PSI que le informará como de (des)actualizado está su equipo.

Ahora bien, si usted quiere ser una de esas gacelas ninja que salen en los documentales plantándole cara al león y en muchos casos haciéndole recular por su bravura, debería emplear un programa como EMET un sistema de mitigación avanzada para sistemas Microsoft. Este software -además- es creación de un Español: Fermín. J. Serna.

Otro programa bastante útil es Sandboxie, que permite encerrar el navegador u otro programa que estemos usando dentro de un entorno restringido y por tanto, limita el daño que pueda causar en caso de ser atacado.

Aun así, no pierda de vista una idea: usted sigue siendo una gacela, y ellos, el león.