Los cibercriminales están jugando con ventaja, y lo están haciendo más rápido de lo que muchos podrían imaginar. En 2023, según un informe de Google, el 70% de las vulnerabilidades explotadas en ataques fueron fallos "zero-day", esos errores que los atacantes descubren y utilizan antes de que los desarrolladores puedan reaccionar. ¿Qué significa esto para ti? Que gran parte del software que usas a diario podría estar siendo atacado sin que ni tú ni los mismos creadores del programa lo sepan. Es un escenario preocupante, pero también una oportunidad para entender mejor estas amenazas y cómo protegernos de ellas.
Los expertos de seguridad de Google Mandiant están poniendo el foco en una tendencia preocupante: los hackers están mejorando su habilidad para descubrir y explotar vulnerabilidades de día cero (zero-day) en el software. Esto es grave porque significa que los atacantes están aprovechando fallos antes de que las empresas afectadas siquiera se den cuenta o puedan hacer algo al respecto.
En 2023, de las 138 vulnerabilidades que se supo fueron explotadas activamente, 97 (70,3%) fueron "zero-day". En otras palabras, los hackers sacaron ventaja de estos errores sin que los desarrolladores tuvieran tiempo de reaccionar.
Entre 2020 y 2022, la proporción entre fallas ya corregidas (n-days) y fallas zero-day se mantuvo relativamente constante en 4:6. Pero en 2023, el panorama cambió, y esa relación pasó a 3:7. No es que haya menos fallas corregidas, sino que los ataques zero-day están creciendo, y los proveedores de seguridad están siendo más rápidos para detectarlos.
Este aumento en la actividad maliciosa también está afectando a un número mayor de empresas. En 2023, un récord de 56 proveedores de software se vieron impactados por vulnerabilidades explotadas, en comparación con los 44 de 2022 y los 48 de 2021. Los hackers no solo están atacando más, sino que están diversificando los objetivos.
Podría interesarte leer: ¿Qué Pasa si No Actualizas Software?: Evita Vulnerabilidades
El Tiempo de Reacción es más Ajustado
Otra tendencia preocupante es el tiempo que los atacantes tardan en explotar una vulnerabilidad recién descubierta, conocido como TTE (Time to Exploit). Ahora se ha reducido a solo cinco días. Para ponerlo en perspectiva, en 2018-2019 el TTE era de 63 días, y en 2021-2022 se redujo a 32 días. Antes, eso daba a los equipos de IT el margen suficiente para planificar y aplicar parches o medidas de mitigación para proteger sus sistemas.
Ahora, con solo cinco días para reaccionar, estrategias como la segmentación de redes, la detección en tiempo real y priorizar parches críticos se han vuelto más urgentes que nunca.
Por otro lado, Google señala que no hay una relación directa entre la publicación de los exploits y el tiempo que tardan en ser explotados. En 2023, el 75% de los exploits se hicieron públicos antes de que los atacantes los usaran, mientras que el 25% salieron a la luz después de que los hackers ya estaban aprovechando esas vulnerabilidades.
Algunos ejemplos mencionados en el informe para ilustrar esto son las vulnerabilidades CVE-2023-28121 (en un plugin de WordPress) y CVE-2023-27997 (en Fortinet FortiOS), que muestran que no siempre hay una relación clara entre la disponibilidad pública del exploit y la actividad maliciosa posterior.
Conoce más sobre: ¿Qué es un Ataque de Exploit?
En el primer caso, los hackers empezaron a explotar la vulnerabilidad tres meses después de que se divulgó, y diez días después de que se publicó una prueba de concepto (PoC). Por otro lado, con la falla en FortiOS, aunque el exploit se hizo público casi de inmediato, el primer ataque real no ocurrió hasta cuatro meses después.
Google explica que no se puede simplificar el TTE (tiempo para explotar) basándose solo en la disponibilidad de una PoC. Factores como la dificultad de explotar la falla, el valor del objetivo, la motivación del atacante y la complejidad del ataque en sí también influyen mucho en cuándo los hackers deciden actuar. Así que asumir que la PoC automáticamente acelera el ataque sería un error.