Las empresas de software como Microsoft, Adobe y Apple trabajan constantemente para corregir fallas dentro de sus programas, pero a veces no son las primeras en descubrir vulnerabilidades.

A veces, los ciberdelincuentes encuentran primero estas fallas y, cuando lo hacen, pueden aprovechar las vulnerabilidades del software para su propio beneficio financiero a expensas de los usuarios de computadoras comunes.

Un ataque a una falla de software que ocurre antes de que los desarrolladores del software hayan tenido tiempo de desarrollar un parche para la falla a menudo se conoce como un exploit de día cero. El término "día cero" denota que los desarrolladores no han tenido días para corregir la vulnerabilidad.

También puede referirse a ataques que ocurren el mismo día (día cero) en que se revela una vulnerabilidad. De hecho, algunos exploits de día cero son la primera indicación de que existe la vulnerabilidad asociada.

Los exploits de día cero son particularmente amenazantes porque pueden infectar su red informática incluso si ha sido perfectamente diligente en la actualización de su software.

Cómo se ven los exploits de día cero

Los exploits de día cero vienen en todas las formas y tamaños, pero generalmente tienen un propósito singular: para entregar malware a víctimas desprevenidas. Las variedades más peligrosas de exploits de día cero facilitan las descargas no autorizadas, en las que simplemente navegar a una página web explotada o hacer clic en un enlace web envenenado puede resultar en un ataque de malware completo en su sistema. Dichos ataques aprovechan las vulnerabilidades dentro del software de un navegador web o dentro de los complementos del navegador de terceros.

Pero también se sabe que los atacantes de día cero aprovechan las vulnerabilidades dentro de Microsoft Word, PowerPoint y Excel, dentro de varios productos de Adobe como Reader y Flash Player, y dentro de otros programas. Las fallas en dicho software pueden llevar a ataques dirigidos contra empresas y agencias gubernamentales.

Al enviar mensajes de correo electrónico falsificados que contienen documentos de Word infectados, por ejemplo, los ciberdelincuentes pueden engañar a los empleados para que descarguen paquetes de malware. Estos correos electrónicos falsificados a menudo parecen provenir de contactos conocidos, lo que los hace particularmente difíciles de filtrar.

Los delincuentes no son los únicos piratas informáticos que utilizan exploits de día cero. Stuxnet, el gusano informático que saboteó el programa nuclear iraní en 2010, contenía cuatro exploits de día cero nunca antes vistos. Se sospecha que las agencias gubernamentales estadounidenses e israelíes han creado Stuxnet.

La industria del día cero

Las instancias de vulnerabilidades de día cero han aumentado drásticamente durante la última década, reflejando el rápido aumento de el uso global de Internet, especialmente en dispositivos móviles, y la velocidad con la que las empresas de software producen nuevos programas.

Sin embargo, relativamente pocas de estas vulnerabilidades reportadas han dado lugar a ataques por parte de ciberdelincuentes. Una encuesta de Microsoft encontró que solo el 1 por ciento de los incidentes de seguridad en el primer semestre de 2011 fueron el resultado de exploits de día cero.

¿Por qué no se convierten más fallas de seguridad de día cero en ciberataques? La razón puede ser que los delincuentes no son los únicos que buscan estos defectos. Las empresas de software no solo buscan de forma proactiva agujeros de seguridad en sus productos, sino que también recibir informes de fallas de seguridad de sus usuarios y de investigadores de seguridad (también conocido como "sombrero blanco" hackers).

Estas prácticas alimentan lo que algunos expertos en tecnología denominan la industria del día cero, un negocio en crecimiento dentro del sector de la seguridad.

En teoría, los investigadores de seguridad se rigen por un conjunto de prácticas conocidas como "divulgación ética". En otras palabras, en cambio de vender información sobre fallas de seguridad al mejor postor, la ofrecen, gratis, al software empresas.

Pero no todos los investigadores se sienten obligados a adherirse a este sistema de honor. Algunos optan por hacer pública la información sobre fallas de seguridad para obligar a las empresas de software recalcitrantes a emitir una solución. Otros venden su investigación a empresas de terceros, una práctica conocida como "caza de recompensas".

Las empresas de caza de recompensas, o agentes de explotación, actúan como intermediarios, facilitando las transacciones monetarias entre los piratas informáticos y las empresas de software o sitios web que piratean. El corredor paga al pirata informático por información sobre fallas de software, que a su vez vende a la empresa afectada por la falla.

En los últimos años, muchas empresas: incluyendo Facebook, Microsoft, Yahoo!, Google y PayPal, también han lanzado sus propios programas de recompensas, que eliminan a los intermediarios en conjunto, compensando a los piratas informáticos amigables por entregar información sobre la seguridad potencialmente dañina defectos.

Más recientemente, Facebook y Microsoft se han asociado para patrocinar el HackerOne programa, que ofrece a los piratas informáticos hasta $ 5,000 por información útil sobre vulnerabilidades de día cero. Google ahora también paga por las vulnerabilidades en paquetes de software de código abierto que no pertenecen a una sola empresa, pero que ayudan a operar Internet.

Muchas de estas empresas también patrocinan conferencias informativas sobre seguridad y piratería, como Black Hat, DEFCON y Pwn2Own: en el que los investigadores se reúnen para discutir las estrategias de seguridad actuales y encontrar fallas de seguridad en software.

Si bien muchas empresas de software y sitios web populares están dispuestos a pagar por derechos exclusivos sobre información sobre sus propios agujeros de seguridad de día cero, también existe un próspero mercado negro de información sobre estos defectos.

Los agentes de explotación suelen vender vulnerabilidades de software a clientes sospechosos: organizaciones de ciberdelincuentes adineradas y, con la misma frecuencia, agencias de inteligencia gubernamentales con mucho dinero.

Si bien ninguna agencia del gobierno de EE. UU. Ha declarado oficialmente que compra información sobre días cero, se especula que los dólares de defensa ya se están gastando en la obtención de valiosos días cero hazañas.

Protéjase de los ataques de día cero

Debido a la naturaleza misma de los exploits de día cero, ninguna red puede estar 100% a salvo de tales vulnerabilidades. Sin embargo, existen medidas que puede tomar para prevenir los efectos perjudiciales de dicho ataque.

Para las personas, un enfoque de sentido común para la seguridad informática es esencial. Nunca haga clic en enlaces sospechosos incluidos en correos electrónicos, mensajes instantáneos, publicaciones en Facebook o Twitter o mientras navega por la Web. Siempre tenga cuidado al descargar archivos adjuntos de correo electrónico o contenido en línea, incluso si parece provenir de una fuente confiable. Nunca abra un archivo adjunto de correo electrónico de una fuente desconocida.

Las empresas y otras organizaciones también pueden seguir ciertos procedimientos de seguridad para garantizar la seguridad de sus redes contra ataques de día cero. Utilizar LAN virtuales para proteger las transmisiones individuales e implementar un sistema de detección de intrusos, como un firewall con estado, para disuadir a los atacantes de día cero.

Si su red no utiliza control de acceso, debería considerar la posibilidad de introducir esta función de seguridad para controlar mejor qué máquinas tienen acceso a su red. Por último, bloquear los puntos de acceso inalámbricos y utilizar un esquema de seguridad moderno, como el acceso protegido Wi-Fi o WPA2, también puede ayudar a prevenir ataques inalámbricos.

Sigue a Elizabeth Palermo en Twitter @techEpalermo, Facebook & Google+. Siga la guía de Tom @tomsguide También estamos en Facebook & Google+.