Un día cero (también conocido como día 0 ) es una vulnerabilidad de software de computadora previamente desconocida para aquellos que deberían estar interesados en su mitigación, como el proveedor del software de destino. Hasta que se mitigue la vulnerabilidad, los piratas informáticos pueden explotarla para afectar negativamente a programas, datos, computadoras adicionales o una red. [1] Un exploit que se aprovecha de un día cero se denomina exploit de día cero o ataque de día cero.
El término "día cero" originalmente se refería a la cantidad de días desde que se lanzó al público una nueva pieza de software, por lo que el "software de día cero" se obtuvo pirateando la computadora de un desarrollador antes del lanzamiento. Eventualmente, el término se aplicó a las vulnerabilidades que permitieron este pirateo y a la cantidad de días que el proveedor tuvo para solucionarlas. [2] [3] [4] Una vez que los proveedores se enteran de la vulnerabilidad, generalmente crearán parches o recomendarán soluciones para mitigarla.
Cuanto más recientemente se haya dado cuenta el proveedor de la vulnerabilidad, más probable es que no se haya desarrollado ninguna solución o mitigación. Una vez que se desarrolla una solución, la posibilidad de que el exploit tenga éxito disminuye a medida que más usuarios aplican la solución con el tiempo. Para los exploits de día cero, a menos que la vulnerabilidad se corrija inadvertidamente, como por una actualización no relacionada que corrige la vulnerabilidad, la probabilidad de que un usuario haya aplicado un parche proporcionado por el proveedor que soluciona el problema es cero, por lo que el exploit permanecería disponible. Los ataques de día cero son una amenaza grave . [5]
Los posibles vectores de ataque para una vulnerabilidad de día cero son idénticos a las vulnerabilidades conocidas y aquellas que tienen parches disponibles. Por ejemplo, cuando un usuario visita un sitio web no autorizado, el código malicioso del sitio puede explotar vulnerabilidades sin parches en un navegador web . Los navegadores web son un objetivo particular para los delincuentes debido a su amplia distribución y uso. Los ciberdelincuentes , así como los proveedores internacionales de software espía , como NSO Group de Israel , [6] también pueden enviar archivos adjuntos de correo electrónico maliciosos a través de SMTP ., que explotan vulnerabilidades en la aplicación que abre el archivo adjunto. [7] Los exploits que aprovechan los tipos de archivos comunes son numerosos y frecuentes, como lo demuestra su creciente aparición en bases de datos como US-CERT . Los delincuentes pueden diseñar malware para aprovechar estos exploits de tipo de archivo para comprometer los sistemas atacados o robar datos confidenciales. [8]
El tiempo desde que un exploit de software se activa por primera vez hasta el momento en que la cantidad de sistemas vulnerables se reduce a la insignificancia se conoce como la ventana de vulnerabilidad . [9] La línea de tiempo para cada vulnerabilidad de software está definida por los siguientes eventos principales:
En esta formulación, siempre es cierto que t 0 ≤ t 1a , y t 0 ≤ t 1b . Tenga en cuenta que t 0 no es lo mismo que el día cero . Por ejemplo, si un pirata informático es el primero en descubrir (en t 0 ) la vulnerabilidad, es posible que el proveedor no se entere hasta mucho más tarde (el día cero).