Han invadido los martes de parches de Microsoft o los concursos de investigación de vulnerabilidades durante varios años. Las vulnerabilidades críticas sin parches (de tipo día cero) lamentablemente se han establecido en el panorama de amenazas. Google, a través de sus equipos de investigación de seguridad Mandiant y Threat Analysis Group (TAG), publicado sobre el tema un informe en forma de resumen del año pasado.

¿Qué podemos aprender de esto? En 2023, se explotaron 97 vulnerabilidades de día cero en comparación con 62 en 2022, lo que supone un aumento del 50% interanual. Puede parecer mucho, pero aún está lejos del récord observado en 2021, con 106 vulnerabilidades de este tipo que se dispararon en comparación con 2020 (+200%), impulsadas, recordémoslo, por un contexto de Covid y confinamientos en el que los piratas informáticos navegaron felizmente. "Casi dos tercios de estas vulnerabilidades (61) afectaron a plataformas y productos destinados a los usuarios finales (por ejemplo, dispositivos móviles, sistemas operativos, navegadores y otras aplicaciones), mientras que las otras 36 vulnerabilidades afectaron a tecnologías orientadas a las empresas, como software y dispositivos de seguridad", indicó el proveedor.

Índice
  1. Software de seguridad en la mira de los piratas informáticos
  2. Los motivos para la vigilancia y el espionaje son más fuertes que el lucro

Software de seguridad en la mira de los piratas informáticos

En cuanto a las empresas, Google Google ha observado un aumento de los ataques de día cero (36 en total), 9 de los cuales tenían como objetivo software y dispositivos de seguridad, incluidos Barracuda Email Security Gateway, Cisco Adaptive Security Appliance, Ivanti Endpoint Manager Mobile y Sentry, así como Trend Micro Apex One. "El software de seguridad es un objetivo valioso para los atacantes porque a menudo se ejecuta en el borde de una red con permisos y acceso elevados. Al explotar con éxito estas tecnologías, los atacantes pueden afianzarse en una organización objetivo para realizar otras actividades allí", afirma Google. Entre las empresas atacadas, los editores están lejos de haberse salvado: hubo 21 durante el año pasado, un aumento constante desde 2019, cuando solo hubo 4 atacadas.

En el ranking de plataformas y productos destinados a llegar a los usuarios finales, Windows lidera con 17 vulnerabilidades de día cero explotadas, seguido de Safari (11), iOS (9), Android (9) y Chrome (8). En el caso de las vulnerabilidades de Windows, 12 fueron cruces de límites de seguridad con escalada de privilegios locales o ejecución remota de código, y 5 evasiones de seguridad profundas para SmartScreen" y Mark of the Web. "De las 9 vulnerabilidades de día cero de Android en 2023, 5 fueron vulnerabilidades de escalada de privilegios locales. Otras dos fueron filtraciones de información y el resto se dieron en el marco de Android. En el caso de iOS, solo cuatro cadenas de explotación diferentes fueron la fuente de las vulnerabilidades y las 11 vulnerabilidades de día cero dirigidas a Safari se utilizaron para atacar a iPhones.

Los motivos para la vigilancia y el espionaje son más fuertes que el lucro

En su investigación, Google proporciona detalles sobre la atribución de los grupos maliciosos detrás de los exploits de día cero identificados. Dos categorías principales de actores están en acción, a saber, los editores de software de vigilancia (41,4%) a la par con los actores patrocinados por estados con fines de espionaje, la gran mayoría de los cuales provienen de China, Rusia-Bielorrusia y Corea del Norte. La tercera motivación, muy por detrás, es la del beneficio económico (17,2%): "La proporción de explotación con fines económicos en 2023 es ligeramente inferior a nuestras observaciones en 2022 y ambos años están por debajo de la proporción de casi un tercio de vulnerabilidades que atribuimos a actores financieros en 2021", dice Google.

"La explotación de día cero ya no es sólo una capacidad de nicho disponible para un puñado de actores, y esperamos que el crecimiento observado en los últimos años probablemente continúe a medida que los proveedores sigan complicando el acceso a otros medios de vulneración y los atacantes concentren más recursos en la explotación de día cero. La proliferación de tecnología también ha hecho que la explotación de día cero sea más probable: en otras palabras, más tecnología trae consigo más oportunidades de explotación", concluye la firma estadounidense.