De cero a N: los hackers rompen el récord de velocidad en la explotación de vulnerabilidades

De cero a N: los hackers rompen el récord de velocidad en la explotación de vulnerabilidades

Las estadísticas de ataques 0Day ocultan una verdadera pandemia digital.

image

Los analistas de Google Mandiant advierten sobre una nueva tendencia: los hackers descubren y explotan cada vez más vulnerabilidades de día cero en el software. Los especialistas investigaron 138 vulnerabilidades detectadas en 2023 que fueron utilizadas activamente en ataques reales. La mayoría de ellas (97) fueron explotadas como zero-day, es decir, antes de que se publicaran los parches. Las 41 vulnerabilidades restantes fueron aprovechadas después de la publicación de las correcciones y se clasifican como n-day. Los expertos destacaron que en 2023 la brecha entre el uso de zero-day y n-day se amplió significativamente, subrayando la creciente popularidad de los ataques 0Day.

El tiempo promedio para la primera explotación de una vulnerabilidad (Time-to-Exploit, TTE) en 2023 se redujo a cinco días, un récord histórico. En comparación, en 2018 la primera explotación tomaba en promedio 63 días, mientras que en 2021-2022 el tiempo se redujo a 32 días. La rápida disminución del TTE indica que los atacantes logran aprovechar las vulnerabilidades antes de que las empresas apliquen las actualizaciones correspondientes.

Los analistas también señalaron las dificultades en la recopilación de datos. Las fechas de los primeros ataques no siempre se revelan o se informan con precisión, por ejemplo, indicando solo un período aproximado como «segundo trimestre de 2023». Esto complica la evaluación de los plazos reales. Mandiant subraya que el tiempo real de explotación podría ser incluso más corto que los datos presentados.

En 2021-2022, la proporción de ataques zero-day y n-day se mantuvo estable en un 62% y 38%, respectivamente, pero en 2023 los ataques zero-day alcanzaron el 70%. Este cambio se atribuye no solo al aumento en el número de zero-day, sino también a las mejoras en las herramientas de detección de estas vulnerabilidades. Se espera que esta tendencia continúe en el futuro, aunque las previsiones siguen siendo cautelosas.

En 2023, más de la mitad de las vulnerabilidades n-day fueron atacadas durante el primer mes después del lanzamiento del parche. El 15% de los errores se explotaron en las primeras 24 horas, y el 56% en el transcurso del primer mes. Es notable que casi todas las vulnerabilidades n-day (95%) se utilizaron en los primeros seis meses desde la corrección, lo que indica un aceleramiento en la explotación de sistemas vulnerables.

Ejemplos de ataques exitosos

La vulnerabilidad CVE-2023-28121 (puntuación CVSS: 9.8) en el plugin WooCommerce Payments para WordPress ejemplifica cómo la explotación masiva comenzó varios meses después de que se reveló el error. El primer uso de la vulnerabilidad se registró solo después de que se lanzó una herramienta conveniente para los ataques, lo que permitió a los atacantes realizar millones de ataques por día.

En contraste, la vulnerabilidad CVE-2023-27997 (puntuación CVSS: 9.8) en FortiOS despertó gran interés inmediatamente después de ser descubierta, pero su explotación comenzó solo meses más tarde. La complejidad de los ataques y las medidas adicionales de protección del sistema limitaron la rapidez y el alcance de su uso.

Mandiant destaca un aumento en el número de empresas atacadas. En 2023, la lista de proveedores vulnerables creció un 17% en comparación con 2021. Microsoft, Apple y Google, aunque siguen liderando en número de ataques, vieron reducirse su cuota a menos del 40%. Cada vez más, los ataques se dirigen a proveedores menos conocidos, lo que aumenta la diversidad de objetivos y complica la defensa contra las amenazas.

Mandiant subraya que, a pesar del aumento en los ataques zero-day, las vulnerabilidades n-day siguen siendo relevantes. Se prevé una reducción continua en el tiempo de explotación, lo que obliga a las empresas a mejorar sus sistemas de detección y aplicar rápidamente los parches. La creciente complejidad de las infraestructuras también requiere un refuerzo de las medidas de control de acceso y segmentación para minimizar el impacto de los ataques exitosos.

No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!

Suscribirse