Predicciones 2025: El tiempo desde el descubrimiento hasta la explotación seguirá disminuyendo

¿Qué son las amenazas de día cero?

Las amenazas de día cero son vulnerabilidades de seguridad en el software que son desconocidas para el fabricante del software o para el público. El término "día cero" se refiere a que el fabricante del software dispone de cero días para crear un parche que corrija la vulnerabilidad.

Esto significa que se trata de amenazas totalmente nuevas que, o bien ya están en el software, sus parches y actualizaciones posteriores, o bien están siendo explotadas por los malos actores por primera vez. Esto también significa que estas amenazas no figuran en las listas de vulnerabilidades conocidas, por lo que no cuentan con parches recomendados ni con reglas de detección. Incluso si una organización ha actualizado su software antivirus minutos antes, es poco probable que estas amenazas de día cero sean detenidas por las herramientas tradicionales que se basan en firmas.

¿Por qué son tan peligrosas las amenazas de día cero?

Las amenazas de día cero se consideran extremadamente peligrosas porque indican que los malos actores han descubierto una forma de comprometer un sistema y que ese sistema estará abierto a esa vulnerabilidad específica hasta que el fabricante de software desarrolle y despliegue un parche, lo que puede dejar un tiempo considerable durante el cual se pueden producir daños.

¿Están aumentando las amenazas de día cero?

Sin duda, las amenazas de día cero están aumentando, y son las cadenas de suministro de software las que corren más riesgo. De hecho, las investigaciones de Mandiant posteriores a la filtración han descubierto que la principal causa de las filtraciones es la explotación del software y las desconfiguraciones, y que una alta proporción de éstas son ataques de día cero. 95% de las empresas británicas se han visto afectadas por violaciones cibernéticas en la cadena de suministro y más de un tercio no evalúa regularmente a sus proveedores externos. La fijación de parches o la reconfiguración puntual resultan redundantes en estos casos.

Esto significa que las organizaciones no sólo deben preocuparse por el aumento de las amenazas de día cero dentro de su propio entorno, sino que también deben preocuparse por los ciberdelincuentes que explotan sus cadenas de suministro, creando vulnerabilidades en los proveedores y contratistas que son objetivo específico. Puede que sea más difícil para un mal actor infiltrarse en un gran conglomerado multinacional, pero estamos viendo que a veces son capaces de abrirse camino por la puerta trasera a través de una empresa o un individuo de la cadena de suministro de esa organización.

¿Qué es el descubrimiento a la explotación? 

En ciberseguridad, del descubrimiento a la explotación es el proceso en el que primero se identifica una vulnerabilidad -el descubrimiento- y luego se utiliza activamente para obtener acceso o causar daños mediante la creación y despliegue de malware -la explotación- para aprovecharse de esa vulnerabilidad. 

De lo que también se están dando cuenta los expertos en ciberseguridad es de que el tiempo que transcurre desde el descubrimiento hasta la explotación está disminuyendo porque los atacantes siguen mejorando rápidamente su capacidad para identificar vulnerabilidades y explotarlas, a menudo pocos días después de que se publique el software. Esto ocurre porque los marcos de exploits están disponibles con mucha facilidad y los ciberdelincuentes utilizan herramientas de IA cada vez con más frecuencia.

¿Qué pueden hacer las organizaciones para combatirlo?

En 2025, las organizaciones se van a dar cuenta rápidamente de que, a medida que siga disminuyendo el tiempo que transcurre desde que se descubre una amenaza hasta que es ampliamente explotada por los ciberdelincuentes, el análisis predictivo será especialmente importante para asegurar su superficie de amenazas.

La inteligencia artificial destaca en la supervisión en tiempo real y el análisis predictivo. A medida que evolucionan las ciberamenazas, la importancia de una supervisión continua y en tiempo real nunca ha sido mayor. Los algoritmos de IA pueden cribar enormes cantidades de datos a la velocidad del rayo, ofreciendo información en tiempo real sobre la seguridad de la red.

El análisis predictivo, impulsado por la IA, permite a las organizaciones prever posibles vulnerabilidades y abordarlas antes de que sean explotadas. Esta capacidad va más allá de la simple supervisión y se extiende a escenarios más complejos, como la predicción de cuándo y dónde podría producirse un ataque de denegación de servicio distribuido (DDoS) basándose en las tendencias históricas de los datos.

Las organizaciones pueden ir un paso por delante de los atacantes aprovechando la IA para el análisis y la predicción en tiempo real.

Lo esencial

Las amenazas de día cero seguirán siendo una realidad muy peligrosa durante todo el año que viene y hasta bien entrado el futuro. Sólo van a aumentar a medida que los ciberdelincuentes adquieran más experiencia y la IA y las herramientas de explotación estén cada vez más disponibles. Paralelamente, el tiempo que tardan en explotar una vulnerabilidad seguirá disminuyendo.

Las organizaciones necesitan combatir la IA con IA, utilizando herramientas de desarrollo que les ayuden a solucionar las vulnerabilidades del software antes de que los malos las descubran. Las tecnologías de IA pueden mejorar las pruebas y la depuración mediante la detección automática de fallos, ineficiencias y vulnerabilidades, y sugerir correcciones u optimizaciones. Los sistemas de pruebas basados en IA generan casos de prueba adaptables y priorizan las pruebas más críticas, mejorando la calidad y la seguridad del software.

Otros blogs de Predicciones 2025:

Equilibrar el tiempo de comercialización es imperativo

La gestión de Human Risk será el tema candente de este año

La IA significativa estará integrada en la tecnología

Las asociaciones estratégicas benefician a los clientes

Mantener el cumplimiento en un panorama de amenazas en evolución