El
Grupo de Inteligencia de Amenazas de Google (GTIG) afirma
que los atacantes explotaron 75 vulnerabilidades Zero-Da el año pasado, más
del 50 % de las cuales estaban vinculadas a ataques de spyware.
Estas cifras son inferiores a las
97 vulnerabilidades Zero-Day de 2023, pero superiores a las 63 de 2022. Si bien los recuentos anuales han
fluctuado enormemente en los últimos cuatro años, la línea de tendencia
promedio muestra un aumento constante en la explotación de Zero-Days. En 2024,
las plataformas y productos para usuarios finales (por ejemplo, navegadores
web, dispositivos móviles y sistemas operativos de escritorio) fueron los más
afectados por esta actividad.
Señalaron que los actores de amenazas de ciberespionaje, incluyendo grupos
respaldados por gobiernos y clientes de proveedores de vigilancia comercial,
fueron responsables de más de la mitad de los ataques de día cero
atribuibles en 2024.
De estos, grupos vinculados a China explotaron cinco días cero, clientes de
vigilancia comercial ocho, mientras que operadores norcoreanos fueron
vinculados a cinco exploits de día cero por primera vez, utilizados en ataques
que combinan espionaje y motivos financieros.
El 56 % de los ataques de día cero registrados se centraron en plataformas y
productos para usuarios finales (por ejemplo, navegadores web, dispositivos
móviles y sistemas operativos de escritorio). Los exploits contra navegadores
se redujeron aproximadamente un tercio, de 17 en 2023 a 11 en 2024, mientras
que los ataques de día cero contra dispositivos móviles se redujeron casi a la
mitad, de 17 a 9.
Google Chrome se mantuvo como el principal objetivo de los navegadores,
y las vulnerabilidades de seguridad en sistemas operativos de escritorio
aumentaron de 17 a 22, mientras que las vulnerabilidades de día cero en
Windows ascendieron a 22 el año pasado, frente a las 16 de 2023 y las 13 de
2022.
«Mientras Windows siga siendo una opción popular tanto en entornos
domésticos como profesionales, prevemos que seguirá siendo un objetivo
frecuente para las vulnerabilidades de día cero y de día N (es decir, una
vulnerabilidad explotada después del lanzamiento de su parche) por parte de
actores de amenazas», declaró GTIG.
Por otro lado, en 2024, los atacantes explotaron 33 de las 75 vulnerabilidades
de día cero (44%) para atacar productos utilizados principalmente en entornos
empresariales, frente al 37% de 2023. De estos, el software y los dispositivos
de seguridad y redes representaron 20 vulnerabilidades de día cero explotadas
in situ, lo que representa más del 60% de las vulnerabilidades de día cero
dirigidas a empresas. Los atacantes se centran en ellas porque vulnerar un
solo dispositivo de seguridad o de red les proporciona un amplio acceso al
sistema sin necesidad de cadenas de explotación multietapa mucho más
sofisticadas.
Según los analistas de amenazas de GTIG, entre las vulnerabilidades de día
cero empresariales más destacadas explotadas en 2024 se encuentran las que
afectaron a Ivanti Cloud Services Appliance, Cisco Adaptive Security
Appliance, Palo Alto Networks PAN-OS e Ivanti Connect Secure VPN.
La explotación de día cero continúa creciendo a un ritmo lento pero constante.
Sin embargo, también hemos empezado a ver que el trabajo de los proveedores
para mitigarla está dando sus frutos —afirmó Casey Charrier, analista sénior
de Google Threat Intelligence Group—.
Por ejemplo, hemos observado menos casos de explotación de día cero dirigidos
a productos históricamente populares, probablemente gracias a los esfuerzos y
recursos que muchos grandes proveedores han invertido para prevenir la
explotación.
Al mismo tiempo, observamos que la explotación de día cero se dirige cada vez
más a productos empresariales, lo que requiere un conjunto más amplio y
diverso de proveedores para reforzar las medidas de seguridad proactivas. El
futuro de la explotación de día cero dependerá, en última instancia, de las
decisiones de los proveedores y de su capacidad para contrarrestar los
objetivos y objetivos de los actores de amenazas.
Fuente:
BC