Hackers trabajando para gobiernos fueron responsables de la mayoría de los exploits zero-day atribuidos utilizados en ciberataques del mundo real el año pasado, según una nueva investigación de Google.
El informe de Google dijo que el número de exploits zero-day —refiriéndose a vulnerabilidades de seguridad desconocidas para los fabricantes de software en el momento en que los hackers las aprovecharon— había disminuido de 98 exploits en 2023 a 75 exploits en 2024. Pero el informe señaló que de la proporción de exploits zero-day que Google pudo atribuir —es decir, identificar a los hackers responsables de explotarlos—, al menos 23 exploits zero-day estaban vinculados a hackers respaldados por gobiernos.
Entre esos 23 exploits, 10 zero-days fueron atribuidos a hackers que trabajan directamente para gobiernos, incluidos cinco exploits vinculados a China y otros cinco a Corea del Norte.
Otros ocho exploits fueron identificados como desarrollados por fabricantes de spyware y facilitadores de vigilancia, como NSO Group, que generalmente afirman vender solo a gobiernos. Entre esos ocho exploits hechos por compañías de spyware, Google también está contando errores que fueron recientemente explotados por autoridades serbias usando dispositivos de desbloqueo de teléfonos Cellebrite.
[[IMG::
Google agregó que los vendedores de vigilancia continúan proliferando.
Los 11 zero-days restantes atribuidos probablemente fueron explotados por ciberdelincuentes, como operadores de ransomware que apuntan a dispositivos empresariales, incluyendo VPN y routers.
El informe también encontró que la mayoría de los 75 zero-days totales explotados durante 2024 apuntaban a plataformas y productos de consumo, como teléfonos y navegadores, mientras que el resto explotaba dispositivos típicamente encontrados en redes corporativas.
La buena noticia, según el informe de Google, es que los fabricantes de software que se defienden contra ataques zero-day están haciendo cada vez más difícil para los creadores de exploits encontrar errores.
“Estamos viendo disminuciones notables en la explotación zero-day de algunos objetivos históricamente populares como navegadores y sistemas operativos móviles”, según el informe.
Sadowski señaló específicamente a Lockdown Mode, una característica especial para iOS y macOS que deshabilita cierta funcionalidad con el objetivo de fortalecer teléfonos celulares y computadoras, que tiene un historial probado de detener hackers gubernamentales, así como a Memory Tagging Extension (MTE), una función de seguridad de los conjuntos de chips modernos de Google Pixel que ayuda a detectar ciertos tipos de errores y mejorar la seguridad del dispositivo.
Informes como el de Google son valiosos porque brindan a la industria, y a los observadores, puntos de datos que contribuyen a nuestra comprensión de cómo operan los hackers gubernamentales, incluso si un desafío inherente al contar los zero-days es que, por naturaleza, algunos de ellos no se detectan, y de los que se detectan, algunos aún quedan sin atribución.
