Reflexiones Sobre el Día Cer0
- August 9th, 2010
- By Fausto Cepeda
- Write comment
- [ EDIT ]
Por alguna razón, el Día Cero siempre me ha sonado a título de película apocalíptica donde Stallone, Willis y Schwarzenegger protagonizan la cinta y ya saben, empieza con una música tenebrosa diciendo “Son los mejores mercenarios del mundo. La única vida que conocen es la del Día Cero (Ah! Ese es un trailer, verdad?).

Pero dejando mi imaginación esquizofrénica a un lado, de lo que quiero
hablar es del tema de las llamadas “vulnerabilidades de día cero”. Los
asiduos lectores del blog (quiero pensar que tengo un par) sabrán de lo
que hablo: cuando se publica en Internet una debilidad de software sin
que tenga su parche (solución) correspondiente, se dice que hay una
debilidad de día cero. Ahí está el error latente, pero debemos esperar
a que haya una respuesta (parche) del fabricante.
Por ejemplo, el viernes 6 de agosto se anunció de una debilidad de día cero en el kernel de Windows.
¿Son las debilidades de día cero la gasolina principal que mueve al mundo underground criminal? El éxito que han tenido los criminales en línea no se debe a estas debilidades de día cero (morirían de hambre, por así decirlo). Estos señores viven realmente de los millones de usuarios que tienen software des-actualizado.
El esfuerzo (tiempo y dinero) que se podría invertir en descubrir las debilidades de día cero (que tampoco son de “enchílame éstas”), simplemente es mejor invertirlo en explotar la gran cantidad de debilidades –conocidas y con solución- que tienen en su conjunto los sistemas en todo el mundo pertenecientes a cualquier tipo de usuario.
Existen millones de computadoras que no se encuentran al día y que seguramente tendrán un hueco en el sistema operativo o sus aplicaciones. Por ejemplo, tú podrías asegurar que tienes tu sistema “updeiteado” 100% al día de hoy?
¿”Tons pa” qué sirven las debilidades de día cero? Sé lo que están pensando (sin ser el pulpo Paul): en ataques dirigidos. Esos ataques donde específicamente se tiene a una persona u organización en la mira. Depende de quién lo haga, le sacará mayor provecho (sin ser una regla).
Era un 6 de agosto de 1990, mi primer día de clases en la universidad.
Ese día comenzaban mis estudios formales de Ingeniería en Sistemas
Computacionales. El campus también se inauguraba formalmente pues era
la primera vez que recibía a alumnos de programas de profesional y
preparatoria. Recuerdo bien que el fin de semana anterior la escuela
aún no estaba totalmente pintada y, para ese primer día, algunos
salones ni siquiera tenían puerta y faltaban barandales. Además de que
siempre me había gustado la tecnología, había elegido una carrera cuyas
materias me parecían muy avanzadas y con títulos futuristas que sonaban
complejos… eso me atraía.









