Serie Zero Day: ciberataques (¿imposibles?) y conspiraciones

No sé si habéis visto ya algún capítulo de la miniserie «Día Cero» (Zero Day), estrenada en Netflix el 20 de febrero de 2025. Este thriller político de seis episodios está protagonizado por Robert De Niro y (no os hago demasiado spoiler porque ocurre al principio) expone un ataque a gran escala en que combinan múltiples exploits de día 0 para afectar de manera coordinada a múltiples servicios e infraestructuras críticas, provocando grandes daños materiales y personales en EE.UU.

La serie ha generado debates sobre la plausibilidad de un ciberataque de tal magnitud en la vida real. ¿Mi opinión? Un ataque de gran escala así es, aunque no descartable, altamente improbable. Es más realista pensar en ataques dirigidos a sectores críticos (energía, finanzas o telecomunicaciones) usando un número limitado de vulnerabilidades de este tipo, en lugar de un evento apocalíptico global. Ciertamente los ataques que emplean múltiples vulnerabilidades de día cero son extremadamente raros debido a la complejidad y los recursos necesarios para descubrir y explotar dichas vulnerabilidades simultáneamente. Sin embargo, la serie utiliza este escenario para dramatizar y resaltar los riesgos potenciales asociados con estas amenazas y ciberataques, rodeados siempre de los típicos clichés americanos. Pero, ¿existen casos aunque sean similares? Los más famosos hasta la fecha serían:

• Stuxnet (2010): un malware infectó centrifugadoras nucleares en Irán, ralentizando su programa nuclear. Usaron 4 vulnerabilidades desconocidas en Windows.
• Operation Aurora (2009-2010): ciberespionaje dirigido a Google, Adobe y otras empresas explotando una vulnerabilidad de día 0 en Internet Explorer. 
• WannaCry (2017): ransomware global que afectó hospitales, bancos y empresas. Usaron EternalBlue, un 0 day filtrado de la NSA por Shadow Brokers. Llevaron a cabo un ataque masivo que paralizó sectores críticos.
• NotPetya (2017): ataque disfrazado de ransomware que buscaba destruir datos. Combinación de EternalBlue y otras vulnerabilidades. Se infiltraron a través de actualizaciones de software.
• SolarWinds (2020): atacantes introdujeron un backdoor en el software (cadena de suministro) y permanecieron dentro de redes gubernamentales y privadas por 9 meses antes de ser descubiertos.
• Kaseya VSA (2021): ransomware desplegado mediante la cadena de suministro de Kaseya. Explotaron una vulnerabilidad en la plataforma de gestión VSA y fue un ataque indirecto que afectó a cientos de empresas.

Como veis incluso los más famosos y relevantes hasta la fecha no son tan catastróficos como los de la serie pero si son bastante impactantes.

Otro aspecto también técnico es que, al menos en los primeros ataques, no se conoce quién o qué actores están detrás de los mismos. ¿Sería esto plausible? Pues en el mundo real, los ciberataques son cada vez más sofisticados y difíciles de rastrear, lo que hace que la atribución sea un desafío complejo. Hay varios factores que contribuyen a la dificultad de identificar a los responsables de un ciberataque:

• Anonimato: Los hackers utilizan diversas técnicas para ocultar su identidad, como el uso de servidores proxy, redes Tor y direcciones IP falsas.
• Falsas banderas: Los hackers pueden dejar pistas falsas para desviar la atención hacia otros sospechosos, lo que dificulta la investigación.
• Habilidades técnicas: Los hackers suelen ser expertos en informática con habilidades avanzadas para evadir la detección y el rastreo.
• Falta de cooperación internacional: La falta de cooperación entre países puede obstaculizar la investigación y el enjuiciamiento de los hackers.

En conclusión, que no se detecten a los actores detrás del primer ataque en «Día Cero» si es un escenario plausible. Es decir, la serie refleja también la creciente dificultad de atribuir ciberataques y las implicaciones que esto tiene para la seguridad global, donde la desinformación es también un elemento poderoso que genera miedo e incertidumbre. ¿Serán capaces de descubrir quién impulsó los ataques y neutralizarlos? Hasta aquí puedo leer… 😉