Le avisaron con 11 días de antelación. ¿Por qué los informes sobre vulnerabilidades siempre llegan tarde?
Se descubrió que los hackers dejan rastros mucho antes del primer ataque.
Los sutiles aumentos de actividad en internet pueden advertir sobre vulnerabilidades graves mucho antes de su divulgación. Un nuevo informe de GreyNoise muestra que los atacantes a menudo comienzan a escanear y atacar infraestructuras con intensidad días o incluso semanas antes de las notificaciones oficiales sobre los problemas, y que estas señales pueden rastrearse con antelación.
El análisis abarcó 103 días de observación y casi 148 millones de sesiones en la red de sensores de GreyNoise. Los especialistas estudiaron el comportamiento del tráfico atacante para 18 fabricantes de equipos de red y encontraron un patrón persistente: en aproximadamente la mitad de los casos, un repentino aumento de actividad en torno a un fabricante concreto terminaba con la publicación de una vulnerabilidad dentro de las tres semanas. La probabilidad de tal coincidencia resultó un 36% superior a la aleatoria. La mediana de adelanto fue de 11 días.
La mayoría de las señales aparecen con rapidez. Casi la mitad de los picos se detectaron diez días antes de la divulgación de la vulnerabilidad, y el 78% dentro de las tres semanas. En varios casos se trató de problemas críticos con la máxima puntuación. Por ejemplo, para la vulnerabilidad de Cisco con puntuación 10.0 la actividad comenzó a aumentar 18 días antes de la publicación, y señales similares para soluciones de VMware y MikroTik aparecieron 14–16 días antes.
El estudio muestra que el indicador clave no es el número de direcciones IP únicas, sino la intensidad del tráfico. Cuando fuentes ya conocidas empiezan a aumentar drásticamente el número de peticiones hacia los productos de un mismo fabricante, la probabilidad de una divulgación inminente de vulnerabilidad crece de forma notable. El crecimiento adicional del número de IP nuevas refuerza la señal, pero por sí solo no se considera un indicador fiable.
Casos concretos muestran escenarios característicos. Antes de la publicación de una vulnerabilidad crítica de Cisco la actividad creció en escalones: una serie de cinco picos en 18 días. En el caso de SonicWall se observó una "cuenta regresiva", con intervalos entre ataques que se acortaban a medida que se acercaba la divulgación. Para Ivanti y Fortinet se registraron picos cortos pero intensos a pocos días de la publicación, incluidos casos de explotación en ataques reales.
El análisis de la infraestructura indicó que detrás de esas campañas no hay fuentes aleatorias, sino grupos organizados. Unos usan botnets distribuidos con miles de dispositivos; otros, un número reducido de servidores con alta carga. En algunos casos la misma infraestructura se empleó para atacar simultáneamente a varios fabricantes, lo que apunta a operaciones coordinadas.
Los autores del informe subrayan que la causa de esos picos puede variar: desde filtraciones de información y análisis de actualizaciones hasta el descubrimiento paralelo de vulnerabilidades por distintas partes. Sin embargo, la señal en sí se mantiene estable. Vigilar la actividad anómala permite prepararse con antelación ante la amenaza, incluso si la vulnerabilidad aún no ha sido divulgada.