¿Qué es un día cero y cómo te defiendes de algo sin parche?
Respuesta breve
Un día cero es una vulnerabilidad que el fabricante aún no conoce (o no ha parcheado), por lo que los defensores han tenido «cero días» para arreglarla. Como no existe parche, la defensa se apoya en controles por capas, detección por comportamiento, segmentación, mínimo privilegio y respuesta rápida a incidentes en lugar de una firma.
El término suena dramático, y los entrevistadores quieren ver que sabes definirlo con precisión y razonar sobre la defensa cuando la respuesta habitual — «aplica el parche» — no está disponible.
Qué significa «día cero»
Una vulnerabilidad de día cero es un defecto que el fabricante del software aún no conoce o no ha corregido. El nombre viene de que el fabricante ha tenido cero días para desarrollar un parche. Un exploit de día cero es código de ataque funcional para tal defecto, y un ataque de día cero es su uso en la práctica antes de que exista una corrección.
En contraste, un n-day es una vulnerabilidad que sí es conocida y está parcheada, pero donde algunos sistemas siguen sin parchear. La mayoría de los compromisos del mundo real explotan en realidad n-days, porque las organizaciones son lentas al parchear.
Por qué son peligrosos
Las defensas basadas en firmas (antivirus, reglas de IDS) a menudo dependen de conocer la amenaza de antemano. Un verdadero día cero no tiene firma, por lo que estas herramientas pueden pasarlo por alto por completo, y no hay parche que desplegar.
Cómo defenderse sin parche
Pasas de «bloquear lo conocido» a la resiliencia y la profundidad:
- Defensa en profundidad para que ninguna elusión aislada conduzca al compromiso total.
- Detección por comportamiento y anomalías (EDR, analítica de red) que señala acciones sospechosas en lugar de firmas conocidas.
- Mínimo privilegio y segmentación para limitar el radio de impacto.
- Parcheo virtual / reglas WAF para mitigar temporalmente las vías de explotación.
- Inteligencia de amenazas y parcheo rápido para desplegar la corrección del fabricante en cuanto se publique.
- Un plan de respuesta a incidentes ensayado para cuando la prevención falle.
Por qué esto importa
Los entrevistadores comprueban si entras en pánico o piensas en sistemas. Un candidato que define correctamente el día cero, lo distingue de los n-days y explica una defensa por capas y basada en comportamiento demuestra que entiende que la seguridad consiste en reducir el riesgo, no en perseguir un bloqueo perfecto.
Posibles preguntas de seguimiento
- ¿En qué se diferencia un día cero de un n-day o una CVE conocida?
- ¿Qué enfoques de detección funcionan cuando no existe una firma?
- ¿Qué es la divulgación responsable?