Mapa de sitios web maliciosos
Transcripción
Mapa de sitios web maliciosos
Mapa de sitios web maliciosos Los dominios más peligrosos del mundo Mapa de sitios web maliciosos 1 Mapa de sitios web maliciosos Los dominios más peligrosos del mundo Escrito por: Barbara Kay, CISSP, Secure by Design Group Paula Greve, Director of Research, McAfee Labs™ ÍNDICE Introducción 3 Resultados clave: Mapa de sitios web maliciosos IV 4 Por qué es importante la realización de este mapa 6 Cómo se aprovechan los delincuentes de los dominios de nivel superior 7 Metodología 9 Algunas advertencias acerca de las clasificaciones 11 Desglose de las clasificaciones 12 El cambiante espectro de amenazas 21 Testimonios de las entidades de registro y de los operadores de dominios de nivel superior 23 Conclusión 26 Introducción ¿Bonanza o botnet? La próxima vez que busques la foto de un personaje famosos o instrucciones para realizar alguna actividad, presta especial atención a los dominios de nivel superior (TLD), los caracteres que se encuentran al final de las URL en los resultados de búsqueda. En el estudio Mapa de sitios web maliciosos de este año, McAfee encontró que el riesgo en la red escaló a un nivel récord de 6,2% entre más de 27 millones de dominios evaluados en este informe. Si los usuarios no hacen clic en los enlaces con cuidado, el simple hecho de ver una página puede llegar a costarles muy caro. Este año, ha aumentado el número de sitios web que contienen códigos maliciosos que roban contraseñas e información de identificación, que se aprovechan de las brechas de seguridad en los navegadores, o que instalan en silencio los ingredientes que convierten a los ordenadores en zombis. Si supieras de antemano que tres de cada cinco sitios en determinados TLD son peligrosos, probablemente elegirías otro lugar desde donde descargar esa fotografía que estás buscando. Por ejemplo, a pesar del creciente atractivo de Vietnam como destino de vacaciones, quienes visiten sitios registrados en Amenazas a la seguridad evaluadas por McAfee® Global Threat Intelligence™ Vietnam (.VN) deberían considerarlo una zona para no visitar. Este año, .VN apareció en nuestra lista entre los cinco TLD más peligrosos de Internet, después de que registráramos que un 58% de los sitios web que rastreamos presentaban contenidos y actividades dañinos, tanto real como potencialmente, incluidos: • Software malicioso (Malware). Código que puede dañar el sistema, robar información o llevar a cabo actividades maliciosas en otro ordenador (incluyendo registradores de pulsaciones, ladrones de contraseñas y kits de zombis). • Exploits de navegadores. Ataques y malware que se aprovechan del software vulnerable. Exploits de navegadores Reputación peligrosa (motores de archivo, de red, de Internet y de correo electrónico) • Phishing (robo de identidad). Proveniente de la palabra inglesa “fish” (pescar), son sitios falsos que parecen legítimos pero que están diseñados para “pescar” información o instalar códigos maliciosos. Software publicitario/software espía/Troyanos/virus Marketing agresivo con ventanas emergentes • Grado de spam. Formularios de registro que luego generan enormes cantidades de correos electrónicos comerciales, o correo no deseado (spam). Alto volumen de correos electrónicos comerciales (“spam”) Asociación con otros sitios de riesgo • Asociaciones que entrañan riesgos : Sitios con enlaces que llevan al usuario a sitios web maliciosos, y sitios que tienen relaciones sospechosas, tales como de propiedad, de registro o de servicio de hosting. Determinamos el nivel de riesgo basándonos en los modos en que diferentes características se relacionan con cada sitio. Los TLD .INFO y .CM tienen casi la misma cantidad de sitios peligrosos que de sitios seguros, mientras que el TLD .VN tiene más cantidad de sitios peligrosos que de sitios seguros. Mapa de sitios web maliciosos 3 Resultados clave: Mapa de sitios web maliciosos IV En este cuarto análisis anual del riesgo relativo de los TLD, McAfee ha descubierto que el riesgo total en la red se ha incrementado con respecto al año pasado. Hemos visto que el riesgo ha aumentado en algunas partes de la red que ya eran peligrosas, tales como .INFO; que en algunos casos ha habido reducciones significativas en el riesgo de algunos de los TLD con más riesgo del año pasado, especialmente Singapur (.SG) y Venezuela (.VE); y que han surgido algunas nuevas áreas de preocupación, tales como Vietnam (.VN), Armenia (.AM) y Polonia (.PL). Nota: Salvo que se indique lo contrario, todas las estadísticas de riesgo se refieren al riesgo ponderado. • Riesgo en aumento. La media total ponderada de sitios web peligrosos aumentó de 5,8% (2009) a 6,2% (2010). En 2007 y 2008, encontramos que un 4,1% de sitios web estaban clasificados con los colores rojo (evitar) y amarillo (precaución). Si bien utilizamos una metodología diferente durante los dos primeros años, la línea de tendencia hacia arriba y hacia la derecha parece mantenerse. Navegar por la red en modo seguro se está volviendo cada vez más difícil. Porcentaje de sitios peligrosos en la red 7 6 5 4 3 2 1 2010 2009 2008 2007 0 • Los cinco TLD más peligrosos. Con un riesgo ponderado del 31,3%, .COM (Comercial, el TLD con más tráfico), es el TLD más peligroso, y le quitó así el título a .CM (Camerún), que cayó al cuarto puesto este año, mientras que .INFO logró hacerse con una posición que indica mayor riesgo, colocándose en el segundo lugar desde el quinto que ocupaba el año pasado. Los cinco TLD con mayor porcentaje de registros peligrosos fueron: -- .COM (Comercial) 31.3% -- .INFO (Información) 30.7% -- .VN (Vietnam) 29.4% -- .CM (Camerún) 22.2% -- .AM (Armenia) 12.1% • Distribución global. La región de Europa, Oriente Medio y África (EMEA por sus siglas en inglés) se ha ganado nuevamente la distinción de tener los TLD más peligrosos entre los top 20, con siete participantes, incluyendo los nuevos ingresantes a la top 20, Armenia (.AM) y Polonia (.PL) Le siguió la región Asia Pacífico (APAC), con seis TLD, mientras que los dominios genéricos, como Network (.NET), se quedaron con el quinto lugar entre los 20 más peligrosos. El único participante de América fue Estados Unidos (.US) en el puesto 14. • Liderazgo de los genéricos. Como contrapartida del riesgo por región, los TLD genéricos y patrocinados presentaban el promedio de riesgo más elevado. Con un 7,9%, estos TLD superaron el promedio total, mientras que los tres grupos regionales presentaron un promedio de 6,2%. APAC pasó de un promedio del 13% a un promedio del 4,9%; América presentó un promedio de 2,7%; EMEA sólo el 1,9%. Mapa de sitios web maliciosos 4 • Algunas mejorías importantes: Singapur (.SG) se merece un reconocimiento por haber disminuido el nivel de peligro y haber pasado así del puesto número 10 el año pasado al puesto número 81 este año; Venezuela (.VE) pasó del puesto 21 al 88 este año; y Filipinas (.PH), del número 6 en 2009 al 25 este año. • Algunos TLD a los que prestar atención. Sólo evaluamos los TLD de los que obtuvimos resultados en 2000 o más sitios activos. No obstante, dos TLD de bajo tráfico hubieran escalado hasta los primeros cinco lugares si hubiéramos incluido todos los TLD. -- Con un 33% de riesgo, Senegal (.SN) estaría en el puesto número uno, tal vez porque no impone restricciones de registro (http://en.wikipedia.org/wiki/.sn). -- El Territorio Británico del Océano Índico (.IO) hubiera ocupado el quinto lugar (11,5% de riesgo). -- Tal vez este sea un TLD popular porque no tiene restricciones de registro de segundo nivel que limite los nombres que pueden aparecer antes del TLD, por lo que ofrece ingeniosas posibilidades de reutilización: “.IO se utiliza en piratería de dominios, como eugen.io, moustach.io, o pistacch.io, así como también en servicios para hospedar archivos, como drop.io”. (http://en.wikipedia.org/wiki/.io). • Perfectamente limpios. Los cinco TLD que registraron la menor cantidad de registros peligrosos, con un 0,1% o menos de dominios clasificados como peligrosos, fueron: -- .TRAVEL (Sector de viajes y turismo) .02% -- .EDU (Educativo) .05% -- .JP (Japón) .08% -- .CAT (Cataluña) .09% -- .GG (Guemesey) .10% Nota: Estas clasificaciones se basan en evaluaciones del sitio web en su conjunto, y no en clasificaciones de las páginas individuales. Los usuarios deben saber que existen riesgos dentro de las URL individuales que se encuentran en dominios que son generalmente seguros. Encontramos, por ejemplo, muchas URL peligrosas a nivel de página en los sitios .EDU (Educativo). • Los sitios gubernamentales pierden su liderazgo. El TLD más seguro en el 2009, el Gubernamental (.GOV), quedó atrás en el puesto número veintitrés entre los menos peligrosos este año. No obstante, mantuvo el mismo grado de riesgo, un mero 0,3%. Todos los sitios web peligrosos que encontramos allí fueron clasificados con el color rojo. Mapa de sitios web maliciosos 5 Por qué es importante la realización de este mapa McAfee publica el informe Mapa de sitios web maliciosos para tres comunidades diferentes, con tres objetivos principales: • Para la entidad de registro de dominios y la comunidad de registros, esperamos que este informe ofrezca un reconocimiento a quienes se esfuerzan por reducir el número de registros de estafadores y por cerrar sitios web maliciosos, y que motive a otros a acercarse a estos líderes para adoptar los mejores procedimientos para estos desafíos. Una de las recompensas es la reducción del riesgo. En el pasado, hemos trabajado para ayudar a los entes de registro con la lista de los “peores agresores”, proporcionando investigaciones sobre los riesgos. Como consecuencia, hemos observado una importante reducción de la cantidad de sitios peligrosos en sus TLD. • Para los propietarios de sitios web, esperamos que el informe pueda ser una guía de consulta útil a la hora de decidir sobre la “ubicación” de cara al público para sus registros. • Para los consumidores y los directores de empresas de TI, esperamos que el informe actúe como una revisión de la realidad, una advertencia de que el riesgo está ampliamente distribuido por toda la Red, que los riesgos van en aumento y se están volviendo cada vez más ingeniosos, y que incluso los usuarios más experimentados necesitan la ayuda de un software de seguridad integral y actualizado, con funcionalidad de búsqueda segura. Mapa de sitios web maliciosos 6 Cómo se aprovechan los delincuentes de los dominios de nivel superior Un TLD es uno de los organizadores de la red, el código de letras que se encuentra al final de un sitio web y que dice dónde se encuentra registrado el sitio. Si bien es probable que todos reconozcan .COM y .GOV, muchos TLD son más difíciles de interpretar, como .AM para Armenia o .CM para Camerún. Los estafadores se aprovechan de este desconocimiento, así como de la realidad de que muchos consumidores simplemente no prestan atención al sufijo TLD cuando buscan en la red. Muchos consumidores hacen clic en el primer resultado que suena interesante, y se convierten así en víctimas de los delincuentes que dedican tiempo a optimizar sus sitios web para los motores de búsqueda. Algunos TLD son más peligrosos que otros para visitar. Los estafadores y los hackers registran sus operaciones en los lugares donde es más sencillo hacer negocios o donde advierten posibilidades financieras debido a errores de escritura o a asociaciones lógicas. Por ejemplo, dado que es fácil omitir la “O” en una dirección .COM, podría registrar la dirección www.mcafee.cm en Camerún (.CM) esperando obtener tráfico de cualquiera que se preocupe por la seguridad. Por ejemplo, este podría ser un sitio elegible para colocar un programa antivirus no autorizado, a la espera de que un consumidor responda a un mensaje de alerta que diga: “tiene un virus, instale este software”. Las entidades de registro trabajan duro para erradicar esta actividad, conocida como “typosquatting” o redireccionamiento intencionado (con la creación de un sitio falso en una dirección web que suele escribirse mal). El redireccionamiento intencionado obtiene resultados desde los sitios que generan ganancias publicitarias a partir de los errores de escritura hasta de los sitios que buscan vender esa dirección a sitios web de phishing que pretenden obtener información personal o instalar software malicioso. El software más peligroso (llamado a veces “software de descarga inadvertida”) es invisible a los ojos de los usuarios, ya que no es necesario que estos hagan clic ni acepten de forma consciente la descarga para que su ordenador sea infectado o atacado. La mayoría de los software maliciosos y de los ataques hacen todo lo posible para no ser detectados. Los consumidores pueden no darse cuenta durante días o incluso semanas de que hay un problema, mientras que los delincuentes vacían cuentas bancarias, acceden a cuentas de juegos online, infectan a los “amigos” de las redes sociales, o aprovechan ciclos del procesador para sus botnets. Del mismo modo, el usuario normalmente no sabe si un .COM está alojado en Estados Unidos o en China. A menos que utilice una herramienta de asesoramiento de clasificaciones de seguridad, el visitante necesita buscar información adicional para determinar si un sitio es de confianza para visitar. ¿.VN es para Vietnam o para Venezuela? La respuesta puede ser determinante para establecer el riesgo. Mapa de sitios web maliciosos 7 Mientras que los buenos trabajan para mejorar el control y la supervisión de los registros1, los delincuentes invierten en software hábiles e infraestructuras resistentes (ver la nota sobre zombis en el recuadro). Cuando un TLD comienza a ser controlado, los delincuentes mudan rápidamente sus puertas de entrada en Internet a hogares más compasivos y flexibles, sin que necesariamente reubiquen servidores físicos ni alteren contenido. Cuidado con los zombis Los zombis son ordenadores infectados ubicados en hogares y empresas. Los delincuentes los conectan entre sí para lanzar diferentes clases de ataques: envío de correo no deseado, phishing y robo de información. Las botnets son grupos de zombis que distribuyen la actividad, y ayudan así a que los dueños de las redes de bots se mantengan “fuera del radar” y a que, por lo tanto, eviten ser detectados y controlados mediante, por ejemplo, bloqueos en las instalaciones de ISP. Obtienen así una infraestructura para la ciberdelincuencia de primera clase a un coste insignificante. Además de tener bajos costes de operación, los zombis ayudan a los administradores de las redes de bots a mantener su anonimato. El éxito de esta estrategia podría explicar la diferencia de impacto entre el bloqueo de McColo, que redujo drásticamente los volúmenes de correo no deseado a nivel global en 20082, y el bloqueo de la botnet Zeus en marzo de 2010, que duró sólo algunas horas.3 El TLD nos dice dónde se encuentra registrado un sitio. El sitio web en sí mismo, incluido su contenido, sus servidores, sus dueños, puede estar ubicado en otra parte. Es una tendencia entre los delincuentes ubicar el contenido dentro de servicios de compartición de archivos gratuitos y luego propocionar el contenido a otros TLD cuando fuera necesario. Debido a que los archivos almacenados en servicios tales como BitTorrent, YouTube y RapidShare cambian constantemente, vigilar este contenido se ha vuelto muy difícil. Son varios los factores que inciden en que los delincuentes elijan determinados TLD: • Precio más bajo. En igualdad de condiciones, los estafadores prefieren entidades de registro que ofrezcan cuotas baratas, descuentos por volumen y políticas de devolución generosas. • Falta de regulación. En igualdad de condiciones, los estafadores prefieren entidades de registro “que no hagan preguntas”. Cuanta menos información tenga que dar un estafador, mejor. Asimismo, los estafadores prefieren entidades de registro que actúen de forma lenta, si lo hacen, cuando se les avise de la existencia de dominios maliciosos. • Facilidad de registro. En igualdad de condiciones, los estafadores prefieren entidades de registro que les permitan registrarse en masa. Esto es especialmente cierto para los suplantadores (phishers) y los spammers (quienes envían correo electrónico no deseado) que necesitan grandes volúmenes de sitios web para compensar el alto índice de bloqueos efectuados por los administradores de TLD. 1 McAfee 2010 Threat Predictions [Predicción de amenazas 2010 de McAfee], p. 9, disponible para descargar en varios idiomas en http://www.mcafee.com/us/threat_center/white_paper.html 2 http://arstechnica.com/security/news/2009/01/two-months-after-mccolo-takedown-spam-levels-yet-to-recover.ars 3 http://www.thetechherald.com/article.php/201010/5363/ISP-takedown-deals-smashes-Zeus-botnet-%E2%80%93-for-a-few-hours Mapa de sitios web maliciosos 8 Metodología No hubo cambios en la metodología de este año. Como en el informe del año pasado, este informe utiliza la base de datos McAfee Global Threat Intelligence, que recoge información de más de 150 millones de sensores ubicados en más de 120 países. Estos sensores (equipos individuales, dispositivos de entrada a redes, software con puntos terminales, servicios hospedados en la nube) provienen de consumidores, de pequeñas y medianas empresas, de clientes corporativos, de instituciones educativas y de agencias gubernamentales. Nuestra metodología tiene como objetivo identificar el riesgo analizando patrones de tráfico en Internet, comportamiento del sitio web, contenido alojado y enlaces. Evaluamos los sitios web individuales buscando contenido y comportamiento malicioso o peligroso y también analizamos lo que podría llamarse el contexto del sitio, es decir, cómo se encuentra registrado, cómo se hace referencia a él, cómo es utilizado y cómo se accede a él. •Los sitios web son comprobados para determinar si se aprovechan de las vulnerabilidades del explorador, si se detectan prácticas de phishing y si proliferan excesivamente los elementos emergentes. El aprovechamiento de las vulnerabilidades del navegador, que a menudo se identifica también con descargas inadvertidas, permite que se instalen virus, capturadores de pulsaciones del teclado o spyware, en el equipo de un usuario sin su consentimiento y, a menudo, sin que lo sepa. También examinamos enlaces salientes para ver si dirigen a los visitantes a otros sitios web clasificados como peligrosos por McAfee. •Se analizan las descargas mediante la instalación de software en nuestros equipos de pruebas y se comprueba la existencia de virus, software publicitario integrado, spyware u otros programas potencialmente no deseados. McAfee no comprueba archivos individuales ofrecidos a través de programas de uso compartido P2P ni programas para compartir archivos BitTorrent o plataformas de contenidos como iTunes o Rhapsody. Comprobamos archivos listos para descargar desde numerosos sitios de software gratuito y software para compartir y evaluamos software P2P y software BitTorrent. La misma clase de servicios que se utiliza para compartición de archivos gratuita funciona también para la distribución de malware. • Los formularios de registro se rellenan utilizando una dirección de correo electrónico de un solo uso para que pueda rastrearse el volumen y el “grado de spam” de cualquier correo electrónico posterior. El grado de spam se refiere a las características del contenido comercial del correo electrónico, así como al uso de tácticas para engañar a los programas que actúan como filtro del correo electrónico no deseado. Además, McAfee Global Threat Intelligence establece una correlación entre la información disponible de otros vectores de amenazas, incluidos el tráfico de correo electrónico, el tráfico intrusivo de red y análisis de malware, para llegar a una puntuación de reputación integral de un sitio web. Mapa de sitios web maliciosos 9 Se clasifica con rojo a los sitios web que contienen código malicioso (como los Troyanos, los virus y los spyware) o a exploits de navegadores que se han ganado una reputación peligrosa debido a su relación con determinados archivos, con el correo electrónico, con Internet y con las redes. Se clasifica con amarillo a los sitios web que merecen precaución antes de ser utilizados, generalmente debido al grado de spam, a la presencia de elementos emergentes agresivos o a enlaces que llevan a sitios peligrosos. Casi todos los TLD tienen una mezcla de sitios clasificados en rojo y en amarillo. Cuanto más creativos se vuelven los delincuentes, más sofisticadas deben ser las contramedidas A medida que los delincuentes se vuelven más artesanales, también nosotros nos volvemos más artesanales. McAfee cuenta con más de 400 investigadores que se dedican al análisis de las amenazas. El equipo mundial desarrolla nuevas herramientas para detectar cambios en la red, analiza datos de estos sensores e identifica el comportamiento y las “huellas digitales” que son signo de peligro. Cada nuevo hallazgo se introduce en la Global Threat Intelligence Network para proceder a un análisis más exhaustivo. Así, mientras que nuestra metodología sigue siendo la misma, constantemente introducimos cambios para asegurarnos de poder obtener una evaluación precisa del riesgo real que hoy en día enfrentan los usuarios de la red. Riesgo ponderado Las clasificaciones Ejemplo: Un TLD con 100 sitios de riesgo sobre 10 000, donde esos 100 sitios de riesgo son parte de 200 sitios de riesgo en total en todos los TLD [(50%*100/10 000)+(50%*100/200)=25.5%] se clasificaría como más riesgoso que un TLD que cuenta con 10 sitios de riesgo sobre 100 [(50%*(10/100)+(50%*(10/200)=7.5%]. TLD N.º 1 Todos los sitios No establecemos un tiempo para este estudio ni promediamos los resultados utilizando varias muestras. Además, no anunciamos la fecha. Al tomar muestras al azar en forma no programada, podemos asegurarnos de no haya trampas en el proceso. Método ponderado TLD N.º 2 TLD N.º 1 TLD N.º 2 10 100 10 100 100 10.000 100 10.000 No relevante No relevante 200 200 10,0% 1,0% 7,5% 25,5% de riesgo Clasificación de riesgo Hemos incluido sólo los dominios activos, aquellos que se encontraban activos en el momento de la medición: 27 304 797 dominios. La información activa es una instantánea neutral que captura el estado del sistema TLD durante el día en que obtenemos nuestra información. Existe una variación en el riesgo que es natural, de modo que una medición realizada una semana más tarde podría arrojar resultados diferentes. No programada y sin aviso Método no ponderado Total de sitios Todos los dominios frente a los dominios activos Cada año, los delincuentes desarrollan técnicas cada vez más complicadas e innovadoras para ocultar sus actividades. Este año, por ejemplo, las botnets han dado un gran salto en nuevas categorías de sitios maliciosos, una de nuestras clasificaciones de análisis que incluye virus, Troyanos y botnets. AL igual que en años anteriores, hemos restringido nuestro análisis a los TLD de los que hemos monitoreado al menos 2000 sitios web. Para este Sitios de riesgo informe, hemos incluido 106 TLD de los 271 que hemos monitoreado, representando dos dominios más con respecto al 2009. Al igual que en el informe del año pasado, el riesgo se pondera: 50% de la clasificación proviene de la proporción de los sitios de riesgo de un TLD con respecto a sus sitios totales, y un 50% proviene de la proporción se los sitios de riesgo de un TLD con respecto a todos los sitios de riesgo. Consideramos que esta metodología de clasificación refleja el nivel de riesgo al que se enfrenta un usuario típico cuando navega por toda la red. En otras palabras, consideramos que un usuario de la red debería ser más reticente a visitar un TLD sabiendo que contiene un 50% de todos los sitios de riesgo de la red, incluso si esos sitios de riesgo representan sólo el 1% de los dominios totales de ese TLD. Esta metodología implica que, en algunos casos, un TLD con muchos sitios de riesgo pero con una clasificación de riesgo total menor puede ser clasificado como más riesgoso que un TLD pequeño que presenta un proporción de sitios de riesgo relativamente más alta. Example: El 6,1% de los 15,5 millones de sitios .COM (Comercial) que analizamos fueron clasificados como riesgosos, un poco menos que nuestro promedio total de 6,2%. Sin embargo, cuando ponderamos el riesgo de .COM por la cantidad total de sitios de riesgo en todo el mundo, este índice aumentó al 31,3%, lo que lo convirtió en el TLD de más riesgo. Por el contrario, el 58% de los 24 988 sitios web .VN (Vietnam) que evaluamos eran de riesgo, pero cuando ponderamos ese riesgo de acuerdo con su parte de sitios riesgosos en todo el mundo, el índice descendió a un 29,4%, lo que lo colocó detrás de .COM en términos de riesgo. Mapa de sitios web maliciosos 10 Algunas advertencias acerca de las clasificaciones No ponderamos de acuerdo con el tráfico No ponderamos por tamaño del TLD Nuestras clasificaciones de riesgo no se ponderan de acuerdo con el tráfico que recibe un TLD. No hacemos distinciones entre un TLD muy popular que recibe una gran cantidad de tráfico dirigida a sus sitios web de riesgo y un TLD menos popular que recibe menos tráfico. Esta metodología se corrobora en la realidad de que los sitios web maliciosos en general escalan rápidamente a la lista del millón de sitios de Internet más visitados (de acuerdo con las mediciones de tráfico), y se mantienen allí durante algunas semanas mientras infectan a los usuarios. Un usuario que sólo evita los sitios web populares, o los primeros en las listas de resultados de búsqueda, sigue estando en peligro. McAfee no tiene acceso a cada uno de los “archivos de zona” de las entidades de registros, ni a la lista de todos los dominios públicos registrados. Por lo tanto, en determinados casos no podemos evaluar el porcentaje de sitios web públicos de un TLD del que tenemos clasificaciones. No obstante, al limitarnos a clasificar sólo aquellos TLD de los que tenemos una muestra importante, consideramos que nuestras evaluaciones de riesgo total y, por lo tanto, nuestras clasificaciones, resultan significativas desde el punto de vista estadístico. No ponderamos de acuerdo con el tipo de riesgo Nuestros análisis no distinguen entre amenazas menores, moderadas, e insignificantes. En otras palabras, un dominio que ha sido clasificado como amarillo debido a una descarga levemente peligrosa cuenta igual que uno que ha sido clasificado en rojo por alojar código exploit de descarga inadvertida. El registro de un sitio web que luego genera correo no deseado se pondera igual que un sitio que presenta una descarga infectada con un virus. Ejemplo: Tomamos los 297 946 dominios .PL (Polonia). De estos, encontramos que 17 398 eran de riesgo, o bien 5,8% del total. Suponiendo que la población total de los dominios .PL sea 2 970 000, el tamaño de nuestra muestra es de apenas un 10%. Con un nivel de confianza de 95%, nuestro intervalo de confianza es +/- 0.08%. En otras palabras, podemos tener un 95% de confianza en que el porcentaje real de sitios de riesgo es de entre 5,72% y 5,88%. Dominios en lugar de URL Este estudio incorpora sólo clasificaciones a nivel de dominio, no URLs individuales dentro de un dominio. Esto es importante porque McAfee ha encontrado muchos ejemplos de URLs individuales maliciosas dentro de dominios seguros, tales como .HR (Croacia) y .EDU (Educativo). No realizamos ajustes por bajas de sitios de riesgo Sabemos que los operadores de TLD a veces se encuentran bajo obligaciones contractuales que no les permiten dar de baja a ciertos tipos de dominios que McAfee puede considerar de riesgo. Además, el comportamiento de los sitios web que puede llevar a la baja en algunas entidades de registro podría no ser considerado inapropiado en otra entidad. McAfee no hace distinción entre estas reglas diferentes. Otros Por último, nuestras clasificaciones no tienen en cuenta dominios que no rastreamos. Mapa de sitios web maliciosos 11 Desglose de las clasificaciones Clasificaciones totales ALTO RIESGO BAJO RIESGO País o Nombre Región TLD Clasificación de riesgo en el mundo (2010) Índice de riesgo ponderado Índice de riesgo no ponderado (2010) Clasificación Índice de de riesgo riesgo mundial ponderado (2009) (2009) Cambios por año en el riesgo ponderado Total de dominios evaluados Total de dominios peligrosos Comercial Genérico COM 1 31.3% 6.1% 2 32.2% -2.8% ↓ 15,530,183 948,995 Información Genérico INFO 2 30.7% 46.6% 5 15.8% 94.5% ↑ 533,711 248,806 Vietnam APAC (Asia Pacífico) VN 3 29.4% 58.0% 39 0.9% 3.107,9% ↑ 24,988 14,492 Camerún EMEA (Europa, Oriente medio y África) CM 4 22.2% 44.2% 1 36.7% -39.5% ↓ 3,947 1,746 Armenia EMEA (Europa, Oriente medio y África) AM 5 12.1% 24.2% 23 2.0% 512.9% ↑ 3,145 760 Islas Cocos (Keeling) APAC (Asia Pacífico) CC 6 10.5% 20.2% 14 3.3% 215.4% ↑ 58,713 11,869 Asia Pacífico Genérico ASIA 7 10.3% 20.6% N/A N/A N/A 3,122 642 Red Genérico NET 8 10.1% 10.5% 7 5.8% 73.7% ↑ 1,556,813 163,466 Rusia EMEA (Europa, Oriente medio y África) RU 9 10.1% 16.8% 9 4.6% 116.7% ↑ 329,136 55,373 Samoa Occidental APAC (Asia Pacífico) WS 10 8.6% 16.9% 4 17.8% -51.8% ↓ 22,070 3,734 Tokelau APAC (Asia Pacífico) TK 11 8.4% 15.9% 19 2.3% 262.0% ↑ 91,876 14,630 Organización Genérico ORG 12 6.4% 7.4% 11 4.2% 50.3% ↑ 1,224,870 90,290 Negocios Genérico BIZ 13 6.3% 11.8% 13 3.6% 74.3% ↑ 121,622 14,350 Estados Unidos América US 14 6.0% 11.2% 17 3.1% 95.7% ↑ 119,861 13,365 República Popular de China APAC (Asia Pacífico) CN 15 4.8% 8.3% 3 23.4% -79.5% ↓ 261,298 21,711 Antigua Unión Soviética EMEA (Europa, Oriente medio y África) SU 16 4.6% 9.2% 8 5.2% -9.8% ↓ 8,478 784 Santo Tomé y Príncipe EMEA (Europa, Oriente medio y África) ST 17 3.7% 7.3% 12 3.8% -1.6% ↓ 11,997 880 Rumanía EMEA (Europa, Oriente medio y África) RO 18 3.7% 7.1% 20 2.2% 63.5% ↑ 56,312 3,982 Georgia EMEA (Europa, Oriente medio y África) GE 19 3.5% 7.0% N/A N/A N/A 2,311 162 Polonia EMEA (Europa, Oriente medio y África) PL 20 3.4% 5.8% 60 0.5% 574.2% ↑ 297,946 17,398 India APAC (Asia Pacífico) IN 21 3.4% 6.5% 22 2.0% 67.8% ↑ 49,368 3,218 Montserrat EMEA (Europa, Oriente medio y África) MS 22 3.2% 6.3% N/A N/A N/A 3,382 213 Pakistán APAC (Asia Pacífico) PK 23 2.8% 5.5% 18 2.8% 0.5% ↑ 4,947 273 Niue APAC (Asia Pacífico) NU 24 2.5% 5.0% 24 1.9% 32.3% ↑ 27,420 1,362 Filipinas APAC (Asia Pacífico) PH 25 2.2% 4.3% 6 13.1% -83.4% ↓ 9,625 418 Montenegro EMEA (Europa, Oriente medio y África) me 26 2.1% 4.3% N/A N/A N/A 5,465 233 Tonga APAC (Asia Pacífico) TO 27 2.1% 4.2% 33 1.1% 94.5% ↑ 13,150 550 Trinidad y Tobago América TT 28 1.9% 3.8% 51 0.6% 217.6% ↑ 4,287 165 Familias e individuos Genérico NAME 29 1.7% 3.3% 16 3.1% -45.9% ↓ 6,726 223 Tuvalu APAC (Asia Pacífico) TV 30 1.7% 3.2% 38 0.9% 80.1% ↑ 40,770 1,316 Kazajstán EMEA (Europa, Oriente medio y África) KZ 31 1.5% 3.1% 15 3.1% -50.2% ↓ 4,708 144 Islas Turcas y Caicos América TC 32 1.5% 3.0% 40 0.9% 74.8% ↑ 11,187 338 Dispositivos móviles Genérico MOBI 33 1.5% 3.0% 25 1.7% -14.4% ↓ 6,861 204 Marruecos EMEA (Europa, Oriente medio y África) MA 34 1.5% 3.0% N/A N/A N/A 2,024 60 Laos APAC (Asia Pacífico) LA 35 1.5% 2.9% 26 1.6% -8.7% ↓ 4,143 122 Colombia América CO 36 1.5% 2.9% 68 0.4% 249.0% ↑ 3,618 106 Belice América BZ 37 1.3% 2.5% 30 1.2% 2.2% ↑ 3,472 88 Mapa de sitios web maliciosos 12 Clasificaciones totales (cont.) ALTO RIESGO BAJO RIESGO País o Nombre Región TLD Clasificación Índice de Índice de de riesgo en riesgo riesgo no el mundo ponderado ponderado (2010) (2010) Clasificación de riesgo mundial (2009) Índice de Cambios Total de Total de riesgo por año dominios dominios ponderado en el riesgo evaluados peligrosos (2009) ponderado Corea del Sur APAC (Asia Pacífico) KR 38 1.1% 2.2% 28 1.5% -26.7% ↓ 70,261 1,530 Isla de Christmas APAC (Asia Pacífico) CX 39 1.1% 2.2% 74 0.4% 195.6% ↑ 6,084 136 Latvia EMEA (Europa, Oriente medio y África) LV 40 1.1% 2.1% 71 0.4% 163.1% ↑ 10,015 210 Canadá América CA 41 0.9% 1.6% 64 0.5% 90.5% ↑ 169,543 2,777 Eslovaquia EMEA (Europa, Oriente medio y África) SK 42 0.9% 1.7% 45 0.8% 11.4% ↑ 37,643 649 Serbia EMEA (Europa, Oriente medio y África) RS 43 0.9% 1.7% N/A N/A N/A 2,031 35 Unión Europea EMEA (Europa, Oriente medio y África) EU 44 0.8% 1.6% 59 0.5% 60.3% ↑ 80,278 1,288 Ucrania EMEA (Europa, Oriente medio y África) UA 45 0.8% 1.6% 36 1.0% -19.7% ↓ 38,619 615 Estados Federados de Micronesia APAC (Asia Pacífico) FM 46 0.7% 1.5% 66 0.4% 69.7% ↑ 4,075 60 Malasia APAC (Asia Pacífico) MY 47 0.7% 1.5% 80 0.3% 122.1% ↑ 15,200 221 Tailandia APAC (Asia Pacífico) TH 48 0.7% 1.5% 32 1.1% -34.8% ↓ 8,912 130 8,503 Reino Unido EMEA (Europa, Oriente medio y África) UK 49 0.7% 0.9% 55 0.6% 30.3% ↑ 898,229 Moldavia EMEA (Europa, Oriente medio y África) MD 50 0.7% 1.4% N/A N/A N/A 2,644 38 Belarús EMEA (Europa, Oriente medio y África) BY 51 0.7% 1.4% 29 1.3% -44.8% ↓ 4,372 62 Islas Georgia y Sándwich del Sur EMEA (Europa, Oriente medio y África) GS 52 0.6% 1.2% 48 0.6% -7.1% ↓ 4,578 55 Perú América PE 53 0.6% 1.2% 41 0.9% -32.9% ↓ 5,176 60 República Checa EMEA (Europa, Oriente medio y África) CZ 54 0.6% 1.0% 54 0.6% -4.7% ↓ 101,781 1,068 Irán EMEA (Europa, Oriente medio y África) IR 55 0.5% 1.1% 37 0.9% -42.5% ↓ 17,874 191 Lituania EMEA (Europa, Oriente medio y África) LT 56 0.5% 1.1% 44 0.8% -36.9% ↓ 11,517 121 Ecuador América EC 57 0.5% 1.0% 49 0.6% -18.8% ↓ 2,496 26 Emiratos Árabes Unidos EMEA (Europa, Oriente medio y África) AE 58 0.5% 1.0% 65 0.5% 7.9% ↑ 4,123 42 Uruguay América UY 59 0.5% 1.0% 75 0.4% 35.0% ↑ 3,277 33 Hong Kong APAC (Asia Pacífico) HK 60 0.5% 1.0% 34 1.1% -53.8% ↓ 17,960 176 República de China (Taiwán) APAC (Asia Pacífico) TW 61 0.5% 1.0% 52 0.6% -16.3% ↓ 56,000 534 Bélgica EMEA (Europa, Oriente medio y África) BE 62 0.5% 0.9% 81 0.3% 49.2% ↑ 123,606 1,124 Liechtenstein EMEA (Europa, Oriente medio y África) LI 63 0.5% 1.0% 90 0.2% 110.3% ↑ 3,000 29 Timor Oriental APAC (Asia Pacífico) TL 64 0.5% 1.0% 58 0.5% -11.6% ↓ 5,309 51 Hungría EMEA (Europa, Oriente medio y África) HU 65 0.4% 0.9% 53 0.6% -23.9% ↓ 71,650 614 Alemania EMEA (Europa, Oriente medio y África) DE 66 0.4% 0.5% 83 0.3% 43.8% ↑ 1,504,163 7,052 Arabia Saudita EMEA (Europa, Oriente medio y África) SA 67 0.4% 0.9% 42 0.9% -48.7% ↓ 2,630 23 Bosnia EMEA (Europa, Oriente medio y África) BA 68 0.4% 0.9% 46 0.8% -43.9% ↓ 2,671 23 Indonesia APAC (Asia Pacífico) ID 69 0.4% 0.8% 56 0.6% -23.7% ↓ 6,138 52 Brasil América BR 70 0.4% 0.7% 70 0.4% 5.0% ↑ 290,350 2,084 Finlandia EMEA (Europa, Oriente medio y África) FI 71 0.4% 0.8% 85 0.3% 41.5% ↑ 35,046 283 Argentina América AR 72 0.4% 0.8% 50 0.6% -36.7% ↓ 80,324 603 España EMEA (Europa, Oriente medio y África) ES 73 0.4% 0.7% 27 1.6% -75.6% ↓ 103,555 749 Nueva Zelanda APAC (Asia Pacífico) NZ 74 0.4% 0.7% 94 0.2% 86.8% ↑ 56,240 416 Francia EMEA (Europa, Oriente medio y África) FR 75 0.4% 0.7% 61 0.5% -24.8% ↓ 244,237 1,626 Austria EMEA (Europa, Oriente medio y África) AT 76 0.4% 0.7% 89 0.2% 58.4% ↑ 139,244 966 Israel EMEA (Europa, Oriente medio y África) IL 77 0.4% 0.7% 31 1.2% -70.4% ↓ 29,113 209 Mapa de sitios web maliciosos 13 Clasificaciones totales (cont.) ALTO RIESGO BAJO RIESGO País o Nombre Región TLD Clasificación de riesgo en el mundo (2010) Índice de riesgo ponderado Índice de riesgo no ponderado (2010) Clasificación de riesgo mundial (2009) Índice de riesgo ponderado (2009) Cambios por año en el riesgo ponderado Total de dominios evaluados Total de dominios peligrosos Nauru APAC (Asia Pacífico) NR 78 0.4% 0.7% 62 0.5% -29,9% ↓ 8,199 58 Turquía EMEA (Europa, Oriente TR medio y África) 79 0.4% 0.7% 47 0.7% -46,6% ↓ 36,466 252 Suecia EMEA (Europa, Oriente SE medio y África) 80 0.4% 0.7% 88 0.3% 35,8% ↑ 102,870 684 Singapur APAC (Asia Pacífico) SG 81 0.3% 0.7% 10 4.6% -92,6% ↓ 15,632 105 Noruega EMEA (Europa, Oriente NO medio y África) 82 0.3% 0.6% 77 0.4% -8,5% ↓ 50,089 317 Grecia EMEA 83 0.3% 0.6% 73 0.4% -22,7% ↓ 41,357 243 Gubernamental EMEA (Europa, Oriente GOV medio y África) 84 0.3% 0.6% 104 0.0% 1,188,3% ↑ 6,415 38 México Genérico MX 85 0.3% 0.6% 69 0.4% -26,7% ↓ 49,601 284 Luxemburgo América LU 86 0.3% 0.6% 98 0.1% 102,4% ↑ 6,750 38 Italia EMEA (Europa, Oriente IT medio y África) 87 0.3% 0.5% 78 0.3% -17,6% ↓ 314,171 1,495 Venezuela EMEA (Europa, Oriente VE medio y África) 88 0.3% 0.5% 21 2.1% -86,7% ↓ 5,842 32 Estonia América EE 89 0.3% 0.5% 76 0.4% -30,1% ↓ 11,302 58 Sudáfrica EMEA (Europa, Oriente ZA medio y África) 90 0.3% 0.5% 96 0.2% 50,6% ↑ 72,629 357 Portugal EMEA (Europa, Oriente PT medio y África) 91 0.2% 0.5% 86 0.3% -13,2% ↓ 38,869 189 Vanuatu EMEA (Europa, Oriente VU medio y África) 92 0.2% 0.5% 97 0.2% 49,1% ↑ 15,211 70 Países Bajos APAC (Asia Pacífico) NL 93 0.2% 0.3% 84 0.3% -24,4% ↓ 583,943 1,980 Bulgaria EMEA (Europa, Oriente BG medio y África) 94 0.2% 0.5% 43 0.8% -73,1% ↓ 17,974 81 Dinamarca EMEA (Europa, Oriente DK medio y África) 95 0.2% 0.4% 91 0.2% 0,7% ↑ 151,472 627 Islandia EMEA (Europa, Oriente IS medio y África) 96 0.2% 0.4% 87 0.3% -19,8% ↓ 6,102 26 Eslovenia EMEA (Europa, Oriente SI medio y África) 97 0.2% 0.4% 79 0.3% -36,6% ↓ 11,339 48 Australia EMEA (Europa, Oriente AU medio y África) 98 0.2% 0.3% 93 0.2% -4,3% ↓ 256,103 871 Suiza APAC (Asia Pacífico) 99 0.1% 0.3% 95 0.2% -13,3% ↓ 217,863 572 Irlanda EMEA (Europa, Oriente IE medio y África) 100 0.1% 0.2% 101 0.1% -5,7% ↓ 32,120 71 Croacia EMEA (Europa, Oriente HR medio y África) 101 0.1% 0.2% 100 0.1% -11,1% ↓ 22,511 50 Guemesey EMEA (Europa, Oriente GG medio y África) 102 0.1% 0.2% 57 0.6% -81,1% ↓ 12,092 25 Catalán EMEA (Europa, Oriente medio y África) CAT 103 0.1% 0.2% 99 0.1% -31,6% ↓ 3,936 7 Japón Patrocinado JP 104 0.1% 0.1% 103 0.1% 6,6% ↑ 464,408 547 Educativo APAC (Asia Pacífico) EDU 105 0.1% 0.1% 102 0.1% -48,6% ↓ 14,002 15 Sector de viajes y turismo Genérico TRAVEL 106 0.0% 0.0% 92 0.2% -88,6% ↓ 2,013 1 GR CH Nota: Las entradas marcadas como “N/A” eran TLD nuevos en el informe de este año, por lo que no presentan un cambio de año a año. Mapa de sitios web maliciosos 14 Región de América ALTO RIESGO País o Nombre BAJO RIESGO TLD Clasificación de riesgo en el mundo (2010) Índice de riesgo ponderado Índice de riesgo no ponderado (2010) Clasificación de riesgo mundial (2009) Índice de riesgo ponderado (2009) Cambios por año en el riesgo ponderado Total de dominios evaluados Total de dominios peligrosos Estados Unidos US 14 6.0% 11.2% 17 3.1% 95,7% ↑ 119,861 13,365 Trinidad y Tobago TT 28 1.9% 3.8% 51 0.6% 217,6% ↑ 4,287 165 Islas Turcas y Caicos TC 32 1.5% 3.0% 40 0.9% 74,8% ↑ 11,187 338 Colombia CO 36 1.5% 2.9% 68 0.4% 249,0% ↑ 3,618 106 Belice BZ 37 1.3% 2.5% 30 1.2% 2,2% ↑ 3,472 88 Canadá CA 41 0.9% 1.6% 64 0.5% 90,5% ↑ 169,543 2,777 Perú PE 53 0.6% 1.2% 41 0.9% -32,9% ↓ 5,176 60 Ecuador EC 57 0.5% 1.0% 49 0.6% -18,8% ↓ 2,496 26 Uruguay UY 59 0.5% 1.0% 75 0.4% 35,0% ↑ 3,277 33 Brasil BR 70 0.4% 0.7% 70 0.4% 5,0% ↑ 290,350 2,084 Argentina AR 72 0.4% 0.8% 50 0.6% -36,7% ↓ 80,324 603 México MX 85 0.3% 0.6% 69 0.4% -26,7% ↓ 49,601 284 Venezuela VE 88 0.3% 0.5% 21 2.1% -86,7% ↓ 5,842 32 • .CO (Colombia) presentó uno de los mayores crecimientos en el riesgo, pasando del número 68 al número 36 este año. Hemos hallado que los riesgos principales asociados con .CO se relacionan con actividades maliciosas: las URL funcionan como intermediarias de otros hosts maliciosos, tales como botnet de sistemas comprometidos y los centros de control que los manejan. • .VE (Venezuela) fue uno de los TLD que más ha mejorado este año, pasando del número 21 en 2009 a la posición 88 este año. Mapa de sitios web maliciosos 15 Región Pacífico Asiático (APAC) ALTO RIESGO País o Nombre BAJO RIESGO TLD Vietnam VN Islas Cocos (Keeling) Samoa Occidental Clasificación de riesgo en el mundo (2010) Índice de riesgo ponderado Índice de riesgo no ponderado (2010) Clasificación de riesgo mundial (2009) Índice de riesgo ponderado (2009) Cambios por año en el riesgo ponderado 0.9% 3.107,9% ↑ Total de dominios evaluados Total de dominios peligrosos 24,988 14,492 11,869 3 29.4% 58.0% 39 CC 6 10.5% 20.2% 14 3.3% 215,4% ↑ 58,713 WS 10 8.6% 16.9% 4 17.8% -51,8% ↓ 22,070 3,734 Tokelau TK 11 8.4% 15.9% 19 2.3% 262,0% ↑ 91,876 14,630 República Popular de China CN 15 4.8% 8.3% 3 23.4% -79,5% ↓ 261,298 21,711 India IN 21 3.4% 6.5% 22 2.0% 67,8% ↑ 49,368 3,218 Pakistán PK 23 2.8% 5.5% 18 2.8% 0,5% ↑ 4,947 273 Niue NU 24 2.5% 5.0% 24 1.9% 32,3% ↑ 27,420 1,362 Filipinas PH 25 2.2% 4.3% 6 13.1% -83,4% ↓ 9,625 418 Tonga TO 27 2.1% 4.2% 33 1.1% 94,5% ↑ 13,150 550 Tuvalu TV 30 1.7% 3.2% 38 0.9% 80,1% ↑ 40,770 1,316 Laos LA 35 1.5% 2.9% 26 1.6% -8,7% ↓ 4,143 122 Corea del Sur KR 38 1.1% 2.2% 28 1.5% -26,7% ↓ 70,261 1,530 Isla de Christmas CX 39 1.1% 2.2% 74 0.4% 195,6% ↑ 6,084 136 Estados Federados de Micronesia FM 46 0.7% 1.5% 66 0.4% 69,7% ↑ 4,075 60 Malasia MY 47 0.7% 1.5% 80 0.3% 122,1% ↑ 15,200 221 Tailandia TH 48 0.7% 1.5% 32 1.1% -34,8% ↓ 8,912 130 Hong Kong HK 60 0.5% 1.0% 34 1.1% -53,8% ↓ 17,960 176 República de China (Taiwán) TW 61 0.5% 1.0% 52 0.6% -16,3% ↓ 56,000 534 Timor Oriental TL 64 0.5% 1.0% 58 0.5% -11,6% ↓ 5,309 51 Indonesia ID 69 0.4% 0.8% 56 0.6% -23,7% ↓ 6,138 52 Nueva Zelanda NZ 74 0.4% 0.7% 94 0.2% 86,8% ↑ 56,240 416 Nauru NR 78 0.4% 0.7% 62 0.5% -29,9% ↓ 8,199 58 Singapur SG 81 0.3% 0.7% 10 4.6% -92,6% ↓ 15,632 105 Vanuatu VU 92 0.2% 0.5% 97 0.2% 49,1% ↑ 15,211 70 Australia AU 98 0.2% 0.3% 93 0.2% -4,3% ↓ 256,103 871 Japón JP 104 0.1% 0.1% 103 0.1% 6,6% ↑ 464,408 547 Nota: Las entradas marcadas como “N/A” eran TLD nuevos en el informe de este año, por lo que no presentan un cambio de año a año. • En conjunto, la región Asia Pacífico fue la dominante en la categoría de los que más mejoraron, ocupando el cuarto de cinco puestos, con Singapur (.SG) como líder número uno, seguido por la República Popular de China (.CN), Filipinas (.PH) y Samoa Oriental (.WS). Este logro es especialmente sorprendente si se tiene en cuenta que estos 4 LTD se encontraban en la lista de los diez TLD más peligrosos del año pasado. • No obstante, Vietnam (.VN) pasó del puesto de riesgo número 39 en 2009 al número 3. Al igual que Colombia (.CO), los riesgos principales asociados a .VN se relacionan con actividades maliciosas, sitios que son utilizados para llegar a otros hosts maliciosos, así como actividades de comandos y control. • Japón apareció nuevamente como uno de los TLD menos peligrosos del mundo, y una vez más resultó ser el menos riesgoso de la región APAC. Mapa de sitios web maliciosos 16 Región de Europa, Oriente Medio y África (EMEA) ALTO RIESGO País o Nombre BAJO RIESGO TLD Clasificación de riesgo en el mundo (2010) Índice de riesgo ponderado Índice de riesgo no ponderado (2010) Clasificación de riesgo mundial (2009) Índice de riesgo ponderado (2009) Cambios por año en el riesgo ponderado Total de dominios evaluados Total de dominios peligrosos Camerún CM 4 22.2% 44.2% 1 36.7% -39,5% ↓ 3,947 1,746 Armenia AM 5 12.1% 24.2% 23 2.0% 512,9% ↑ 3,145 760 Rusia RU 9 10.1% 16.8% 9 4.6% 116,7% ↑ 329,136 55,373 Antigua Unión Soviética SU 16 4.6% 9.2% 8 5.2% -9,8% ↓ 8,478 784 Santo Tomé y Príncipe ST 17 3.7% 7.3% 12 3.8% -1,6% ↓ 11,997 880 Rumanía RO 18 3.7% 7.1% 20 2.2% 63,5% ↑ 56,312 3,982 Georgia GE 19 3.5% 7.0% N/A N/A N/A 2,311 162 Polonia PL 20 3.4% 5.8% 60 0.5% 574,2% ↑ 297,946 17,398 Montserrat MS 22 3.2% 6.3% N/A N/A N/A 3,382 213 Montenegro ME 26 2.1% 4.3% N/A N/A N/A 5,465 233 Kazajstán KZ 31 1.5% 3.1% 15 3.1% -50,2% ↓ 4,708 144 Marruecos MA 34 1.5% 3.0% N/A N/A N/A 2,024 60 Latvia LV 40 1.1% 2.1% 71 0.4% 163,1% ↑ 10,015 210 Eslovaquia SK 42 0.9% 1.7% 45 0.8% 11,4% ↑ 37,643 649 Serbia RS 43 0.9% 1.7% N/A N/A N/A 2,031 35 Unión Europea EU 44 0.8% 1.6% 59 0.5% 60,3% ↑ 80,278 1,288 Ucrania UA 45 0.8% 1.6% 36 1.0% -19,7% ↓ 38,619 615 Reino Unido UK 49 0.7% 0.9% 55 0.6% 30,3% ↑ 898,229 8,503 Moldavia MD 50 0.7% 1.4% N/A N/A N/A 2,644 38 Belarús BY 51 0.7% 1.4% 29 1.3% -44,8% ↓ 4,372 62 Islas Georgia y Sándwich del Sur GS 52 0.6% 1.2% 48 0.6% -7,1% ↓ 4,578 55 República Checa CZ 54 0.6% 1.0% 54 0.6% -4,7% ↓ 101,781 1,068 Irán IR 55 0.5% 1.1% 37 0.9% -42,5% ↓ 17,874 191 Lituania LT 56 0.5% 1.1% 44 0.8% -36,9% ↓ 11,517 121 Emiratos Árabes Unidos AE 58 0.5% 1.0% 65 0.5% 7,9% ↑ 4,123 42 Bélgica BE 62 0.5% 0.9% 81 0.3% 49,2% ↑ 123,606 1,124 Liechtenstein LI 63 0.5% 1.0% 90 0.2% 110,3% ↑ 3,000 29 Hungría HU 65 0.4% 0.9% 53 0.6% -23,9% ↓ 71,650 614 Alemania DE 66 0.4% 0.5% 83 0.3% 43,8% ↑ 1,504,163 7,052 Arabia Saudita SA 67 0.4% 0.9% 42 0.9% -48,7% ↓ 2,630 23 Bosnia BA 68 0.4% 0.9% 46 0.8% -43,9% ↓ 2,671 23 Finlandia FI 71 0.4% 0.8% 85 0.3% 41,5% ↑ 35,046 283 España ES 73 0.4% 0.7% 27 1.6% -75,6% ↓ 103,555 749 Francia FR 75 0.4% 0.7% 61 0.5% -24,8% ↓ 244,237 1,626 Austria AT 76 0.4% 0.7% 89 0.2% 58,4% ↑ 139,244 966 Israel IL 77 0.4% 0.7% 31 1.2% -70,4% ↓ 29,113 209 Turquía TR 79 0.4% 0.7% 47 0.7% -46,6% ↓ 36,466 252 Suecia SE 80 0.4% 0.7% 88 0.3% 35,8% ↑ 102,870 684 Noruega NO 82 0.3% 0.6% 77 0.4% -8,5% ↓ 50,089 317 Grecia GR 83 0.3% 0.6% 73 0.4% -22,7% ↓ 41,357 243 Luxemburgo LU 86 0.3% 0.6% 98 0.1% 102,4% ↑ 6,750 38 Italia IT 87 0.3% 0.5% 78 0.3% -17,6% ↓ 314,171 1,495 Estonia EE 89 0.3% 0.5% 76 0.4% -30,1% ↓ 11,302 58 Sudáfrica ZA 90 0.3% 0.5% 96 0.2% 50,6% ↑ 72,629 357 Portugal PT 91 0.2% 0.5% 86 0.3% -13,2% ↓ 38,869 189 Mapa de sitios web maliciosos 17 Región de Europa, Oriente Medio y África (EMEA) (continuación) ALTO RIESGO País o Nombre BAJO RIESGO TLD Clasificación de riesgo en el mundo (2010) Índice de riesgo ponderado Índice de riesgo no ponderado (2010) Clasificación de riesgo mundial (2009) Índice de riesgo ponderado (2009) Cambios por año en el riesgo ponderado Total de dominios evaluados Total de dominios peligrosos 1,980 Países Bajos NL 93 0.2% 0.3% 84 0.3% -24,4% ↓ 583,943 Bulgaria BG 94 0.2% 0.5% 43 0.8% -73,1% ↓ 17,974 81 Dinamarca DK 95 0.2% 0.4% 91 0.2% 0,7% ↑ 151,472 627 Islandia IS 96 0.2% 0.4% 87 0.3% -19,8% ↓ 6,102 26 Eslovenia SI 97 0.2% 0.4% 79 0.3% -36,6% ↓ 11,339 48 Suiza CH 99 0.1% 0.3% 95 0.2% -13,3% ↓ 217,863 572 Irlanda IE 100 0.1% 0.2% 101 0.1% -5,7% ↓ 32,120 71 Croacia HR 101 0.1% 0.2% 100 0.1% -11,1% ↓ 22,511 50 Guemesey GG 102 0.1% 0.2% 57 0.6% -81,1% ↓ 12,092 25 Nota: Las entradas marcadas como “N/A” eran TLD nuevos en el informe de este año, por lo que no presentan un cambio de año a año.. • Dos TLD de la zona EMEA han aumentado el riesgo significativamente este año comparando con el 2009: .PL (Polonia) pasó del puesto 60 al puesto 20 este año, y .AM (Armenia) pasó del número 23 al número 5. • .PL tiene dominios asociados con todos los riesgos, incluyendo actividad maliciosa, descargas maliciosas y hospedaje de URL asociadas con ataques y campañas de correo no deseado. • Los riesgos asociados con .AM están más concentrados, principalmente en actividades maliciosas, incuidas las de comandos y control y otros servicios de este tipo. Mapa de sitios web maliciosos 18 LTD genéricos y patrocinados ALTO RIESGO Nombre Comercial BAJO RIESGO Region Genérico TLD COM Clasificación Índice de Índice de riesgo Clasificación de riesgo riesgo no ponderado de riesgo mundial ponderado (2010) mundial (2010) (2010) (2009) 1 31.3% 6.1% Índice de Cambios por Total de riesgo año en el riesgo dominios ponderado ponderado evaluados (2009) (2010) Total de dominios peligrosos (2010) 2 32.2% -2.8% ↓ 15,530,183 948,995 248,806 Información Genérico INFO 2 30.7% 46.6% 5 15.8% 94.5% ↑ 533,711 Asia Pacífico Genérico ASIA 7 10.3% 20.6% N/A N/A N/A 3,122 642 Red Genérico NET 8 10.1% 10.5% 7 5.8% 73.7% ↑ 1,556,813 163,466 Organización Genérico ORG 12 6.4% 7.4% 11 4.2% 50.3% ↑ 1,224,870 90,290 Negocios Genérico BIZ 13 6.3% 11.8% 13 3.6% 74.3% ↑ 121,622 14,350 Familias e individuos Genérico NAME 29 1.7% 3.3% 16 3.1% -45.9% ↓ 6,726 223 Dispositivos móviles Genérico MOBI 33 1.5% 3.0% 25 1.7% -14.4% ↓ 6,861 204 38 Gubernamental Genérico GOV 84 0.3% 0.6% 104 0.0% 1,188.3% ↑ 6,415 Catalán Patrocinado CAT 103 0.1% 0.2% 99 0.1% -31.6% ↓ 3,936 7 Educativo Genérico EDU 105 0.1% 0.1% 102 0.1% -48.6% ↓ 14,002 15 Sector de viajes y turismo Genérico TRAVEL 106 0.0% 0.0% 92 0.2% -88.6% ↓ 2,013 1 • Casi la mirad (47%) de los sitios de información (.INFO) se clasificaron en color rojo o amarillo, con mayoría de sitios en rojo (43%). Muchos de los riesgos identificados con los TLD .INFO se asociaban con hospedaje de contenido utilizado para campañas de correos no deseados. Este contenido podía ser tanto de productos como de software malicioso o antivirus falsos. Además, hubo muchos sitios dentro del TLD .INFO que estaban asociados con otros dominios y servidores maliciosos. Muchos de estos sitios aparecieron más tarde en campañas de antivirus falsos y en actividades de la botnet Zeus, • Más del 14% de las URL de Koobface (45 213) se encontraban dentro del TLD Comercial (.COM), sin que tuvieran presencia significativa en otros TLD. Mapa de sitios web maliciosos 19 Predominancia de riesgo rojo contra amarillo Se clasifica con rojo a los sitios web que contienen código malicioso (como los Troyanos, los virus y los spyware) o a exploits de navegadores que se han ganado una reputación peligrosa debido su relación con determinados archivos, con el correo electrónico, con Internet y con las redes. Se clasifica con amarillo a los sitios que merecen precaución antes de ser utilizados, generalmente debido al grado de spam, a la presencia de elementos emergentes agresivos o a enlaces que llevan a sitios web peligrosos. La mayoría de los TLD tiene una mezcla de sitios clasificados con rojo y con amarillo. Algunos, sin embargo, tienen una predominancia de amarillo o de rojo. Por ejemplo, dentro de los 642 dominios de riesgo de la región Asia Pacífico (.ASIA), 619 eran amarillos. Como contrapartida, el 100% de los dominios que eran de riesgo en Gubernamental (.GOV), Islandia (.IS), Educativo (.EDU) y el Sector de viajes y turismo (.TRAVEL) eran rojos. De todas maneras, no hay necesidad de preocuparse demasiado por estos cuatro TLD. Ninguno de ellos tiene más de 40 sitios de riesgo en total y, en general, son seguros. No obstante, Vietnam (.VN) tuvo 14 492 sitios rojos, que representan el 99,89% de sus sitios de riesgo, y lo que ayudó a justificar que se encuentre en el tercer puesto entre los TLD más peligrosos. Predominancia de amarillo País o Nombre TLD Total de sitios de riesgo Porcentaje amarillo Porcentaje rojo Pacífico Asiático ASIA 642 96.4% 3.6% Armenia AM 760 94.2% 5.8% Finlandia FI 283 89.1% 11.0% Tokelau TK 14,630 86.3% 13.7% Islas Cocos (Keeling) CC 11,869 85.5% 14.5% Canadá CA 2,777 82.0% 18.0% Reino Unido UK 8,503 77.8% 22.2% Tuvalu TV 1,316 77.7% 22.3% Dispositivos móviles MOBI 204 76.0% 24.0% Malasia MY 221 74.7% 25.3% Niue NU 1,362 73.3% 26.7% Suecia SE 684 65.2% 34.8% Estados Federados de Micronesia FM 60 65.0% 35.0% Nueva Zelanda NZ 416 61.8% 38.2% Colombia CO 106 56.6% 43.4% Samoa Occidental WS 3,734 55.8% 44.2% China CN 21,711 55.5% 44.5% Rusia RU 55,373 55.4% 44.6% Perú PE 60 51.7% 48.3% Australia AU 871 51.7% 48.3% Biased toward red País o Nombre TLD Total de sitios de riesgo Porcentaje amarillo Porcentaje rojo Gubernamental GOV 38 0.0% 100.0% Islandia IS 26 0.0% 100.0% Educativo EDU 15 0.0% 100.0% Sector de viajes y turismo TRAVEL 1 0.0% 100.0% Vietnam VN 14,492 0.1% 99.9% Islas Turcas y Caicos TC 338 3.3% 96.8% Polonia PL 17,398 3.5% 96.5% Trinidad y Tobago TT 165 4.2% 95.8% Timor Oriental TL 51 5.9% 94.1% Croacia HR 50 8.0% 92.0% Serbia RS 35 8.6% 91.4% Información INFO 248,806 8.6% 91.4% Nauru NR 58 8.6% 91.4% Arabia Saudita SA 23 8.7% 91.3% Hungría HU 614 9.1% 90.9% Emiratos Árabes Unidos AE 42 9.5% 90.5% Negocios BIZ 14,350 9.8% 90.2% Santo Tomé y Príncipe ST 880 10.3% 89.7% Tailandia TH 130 10.8% 89.2% Georgia GE 162 11.1% 88.9% Turquía TR 252 11.5% 88.5% Isla de Christmas CX 136 11.8% 88.2% Guemesey GG 25 12.0% 88.0% Uruguay UY 33 12.1% 87.9% Laos LA 122 12.3% 87.7% Montserrat MS 213 13.6% 86.4% Mapa de sitios web maliciosos 20 El cambiante espectro de amenazas Los volúmenes de malware continúan aumentando en 2010: los primeros seis meses de este año han sido los más activos de todos los tiempos en términos de producción total de malware .4 Los tipos de software malicioso están evolucionando, con más software auto-ejecutable (generalmente desde Un nuevo tipo de zombi: el software malicioso que nunca muere dispositivos USB), con más antivirus falsos (software de alertas falsas), con más malware de redes sociales y con correos no deseados mucho más personalizados y creíbles. Las amenazas avanzadas recurrentes (APT por sus siglas en inglés) Una de las noticias más resonantes a pueden combinar varias técnicas para tejer sus redes o para ejecutar sus principios de junio fue acerca de un ataques, de modo que un sitio web es sólo una parte del rompecabezas. ataque de inyección SQL masivo. Un ataque que “salpicó” a decenas de miles de sitios web y que introducía un iFrame (marco flotante) que redireccionaba a los usuarios a una página maliciosa, que luego descargaba y ejecutaba un archivo. Estos ataques suceden regularmente: por lo menos una vez cada tres meses. Una vez que el dominio malicioso se da de baja, las noticias y la preocupación acerca de ese ataque en particular desaparecen en la nada. Pero de lo que no nos enteramos es de la cantidad de sitios que no logran limpiarse después de un ataque como este. Un mes después del ataque de junio, conocido como www.robint.us, hemos contado 51 900 sitios que aún estaban infectados con esta inyección SQL. Esta falta de limpieza no es única. El ataque 1677.in aún redirecciona a usuarios hacia 26 800 páginas web; yahoosite.ru aún afecta a 1380 sitios; el exploit killpp. cn de 2008 todavía se encuentra presente en 680 páginas; y k.18xn.com al día de hoy continúa plagando 583 sitios web. Es probable que estos problemas empeoren a medida que la naturaleza dinámica y fluida de la red haga cada vez más sencilla la inyección y la ocultación de ataques. —McAfee Threats Report: Second Quarter 2010 [Informe de amenazas de McAfee: Segundo trimestre de 2010] Los sitios de redes sociales hacen que el trabajo delictivo se vuelva fácil, ya que los enlaces maliciosos o encubiertos pueden incluirse en publicaciones y mensajes de amigos que gozan de la “confianza transitiva”. Confío en ti, por lo que puedo confiar en tu “amigo”, ¿no es así? Desde 2008, el gusano Koobface ha estado aprovechándose de estas redes de confianza para encontrar nuevas víctimas para sus códigos maliciosos y nuevos bots zombis para sus botnets.5 Durante 2010, ha habido una gran actividad por parte del gusano Koobface. Hemos categorizado 315 415 URL como maliciosas en relación con Koobface. Más del 14% de estas URL (45 213) se encontraban dentro de nuestro TLD más peligroso, .COM, sin que tuvieran presencia significativa en otros TLD. Un microcosmos de este torbellino de malware ha sido el segundo TLD que entraña más riesgo de este año: .INFO. Hacer clic en un enlace a este dominio presentaba un 47% de posibilidades de llegar a una página de riesgo. Cuando investigamos las clases de amenaza para .INFO, la gran mayoría se señalaban como de riesgo por el modo en que se registraban y por la reputación de su dominio, información obtenida de nuestra base de datos de actividades sospechosas observadas a lo largo del tiempo. El otro factor de riesgo de .INFO eran los sitios web maliciosos. Algunos de estos sitios distribuyen malware, exploits o una variedad de ambos. Algunos funcionan como servidores de comandos y control, como servidores comprometidos o como dominios en un servidor controlado por un bot. Muchos sitios contenían descargas de antivirus falsos (también conocidos como software para amedrentar o software de alertas falsas) y malware de la botnet Zeus, y reflejaron sus actividades dominantes en el espectro de amenazas en conjunto. Las botnets Zeus utilizan técnicas particularmente sofisticadas para eludir los sistemas de autenticación utilizados para transacciones bancarias online, incluyendo contraseñas de un solo uso, por lo que implican una seria amenaza para consumidores y empresas. Por último, los sitios de phishing representan un porcentaje importante de los sitios rojos de .INFO. Cuanto más trabajamos, más trabajo tenemos A medida que las entidades de registro refuerzan las restricciones para utilizar sus dominios, los delincuentes buscan formas alternativas para aprovecharse de la red. Kits de herramientas de malware listo para ejecutarse se cuelan a través de las débiles barreras de seguridad en tecnologías 2.0, como AJAX, XML, Flash, iFrames y JavaScript, y en navegadores, ordenadores y sitios web mal configurados o poco mantenidos. Combinaciones infinitas de herramientas y vulnerabilidades de software hacen que sea sencillo colocar contenido de riesgo en dominios que pueden considerarse legítimos. Este contenido invisible para el usuario no necesita que el usuario “haga clic para descargar” para aprovecharse de las vulnerabilidades del navegador. Por ejemplo, un hacker puede utilizar un ataque especial llamado inyección SQL para implantar un tipo específico de código invisible llamado iFrame (cuadro flotante). El iFrame, que puede ser pequeño como un píxel y que puede esconderse detrás de otras imágenes o de ventanas emergentes, incluye una URL que, de forma silenciosa, direcciona a los usuarios a un sitio en el que recibirán la carga maliciosa. En un intento de desbaratar la detección de URLs falsas por parte del navegador, el iFrame incorporado puede utilizar servicios de abreviación de URL, como bit.ly o Tinyurl, para ocultar la URL. Los servicios de abreviación de URL están intentando hacer mejor su trabajo reconociendo este abuso, pero sus esfuerzos hasta el momento han resultado fáciles de eludir. Por ejemplo, los delincuentes pueden detectar el lugar de origen de los visitantes y seleccionar sólo el tráfico que desean conectar al sitio. 4 cAfee Threats Report: Second Quarter 2010 [Informe de amenazas de McAfee: Segundo trimestre de 2010], disponible M para descargar en varios idiomas en http://www.mcafee.com/us/threat_center/white_paper.html 5 Craig Schmugar, “Koobface remains active on Facebook” [Koobface se mantiene activo en Facebook], McAfe Labs blog. www.avertlabs.com/research/blog/index.php/2008/12/03/ koobface-remains-active-on-facebook/ Mapa de sitios web maliciosos 21 Al utilizar redireccionamiento entre sitios web, el atacante separa el contenido de la línea de ataque inicial. Así, el contenido puede ser reutilizado en ataques en serie, y también puede ser cambiado levemente para eludir las herramientas que detectan la frecuencia de aparición. ¿Se ha vuelto demasiado conocido este contenido en Koobface o en Zeus? Prueba con este otro. Objetivos cambiantes y actualizados Es posible introducir material malicioso en sitios que no cuentan con una protección adecuada, así como en cualquier contenido generado por un usuario, ya sea un archivo JPEG, un blog o un fórum. Si bien algunos sitios poco mantenidos generalmente alojan malware conocido durante meses o años (ver margen de la página 21), algunas de las amenazas más inteligentes aparecen y desaparecen en el curso de algunas horas. Un centro de comandos y control de botnet puede estar “despierto” sólo durante algunos minutos por día. Para poder protegerse contra estas actividades fugaces (pero lucrativas), se deben actualizar con frecuencia las evaluaciones a nivel de URL y a nivel de ruta. Esta es la razón por la que resulta beneficioso para los usuarios la inspección de contenido (escaneos en busca de los últimos malware) realizada en tiempo real. Después de colocar malware en un sitio web, los términos de búsqueda infectados se mantienen como las formas más populares –e inadvertidas en que los delincuentes desvían tráfico hacia sus sitios web. Los delincuentes están atentos a las catástrofes, a las travesuras de las celebridades, a los eventos deportivos y a otros temas de interés. Crean anuncios y fabrican sitios web con términos populares, hacen que los motores de búsqueda los indexen, y luego utilizan botnets y motores de clic para hacer escalar su contenido hasta la primera página de los resultados de búsqueda. Cuando los usuarios hacen clic en estos artículos en los resultados de búsqueda, viajan a sitios en los que recogen descargas maliciosas. Un sitio malicioso puede ser uno nuevo, creado para tal fin con contenido de actualidad, o un sitio web inocente que ha sido pirateado. Cada una de estas metodologías recompensa con información personal, información de ingreso a cuentas, información de cuenta de amigos, contraseñas y zombis de botnets. Dispositivos móviles El puesto de riesgo número 33, Dispositivos móviles (.MOBI), era uno de los TLD más seguros de la red este año, pero estamos monitoreándolo de cerca, junto con el uso de Internet móvil en su conjunto. Por ejemplo, se están incorporando más ataques a los dispositivos móviles. La botnet Zeus puede pedir a los usuarios que proporcionen su número de móvil y un número de autorización y luego utilizar esa información en una transacción financiera. Si un mensaje de correo no deseado o un formulario web obtiene un número de móvil, ese número puede ser utilizado en otros ataques sucesivos, enviando más correo no deseado, señuelos de phishing, o enlaces a sitios que alojan malware. Los millones de teléfonos inteligentes (smartphone) con función para navegar en Internet que están en circulación no hacen más que ampliar las oportunidades para los delincuentes habilidosos. “En 2009, el 6% de las URLs maliciosas que McAfee identificó y de las que protegió a los usuarios se encontraban a nivel de ruta. En 2010, este porcentaje ya ha aumentado a 16%”. —McAfee Threats Report: Second Quarter 2010 [Informe de amenazas de McAfee: Segundo trimestre de 2010] Mapa de sitios web maliciosos 22 Comentarios de las entidades de registro y de los operadores de dominios de nivel superior Además de nuestras ideas, hemos querido incluir las opiniones de la comunidad TLD que se encuentra en la línea de combate en la gestión del riesgo. Hemos solicitado comentarios por parte de los TLD que hemos mencionado en este informe, para que proporcionaran experiencias, matices y contexto para nuestro análisis. .INFO (Información) “Como administrador del registro .INFO, Afilias se compromete a frenar la actividad abusiva en el dominio .INFO. Es por esta razón que hemos establecido en 2008 nuestra Política Anti-abuso líder en el mercado y hemos estado trabajando de forma proactiva con nuestras entidades de registro (quienes venden directamente a los usuarios finales) para combatir activamente el phishing y otras clases de abusos. Desafortunadamente, el crecimiento de .INFO en términos de popularidad ha atraído la atención de quienes envían spam, por lo que hemos comenzado a poner en práctica nuevas tácticas. Aún hay mucho por hacer. El desafío se ha vuelto difícil porque, como operador de registro TLD, Afilias no tiene permiso para decidir quién vende nombres de dominio .INFO, ni a quién. .INFO es hogar de millones de sitios web útiles y legítimos, por lo que bloquear el correo electrónico basándose simplemente en la dirección TLD es inadmisible y puede dañar injustamente a más víctimas inocentes. Tal vez una mejor solución sea implementar métodos de filtro de los correos más sofisticados que puedan aliviar estos indeseables efectos secundarios”. —Roland LaPlante, Vicepresidente senior y Gerente de marketing de Afilias .JP (Japón) “Creo que nuestros esfuerzos continuos por mejorar la seguridad de los nombres de dominio .JP han llevado a aumentar la confianza de los propietarios y los usuarios en el dominio JP. Para registrar un nombre de dominio JP, debes cumplir con los requisitos de elegibilidad. En especial, el nombre de registro del dominio JP de tipo Organizativo (ej. EXAMPLE.CO.JP) tiene diferentes requisitos de acuerdo con el tipo de dominio (ej. sólo empresas incorporadas en Japón pueden registrar EXAMPLE.CO.JP). Si resultara que un nombre de dominio registrado JP no cumple con todos los requisitos, el registro se invalida siguiendo los procedimientos correspondientes. En este caso, en el pasado, tanto JPRS como el registro revisaban el estado y tomaban acciones para invalidar el nombre, cuando correspondiera, a través de los entes de registro JP. En junio de 2008, JPRS reforzó la regla de registro de nombre de dominio JP cambiándola por CO.JP e hizo posible que el registro borre los registros falsos en el caso de que la cancelación por parte de las entidades de registro no funcione. Además, en noviembre de 2009, extendimos el alcance de la regla a todos los tipos Organizativos y Geográficos de los nombres de dominio JP. Al mejorar estas reglas y mediante una cooperación continua con las entidades de registro JP, JPRS se encarga de forma rigurosa y expeditiva del problema de los registros falsos. Mapa de sitios web maliciosos 23 También tomamos medidas para combatir el problema de los nombres de dominio que se registran y se utilizan para actividades fraudulentas, como phishing. A través de la cooperación con JPCERT/CC y otras organizaciones relacionadas, JPRS examina el grado de malevolencia de los nombres de dominio que presentan supuestos abusos. Si se confirma que el nombre presenta abusos, JPRS solicita a la entidad de registro JP que invalide el nombre. Además, JPRS ha implementado de forma continua, desde 2006, la eliminación de registros de servidor DNS en los casos en que el nombre del host contiene un nombre de dominio JP que no existe. Con respecto a las Domain Name System Security Extensions (DNSSEC), planeamos comenzar a firmar de forma digital la zona JP en octubre de 2010 e introducir DNSSEC a los servicios de nombre de dominio JP en enero de 2011. Además, con el objetivo de promover la introducción de las DNSSEC en toda la comunidad, se habilitó un fórum llamado “DNSSEC Japón” en noviembre de 2009. Uno de los miembros de equipo de JPRS hace las veces de vicepresidente del fórum. Estos esfuerzos continuos han dado buenos resultados: por ejemplo, el número de quejas sobre phishing que recibe JPRS ha sido bajo, aproximadamente una queja por mes.” —Yumi Ohashi Gerente de relaciones internacionales y gubernamentales de JPRS .SG (Singapur) “El Centro de información de la red Singapur (SGNIC por sus siglas en inglés) fomenta la adopción y el uso de nombres de dominio .SG por parte de empresas y privados. Además de identificarse mejor con los usuarios y los clientes de Singapur, podrán también extender su presencia en el mercado mundial. SGNIC para asegurar la responsabilidad. Esto se debe a que alguien que solicita un nombre de dominio .SG debe presentar documentación apropiada cuando busca registrar un nombre de dominio bajo las diferentes categorías de nombres .sg, las que reflejan su estado. Por ejemplo, alguien que se registra con el nombre ‘.com.sg’ podría tener que presentar pruebas de que es una entidad comercial registrada en la Autoridad normativa y de contabilidad de Singapur (ACRA) o en cualquier ente profesional, mientras que alguien que registra el nombre ‘.EDU.SG’ debe registrarse en el Ministerio de Educación (MOE) o ser reconocido por otras agencias de relevancia. Para registros por parte de corporaciones extranjeras, las solicitudes deben contar con el apoyo de una dirección de contacto de Singapur. Cuando SGNIC recibe una devolución negativa acerca del uso de un nombre de dominio .SG, esta investigará inmediatamente, trabajará junto con las entidades de registro y, cuando correspondiera, consultará a las agencias relevantes para asegurar el cumplimiento de sus reglas de registro. Cualquier nombre involucrado en casos de tergiversación o fraude, o que se utilice para alojar material que infrinja las leyes o las reglas de las autoridades reguladoras deberá ser rectificado por el propietario. Si esto no ocurriera, podrá ser suspendido o eliminado por SGNIC. Debido a que el contenido de Internet puede alojarse en cualquier parte, incluso después de que un nombre se haya registrado en Singapur, SGNIC trabaja de forma activa con la comunidad de Internet internacional, incluidos grupos especializados en seguridad y estabilidad de Internet, para monitorear y prevenir potenciales abusos de los nombres de dominio .SG. SGNIC considera que estas medidas han ayudado a asegurar que los nombres de dominio .SG sigan siendo seguros y utilizados para propósitos que vayan de acuerdo con la ley.” —Sr. Lim Choon Sai Gerente general Singapore Network Information Centre Pte Ltd. Quienes visitan un sitio web .SG pueden estar seguros de que cumple con los requisitos de registro Mapa de sitios web maliciosos 24 .WS (Samoa Occidental) “A lo largo del último año, nos hemos concentrado en reducir la cantidad de dominios de riesgo en nuestro TLD .WS utilizando módulos de verificación y seguridad en nuestra infraestructura de registro. El monitoreo proactivo de registros de dominio nos permite evitar que se publique contenido malicioso. También nos hemos asociado con empresas consolidadas de seguridad online para implementar un sistema optimizado de realimentación que nos notificará rápidamente acerca de dominios potencialmente maliciosos que podrían ser detectados más tarde por los visitantes del sitio web. A medida que nos damos cuenta del modo en que se crean y ejecutan las amenazas en Internet, podemos identificar y neutralizar potenciales problemas antes de que puedan causar daños. Utilizando esta información y estrechando nuestros lazos con nuestros usuarios acreditados .WS, hemos podido desarrollar un sistema de notificación para avisar a los usuarios acerca de registros de nombres de dominio potencialmente maliciosos. Del mismo modo, se encuentra también activo un servicio para notificar a las entidades que proporcionan servicios de hosting para dominios .WS. Para combatir el correo electrónico no deseado, el monitoreo avanzado de las actividades del correo electrónico desde nuestros servidores permite reconocer rápidamente a quienes envían spam y así bloquear sus estrategias. Como registro oficial del dominio de nivel superior .WS, hemos siempre valorado nuestra reputación en la comunidad online, desde que lanzamos la zona hace más de una década. Global Domains International fue una de las primeras empresas en formar parte del Conficker Working Group a nivel de registro. Trabajamos a su lado, ayudándolos en sus esfuerzos por identificar el gusano y mitigar el daño, y seguimos haciéndolo para asegurar que nuestro TLD .WS no sea utilizado para hacer proliferar la amenaza Conficker. Las modificaciones realizadas en nuestro sistema de registro se transforman constantemente para hacer frente a las cambiantes tácticas de abuso. Como resultado de habernos familiarizado con los métodos populares empleados por quienes intentan involucrarse en actividades maliciosas en Internet, podemos asegurar la integridad y la seguridad dentro de la zona .WS”. —Alan Ezeir Presidente Global Domains International Mapa de sitios web maliciosos 25 Conclusión El nivel de riesgo está aumentando, mientras que los tipos de riesgo en la red cambian cada vez más rápidamente. A medida que más delincuentes encuentran modos de ocultar sus actividades, los usuarios de la red deben encontrar nuevas maneras para mantenerse a salvo de estas amenazas, al tiempo que preservan la diversión y el valor de navegar en Internet. Es probable que los consumidores no puedan recordar todos los lugares de riesgo incluidos en este informe. Incluso si pudieran, hemos demostrado que el TLD que entraña más riesgo este año puede ser el que más mejore el año que viene. Los consumidores pueden evitar los lugares peligrosos de la red utilizando software de seguridad actualizados con función de búsqueda segura, como McAfee Total Protection™. Este es uno de los casos en que es una buena idea dejar que la tecnología ayude. Los operadores de TLD de riesgo deberían encontrar esperanza en este informe. Es realmente posible convertir una reputación de riesgo o mantener una buena reputación. Las empresas que se dedican a la seguridad, como McAfee, asumen el compromiso de ayudarte. Con la red de inteligencia de amenaza mundial más extensa del mundo, podemos ofrecer información actualizada sobre lo que está sucediendo e ideas inteligentes acerca de lo que puedes hacer para reducir tu exposición. Las empresas hoy en día saben que la red es esencial para sus operaciones, y que muchos empleados sienten que tienen derecho a acceder a Internet mientras trabajan. Esta expectativa crecerá a medida que el límite entre la vida laboral y la vida personal se desdibuje con una fuerza de trabajo más móvil y remota, con el mayor uso de dispositivos personales, y un cambio incesante hacia la conectividad constante. La manera más simple de ayudar a los usuarios a que naveguen a través de los riesgos de la red es agregar una funcionalidad de reputación de la red a sus otras defensas. Señales visuales que se actualizan en tiempo real pueden ayudar a enseñarles acerca de los riesgos mientras los protegen de forma activa. El año próximo, tal vez veamos que las botnets de zombis han sido suplantandas por una nueva táctica que se articula en cientos de millones de dispositivos móviles con función para gestionar datos en todo el mundo. Esperamos informar acerca de su progreso –y de las contramedidas de las entidades de registro de TLD y la comunidad de seguridad el próximo año. Mapa de sitios web maliciosos 26 Acerca de McAfee, Inc. McAfee, Inc., con sede en Santa Clara, California, es la empresa dedicada a la tecnología de seguridad más importante del mundo. McAfee proporciona servicios y soluciones proactivas y comprobadas que ayudan a hacer más seguros los sistemas, las redes y los dispositivos móviles en todo el mundo, y permiten a los usuarios conectarse, navegar y comprar en Internet con mayor seguridad. Respaldada por el incomparable McAfee Global Threath Intelligence, McAfee crea productos innovadores que ayudan a los usuarios, las empresas, el sector público y los proveedores de servicios, permitiéndoles cumplir con las normativas, proteger datos, prevenir interrupciones, identificar vulnerabilidades, así como controlar y mejorar continuamente la seguridad. McAfee asegura tu mundo digital. http://www.mcafee.com McAfee, Inc. 2821 Mission College Blvd Santa Clara, CA 95054 1.866.622.3911 www.mcafee.com La información incluida en este documento se proporciona sólo con fines educativos y para la conveniencia de los clientes de McAfee. La información aquí contenida está sujeta a cambios sin previo aviso y se proporciona “TAL COMO ESTÁ”, sin garantía ni aval en cuanto a la precisión o la aplicabilidad de la información relacionada con cualquier situación o circunstancia específica. McAfee, el logotipo de McAfee, McAfee Global Threat Intelligence, McAfee Labs , y McAfee Total Protection son marcas registradas o marcas comerciales de McAfee, Inc. o sus subsidiarias en los Estados Unidos y en otros países. Otras marcas pueden reclamarse como propiedad de otros. Los planes, especificaciones y descripciones de los productos aquí mencionados se ofrecen sólo con fines informativos, están sujetos a cambio sin previo aviso y se proporcionan sin garantía de ningún tipo, ya sea expresa o implícita. Copyright © 2010 McAfee, Inc. 10902rpt_mapping-mal-web_0910 Mapa de sitios web maliciosos 27
Documentos relacionados
Mapping the Mal Web
más en el caso de phishers y estafadores que necesitan grandes volúmenes de sitios para compensar el alto nivel de bajas realizadas por los administradores de TLD.
Más detalles