el estado actual del cibercrimen en 2013

el estado actual del cibercrimen en 2013

EL ESTADO ACTUAL DEL CIBERCRIMEN
EN 2013
Una vista desde el interior del panorama cambiante
de amenazas
El cibercrimen sigue bifurcándose en diferentes caminos año tras año. En 2013, los cibercriminales
están cambiando la manera de organizarse, y se están orientando a nuevos usuarios y nuevas
plataformas; se siguen explotando las actividades basadas en transacciones en línea; y los ataques
relacionados con el hacktivismo siguen aumentando como una manera de realizar espionaje
corporativo, presionar las agendas políticas o dañar la reputación.
El centro de control antifraude de RSA ha creado una lista de las principales tendencias de cibercrimen
en las que prevé una evolución. Este centro está a la vanguardia de la detección de amenazas y la
inteligencia contra el cibercrimen, y protege a organizaciones mundiales; ya detuvo más de 800,000
ataques de cibercrimen y evitó pérdidas por fraude de US$7,500 millones.
En este informe técnico, RSA analizará el estado actual del cibercrimen en función de su experiencia
y sus conocimientos en el rastreo de actividad cibercriminal, y ofrecerá una serie de predicciones
sobre lo que se puede esperar de los cibercriminales en el año próximo.
Tendencia n.º 1: A medida que el mundo se vuelva móvil,
el cibercrimen seguirá sus pasos
Los niveles de cómputo móvil alcanzaron nuevos picos en 2012. Los envíos de teléfonos inteligentes
de todo el mundo alcanzaron los 671 millones en todo el año, lo que implica un aumento de casi el
42 % respecto de 20111. La cantidad de aplicaciones disponibles solamente para iOS de Apple
alcanzó la cifra de 775,000. Del total de 40,000 millones de aplicaciones que se descargaron de la
tienda de aplicaciones de iOS en los cuatro años desde su apertura, más de la mitad se descargaron
en 20122. Y esa cifra ni siquiera incluye las aplicaciones para Android y Windows.
Desde las transacciones bancarias hasta las compras minoristas y los nuevos comportamientos,
como el showrooming de dispositivos móviles, la adopción del usuario del canal móvil ha cambiado
la cara del consumidor actual. Dentro del lugar de trabajo, las tendencias móviles impulsadas por el
usuario, como “traiga su propio dispositivo” (BYOD), también siguen transformando el panorama del
negocio. A medida que nuestra vida laboral y personal se traslada cada vez más al dispositivo móvil,
los cibercriminales siguen desarrollando y perfeccionando sus esquemas para explotar las
transacciones móviles y las aplicaciones móviles.
Objetivo: las transacciones móviles
La cantidad de usuarios de servicios bancarios móviles sigue creciendo en todo el mundo. A su vez,
las organizaciones están agregando nuevas funcionalidades al canal móvil y observando un aumento
en el volumen de transacciones móviles. Según Gartner, se espera que el valor y el volumen de las
transacciones móviles mundiales alcancen un crecimiento anual promedio del 42 % entre 2011 y
20163. A medida que los usuarios continúen trasladando una mayor parte de sus vidas diarias a
dispositivos móviles, se espera que los cibercriminales hagan lo mismo y dirijan más ataques a este
canal en crecimiento.
Fuente: Juniper Research, Smartphone Shipments Exceed 200 Million in Q4 2012, enero de 2013
Gigaom.com, Apple App Store Biggest December Ever: 2B iOS Apps Downloaded, enero de 2013
3
Gartner, “Forecast: Mobile Payment, Worldwide, 2009-2016”, mayo de 2012.
1
2
Informe técnico
El vishing (robo de identidad por teléfono) y el SMiShing (robo de identidad por SMS/mensaje de
texto) constituyen dos de los ataques más comunes que actualmente sacan provecho del dispositivo
móvil. Estas alternativas de robo de identidad se están volviendo más populares entre los
cibercriminales, como lo evidencian los proveedores de fraude como servicio en los círculos
clandestinos que ya ofrecen servicios como aplicaciones de envío masivo de SMS y servicios de
suplantación de identidad de SMS. Un ejemplo de servicio de suplantación de identidad de SMS es
iSPOOF Europe. Diseñado para enviar mensajes cortos a posibles víctimas y dirigirlas a números
telefónicos fraudulentos, este servicio ofrece la capacidad de ocultar el número telefónico verdadero
del cibercriminal y reemplazarlo por un nombre alfanumérico, por ejemplo, “SERVICIO AL CLIENTE DEL
BANCO ABC”.
La suplantación de identidad de SMS también puede ser utilizada por los criminales para tentar a
usuarios móviles inocentes a que naveguen a una URL maliciosa mediante un hipervínculo
proporcionado para actualizar su cuenta u obtener una tarjeta de regalo. Estos ataques de SMiShing
le presentan a la víctima el nombre de una organización legítima en el campo “De” del mensaje de
texto. La URL maliciosa está diseñada para parecer convincente cuando solicita las credenciales de
cuenta.
También están surgiendo formas de fraude más avanzadas en el canal móvil. El troyano Citadel, que
es el troyano de servicios bancarios comerciales más avanzado hasta la fecha, se introdujo en enero
de 2012. RSA rastreó una nueva variante de Citadel que explota el canal móvil y utiliza técnicas
avanzadas para realizar ataques entre canales. La variante, conocida como Citadel-in-the-Mobile
(CitMO), se creó para superar el obstáculo de los métodos de autenticación fuera de banda basados
en dispositivos móviles (como las contraseñas de un solo uso) que se utilizan cuando los clientes
realizan transferencias bancarias en línea.
El ataque investigado por RSA se dirigía a los usuarios con la apariencia de software de seguridad
para dispositivos móviles (consulte la figura 1). Una vez descargado, el software malicioso contaba
con la funcionalidad de rastreo de SMS diseñada para ocultar los mensajes de texto entrantes y
desactivar las alertas de audio del teléfono mientras se interceptaban las contraseñas basadas en
dispositivo móvil del banco enviadas a los dispositivos móviles de las víctimas. Como resultado, los
cibercriminales podían obtener acceso a la cuenta de un usuario, interceptar o manipular las
transacciones, y realizar una apropiación de la cuenta.
Figura 1: Mensaje que recibieron los
usuarios móviles con la apariencia de
software de seguridad para dispositivos
Android, pero que, en realidad, era un
software malicioso diseñado para
interceptar los mensajes de texto
entrantes. (Fuente: Centro de control
antifraude de RSA).
Aplicaciones móviles no autorizadas
El día de navidad de 2012, se descargó la cifra sin precedentes de 328 millones de aplicaciones
móviles, lo cual constituyó un cierre espectacular para un año de cifras récord para las activaciones
de teléfonos inteligentes y las descargas de aplicaciones4. Con cifras como estas, y las expectativas
de que esta tendencia continuará a lo largo de 2013, no resulta sorprendente que las aplicaciones
móviles hayan atraído mucha atención de los cibercriminales.
De hecho, las aplicaciones móviles se han convertido en el nuevo vector de amenaza, dado que los
cibercriminales aprovechan la oportunidad de realizar ataques de robo de identidad y malware
camuflados como aplicaciones legítimas. Android, la plataforma para móviles más utilizada en el
mundo, también es el principal blanco de las amenazas móviles debido a la naturaleza de su código
abierto. A modo de demostración, la cantidad de muestras de aplicaciones Android de alto riesgo y
maliciosas detectadas en 2012 fue de 350,000, lo que implica un aumento significativo de las 1,000
muestras identificadas en 20115.
Si bien la atracción del canal móvil y sus aplicaciones para los cibercriminales se origina en los
vínculos entre los dispositivos móviles y los pagos y las transacciones financieras, el crimen asociado
Flurry Blog, Peter Farago, 2 de enero de 2013
Informe sobre seguridad y amenazas móviles de 2012 de TrendLabs.
4
5
PÁGINA 2
con aplicaciones no autorizadas no se limita a los servicios bancarios, sino que se extiende a los
sectores minoristas, de juegos y entretenimiento, y prácticamente a cualquier negocio que ofrezca
una aplicación móvil. Desde localizadores de ATM de otros fabricantes no autorizados que se venden
a US$1 hasta aplicaciones de entretenimiento que incluyen enlaces maliciosos en anuncios falsos,
el fraude de aplicaciones móviles asume muchas formas, lo que dificulta su identificación.
Traiga su propio dispositivo (BYOD)
Si bien los dispositivos móviles entregados por las empresas son comunes en el lugar de trabajo,
resulta evidente que los departamentos de TI se encuentran bajo una presión creciente para permitir
el uso de dispositivos móviles personales de los empleados para acceder a aplicaciones y datos
corporativos confidenciales. Sin embargo, muchas de estas organizaciones no están preparadas para
el impacto de esta tendencia de BYOD impulsada por los usuarios.
Según un estudio reciente realizado por SANS Institute6, si bien un número creciente de
organizaciones permiten BYOD para acceso remoto a los sistemas corporativos, el 62 % de los
encuestados indican que su organización aún utiliza la autenticación basada solo en contraseñas
para proteger el acceso desde dispositivos móviles.
Aunque el cumplimiento de normas y la protección de datos son los motivos principales por los que
las organizaciones implementan seguridad en el acceso móvil para BYOD, el uso inadecuado de
metodologías de autenticación sólida, y la falta de rastreo y control central de los dispositivos (por
ejemplo, la administración de dispositivos móviles [MDM]) siguen siendo temas de debate. Estos
factores dejan a los dispositivos, y a las organizaciones que permiten BYOD, muy vulnerables ante el
malware y el robo de datos mediante aplicaciones hostiles, y el acceso no autorizado.
En 2013, a medida que las organizaciones continúen avanzando hacia una mayor preparación y
aceptación respecto del cambio al ambiente móvil y sus prácticas relacionadas, continuarán
enfrentándose a problemas importantes relacionados con la seguridad y las políticas. A medida que
crecen las vulnerabilidades de los dispositivos móviles, también lo hacen las oportunidades para el
cibercrimen, y, si bien no es tan frecuente como lo es en línea, el fraude continuará intensificándose
en el canal móvil mediante ataques de ingeniería social a los usuarios, y las aplicaciones móviles
serán cada vez más explotadas como medio para iniciar ataques de troyanos y de robo de identidad.
Tendencia n.º 2: La menor divulgación de los troyanos de servicios
bancarios financieros y otro malware
Lentamente, los cibercriminales están llevando el desarrollo de malware a círculos clandestinos más
reducidos, y los troyanos que, en general, se hicieron populares debido a su disponibilidad comercial
en el mercado negro abierto, de repente, están menos disponibles para la venta. El miedo de los
cibercriminales a la infiltración por parte de agentes encubiertos y al proceso legal subsiguiente de
los agentes del orden público, además de los cambios en las leyes internacionales, está limitando el
desarrollo de troyanos a grupos más privados.
Sin embargo, el desarrollo no se ha desacelerado ni mucho menos. Para los cibercriminales que
dependen de ofertas de malware comerciales, el año pasado mostró un aumento en el desarrollo de
troyanos superior al de todos los períodos anteriores, que comenzó con la introducción de Citadel y
finalizó con el regreso del troyano Carberp al escenario comercial. Si bien el troyano Zeus sigue
siendo el malware más prolífico utilizado en los ataques financieros, si se observan otros de los
participantes principales, se pueden notar algunos cambios interesantes en el panorama.
Zeus y troyanos basados en Zeus
Zeus, que ya es el troyano de servicios bancarios más utilizado, se volvió aún más accesible a
mediados de 2011 después de que su código fuente quedara expuesto públicamente. Las sospechas
de que el codificador original de Zeus, “Slavik”, participó en el desarrollo de Zeus v2.1.0.10
continuaron en 2012. De hecho, los investigadores de seguridad han demostrado que Slavik no se
retiró y creen que continúa cumpliendo una función de bajo perfil en la escena del cibercrimen de
habla rusa.
Durante 2012, se desarrollaron otras variantes de Zeus que incluyen el troyano Ice IX, el cual
demostró ser una variante mal programada que obtuvo su impulso en el mercado clandestino debido
a la gran demanda de servicios de soporte por parte de los botmasters que administraban Zeus. En
febrero de 2012, el desarrollador de Ice IX anunció otra actualización del troyano; después de dos
meses, desapareció, lo que dejó a los compradores varados sin soporte ni reparaciones de errores,
y la venta de Ice IX a compradores nuevos se suspendió.
La variedad de Zeus más exitosa hasta la fecha también salió a la luz en 2012. Citadel, un troyano
bancario que fue presentado en el mercado clandestino en enero, ha evolucionado hasta llegar a ser
el modelo de negocio de troyano más sofisticado que se ha visto en el mundo del malware comercial.
RSA ha realizado informes exhaustivos7 sobre las funciones avanzadas y los nuevos desarrollos
6
Fuente: Encuesta de SANS sobre políticas y prácticas de seguridad de BYOD/movilidad, octubre de 2012.
PÁGINA 3
disponibles para Citadel desde enero de 2012. Los desarrollos recientes con Citadel y el equipo que
lo respalda han limitado este troyano a círculos clandestinos más reducidos, y, si bien aún se
considera malware comercial, está mucho menos disponible y solo lo pueden adquirir compradores
nuevos si son “validados” por otros cibercriminales. Probablemente, esta jugada tenga la intención de
evitar que la distribución del troyano se extienda demasiado a fin de dificultar la toma de muestras del
malware por parte de los investigadores y para evitar que las variedades de Citadel sean detectadas.
SpyEye
El troyano SpyEye ha ido desapareciendo de manera gradual, particularmente, desde mayo de 2012
cuando su desarrollador (“Gribodemon/Harderman”) se tomó una licencia indefinida en los foros de
habla rusa altamente exclusivos donde se publicó: “El autor de Spy ya no está con nosotros. Se
encuentra en Malasia. Por ello, pronto habrá un nuevo SpyEye compilado. Para los fanáticos y los
aficionados”. SpyEye, que es un importante troyano bancario, automatiza el robo de información
confidencial y libra ataques mediante tácticas de navegador intermediario.
Bugat v2
Bugat v2 continúa teniendo una presencia consistente en el escenario global de ataques de troyanos,
ya que representa un promedio del 14 % de todos los ataques de troyanos financieros que investigó
RSA el año pasado. Bugat v2 (también denominado Feodo y Sodast), que es controlado de manera
privada, ataca instituciones financieras (principalmente, empresas de corretaje en línea) con el fin de
robar credenciales que puedan generar opciones fraudulentas de vaciamiento de cuentas. El
descubrimiento de este troyano y la toma de su primera muestra en acción se realizaron en agosto
de 2010. Sus variantes envían credenciales robadas a servidores de descarga con base en Rusia.
Gozi y Gozi Prinimalka Blitzkrieg
A fines de septiembre de 2012, RSA reveló información acerca de una ola de ataques de malware
planificados por cibercriminales de habla rusa y especialmente diseñados para atacar 30 bancos con
base en Estados Unidos. Una publicación realizada por un participante clandestino que RSA conocía
brindó amplios detalles sobre la banda que estaba planeando la ola de ataques y su objetivo de
reclutar 100 botmasters para llevar a cabo la operación. Las pistas que dejó el vocero de la banda
permitieron que RSA descubriera el malware que se utilizaría en los ataques (una variación del
troyano Gozi llamada Gozi Prinimalka), que ya se ha utilizado en ataques anteriores para robar
millones de US$ de instituciones financieras. Esta nueva variante incluía diversas características
actualizadas, entre ellas, un programa de clonación de máquinas virtuales para duplicar la
configuración del equipo de un usuario que permitiría que un botmaster utilice la dirección IP
genuina al acceder al sitio web de un banco.
Carberp
El troyano Carberp, también llamado Syscron, es un malware semiprivado que se ha vendido en el
mercado clandestino durante más de dos años. Carberp infecta un equipo con la finalidad de robar
credenciales para la apropiación de cuentas bancarias y realizar transferencias electrónicas
fraudulentas. En diciembre de 2012, el troyano Carberp regresó a la escena del malware comercial,
con ventas en foros clandestinos a compradores nuevos y existentes a precios de hasta US$40,000
por un kit completo. El precio cotizado para Carberp es el cuádruple del precio de venta máximo
pagado por kits de Zeus o SpyEye en el mercado negro.
La tendencia hacia una menor divulgación
La prueba más reciente para demostrar la tendencia hacia la menor divulgación del malware fue el
descubrimiento de Zeus v2.0.9.4 Evolution, un malware basado en Zeus con un toque personal.
Evolution tiene su propio panel de administración, la mayor parte del cual está escrita en inglés,
aunque también contiene gran cantidad de elementos en ruso (por ejemplo, en cuadros, en la página
de preguntas frecuentes y en las opciones de vaciamiento de cuentas que utiliza, algunas de las
cuales tienen base en Rusia).
Además del plug-in captador de tarjetas de crédito, el troyano posee una herramienta DDoS que
puede permitir que el botmaster reclute equipos infectados para ataques a objetivos en línea. El uso
del botnet de un troyano bancario para ataques de DDoS es una de las maneras en que los
botmasters pueden rentabilizar sus botnets, aplicando tarifas por hora para el DDoS mientras
trabajan en el desvío de dinero desde las cuentas bancarias de los usuarios infectados.
En este momento, es muy probable que Evolution sea mantenido por un desarrollador (o un pequeño
grupo de desarrolladores) de malware que lo mantiene en funcionamiento y que ha programado su
7
ara consultar toda la investigación más reciente de RSA sobre troyanos, visite el blog de
P
RSA FraudAction Research Labs en http://blogs.rsa.com/author/rsafarl/.
PÁGINA 4
nueva GUI del panel de administración. Como sucede con la mayoría de las operaciones de troyanos,
es muy posible que Zeus Evolution se convierta en malware comercial en el futuro cercano.
Si bien el año 2012 finalizó con un aumento en el desarrollo de troyanos y variantes basadas en el
código Zeus divulgado, el flujo disponible de malware comercial para operaciones y compras de
usuarios nuevos se vio afectado por el hecho de que los desarrolladores más reconocidos
comenzaron limitar sus proyectos a círculos clandestinos más reducidos para evitar el riesgo de ser
atrapados por los organismos del orden público. RSA prevé que el malware disponible comercialmente
continuará el cambio hacia operaciones más privadas, lo que hará más difícil que los organismos
del orden público rastreen e impidan operaciones cibercriminales, y que las organizaciones y el
sector de seguridad obtengan conocimientos sobre la actividad de los troyanos.
Tendencia n.º 3: El hacktivismo y el ataque constante a las empresas
El hacktivismo explotó en 2012 y se convirtió en el medio cibernético de desahogo más elegido para
la expresión pública de opiniones controversiales, ya sean políticas o económicas, además de un
modo de protestar sobre conflictos ideológicos. Los grupos hacktivistas actuales son,
predominantemente, equipos no relacionados (o hackers individuales) que atacan entidades (los
presuntos “culpables”) en función de sus propias agendas económicas, políticas, religiosas o
sociales.
En muchos casos, los hacktivistas eligen agrupar su actividad bajo nombres colectivos, especialmente,
las más importantes, como “Anonymous”8. Su asociación, generalmente, es arbitraria, sin una
conexión legítima y, con frecuencia, es impulsada por la fama de la colectividad. Esto es particularmente
cierto para las reclamaciones asociadas con “Anonymous”, dado que este grupo de organización poco
estricta es el grupo de hacktivistas más conocido y, definitivamente, el más popular.
El grupo autoproclamado de hacktivistas musulmanes al-Qassam Cyber Fighters también está
ganando fama por lo que se conoce como Operation Ababil, que ataca docenas de bancos
estadounidenses con repetidos ataques de denegación de servicio distribuida (DDoS). Recientemente,
el grupo presumió públicamente en una declaración que estima que el “costo aproximado para los
bancos estadounidenses por cada minuto de DDoS” es de US$30,000.
Otro cambio que está adquiriendo importancia es el impacto cruzado entre cibercriminal motivado
financieramente y el hacktivista. Hemos observado el uso de troyanos financieros, como las variantes
de Zeus, en ataques de tipo APT y el uso del troyano financiero Citadel, que tiene la capacidad de
mapear redes corporativas. Asimismo, los hacktivistas están encontrando una oportunidad de
negocio y un flujo de ingresos complementario en el mercado clandestino, dado que los criminales
motivados financieramente desean comprar información robada en ataques de hacktivistas y usarla
para cometer fraude (consulte la figura 2).
Figura 2: Conversación entre
cibercriminales después de un ataque
importante de hacktivistas que implicó
el robo de millones de tarjetas de crédito.
(Fuente: Centro de control antifraude
de RSA).
En muchos casos, “Anonymous” negó cualquier lazo con hacktivistas que dijeron formar parte de este grupo.
8
PÁGINA 5
Entre los métodos de ataque principales con los que cuentan los hacktivistas, se incluyen:
–Denegación de servicio distribuida (DDoS): Aprovecha varios sistemas comprometidos
(generalmente, infectados con un troyano u otra forma de malware) para bombardear un sistema
objetivo (por lo general, uno o varios servidores web de un sitio web) con “tráfico” electrónico sin
sentido a fin de lograr que el sitio web se vuelva inaccesible. En enero de 2013, Anonymous
solicitó al Gobierno de los Estados Unidos que despenalice los ataques de DDoS y los convierta
en una forma legal de protesta.
–Doxing: Es la recopilación y exposición de información personal valiosa de figuras públicas, como
políticos y celebridades, para el beneficio del hacktivista, por lo general, con el fin de hacer que la
persona tome conciencia del problema en cuestión y reaccione o tome medidas que favorezcan la
ideología de los hacktivistas. El término proviene de “documentos” o “docx”. Entre las víctimas
recientes de doxing, se incluyen la primera dama Michelle Obama y el vicepresidente de los
Estados Unidos, Joe Biden.
–Hackeo y exposición: Obtención de acceso no autorizado a gran cantidad de datos confidenciales
y exposición pública de dichos datos en Internet con el fin de causar daños monetarios y en la
reputación a la entidad objetivo.
Los ataques de DDoS constituyen el arma de ataque cibernético preferida de los hacktivistas por
diversos motivos. En primer lugar, no requiere conocimientos o habilidades reales de hackeo. Hay
muchas herramientas “estándares” disponibles en Internet a bajo costo o de manera gratuita. Y,
en segundo lugar, estos ataques pueden ser tan dañinos como simples. Al bombardear el sitio
web y volverlo inaccesible, los negocios pueden perder ingresos y sufrir daños en la marca o en la
reputación.
No es de sorprender que el hacktivismo continúe siendo una preocupación principal en 2013. Según
las observaciones de RSA, lo que evolucionará será la manera en que estos grupos se organizan, sus
métodos de ataque y sus motivaciones. La ola de ataques de DDoS lanzados por los hacktivistas
contra muchas de las principales instituciones financieras del mundo a fines de 2012 (y que
continúan en la actualidad) es un buen ejemplo. Todavía no se conoce el motivo preciso de los
ataques. Sin embargo, algunos apuntan a una represalia política, mientras que otros creen que los
ataques intentan camuflar transferencias electrónicas fraudulentas.
Más allá de la avalancha continua de ataques de DDoS y otras amenazas de hacktivistas, RSA prevé el
uso de una mayor cantidad de troyanos financieros para espionaje cibernético y ataques de hacktivistas,
y la venta de más datos robados por hacktivistas disponibles para la venta en foros de fraude globales.
Tendencia n.º 4: Apropiación de cuentas y uso creciente de ataques
cibernéticos con intervención manual
Los ataques de troyanos de intermediario y de navegador intermediario siguen siendo el arma
preferida de los cibercriminales para realizar apropiaciones de cuentas. Aite Group estima9 que la
apropiación de cuentas generó pérdidas globales que ascienden a US$455 millones en instituciones
financieras en 2012 y prevé que dicha cifra aumente a US$794 millones para el año 2016.
Un troyano de navegador intermediario está diseñado para interceptar datos a medida que se
transfieren mediante una comunicación segura entre un usuario y una aplicación en línea. Un troyano
se incorpora a la aplicación de navegador de un usuario y se puede programar para que se active
cuando un usuario accede a sitios en línea específicos, como un sitio de servicios bancarios en línea.
Una vez activado, el troyano de navegador intermediario puede interceptar y manipular cualquier tipo
de información que el usuario envíe en línea en tiempo real.
La tecnología y las habilidades que se requieren para iniciar un ataque de navegador intermediario
no son particularmente nuevas o avanzadas. No obstante, RSA ha observado un cambio drástico
hacia ataques con mayor intervención manual en 2012, como los ataques de intermediario, a medida
que las instituciones financieras han comenzado cada vez más a aprovechar la autenticación fuera
de banda y herramientas de analítica del comportamiento capaces de detectar ataques automatizados.
El ataque de intermediario funciona de manera muy similar al ataque de navegador intermediario, a
excepción de que la intercepción no es automatizada, sino que el propio atacante se inserta en la
transacción y le envía comunicaciones directamente al usuario final (por ejemplo, páginas de
ingeniería social que indican que se está realizando un mantenimiento en el sitio web del banco a fin
de permitir que el atacante tenga tiempo para realizar una transacción fraudulenta).
Las herramientas de acceso remoto (RAT) son plug-ins estándares disponibles en la mayoría de los
troyanos bancarios actuales. Según el troyano financiero, un plug-in suele costar solo unos cientos
de US$ en el mercado negro. Un ejemplo de herramienta de acceso remoto investigada por RSA,
denominada “World Bank Center”, era una interfaz desarrollada para ser utilizada por varios
botmasters y botnets para permitir la interacción en tiempo real con los usuarios infectados y
simplificar las transacciones fraudulentas. Los cibercriminales que utilizan World Bank Center realizan
apropiaciones de cuentas por medio de un ataque de intermediario. Tan pronto como un usuario
Aite Group, “Citadel, Gozi, ZeuS... ¡Dios mío!”. Noviembre de 2012
9
PÁGINA 6
Figura 3: Captura de pantalla de un panel
de ataque de intermediario que muestra
la información adicional solicitada por el
botmaster. (Fuente: Centro de control
antifraude de RSA).
infectado accede a su cuenta bancaria, un cibercriminal puede mantener a sus víctimas en la
interacción de manera fácil y rápida mediante inyecciones interactivas de código HTML, por lo
general, para recopilar información adicional (consulte la figura 3) o para retrasar al usuario mientras
el botmaster se prepara para realizar una transacción.
RSA prevé un aumento continuo en el uso de métodos de ataques con intervención manual, como
ataques de intermediario, a fin de evadir su detección. La administración de pérdidas por fraude de
apropiación de cuentas continuará siendo uno de los problemas principales que las instituciones
financieras se esforzarán por superar. Como resultado, habrá mayores inversiones en la seguridad a
nivel de la transacción y en herramientas de analítica del comportamiento capaces de detectar
irregularidades como patrones de navegación, inyección de código HTML e inyección de proxy.
Tendencia n.º 5: Los cibercriminales aprovecharán los principios
de big data para aumentar la efectividad de los ataques
De la misma manera en que muchas organizaciones reales han comenzado a aplicar los principios de
big data para maximizar el valor del volumen de datos que recopilan, los cibercriminales también han
comenzado a moverse en esa dirección. Desde la perspectiva de un cibercriminal, la administración
de datos acumulados por botnets de equipos infectados puede crear enormes cantidades de datos
inútiles en los servidores de zona de descarga y crear obstáculos en la infraestructura. Los
desarrolladores de malware han estado trabajando en diferentes soluciones de análisis e
implementando el uso de bases de datos en sus paneles de administración de comando y control a
fin de identificar solo los datos más pertinentes.
Una herramienta de este tipo incorporada en el panel de administración del troyano Citadel permite el
filtrado de datos y la creación de gráficos de estadísticas de la actividad de botnets. Por ejemplo,
puede proporcionar datos sobre el software más popular instalado en las máquinas infectadas,
además de sistemas antivirus, que proporcionan a los cibercriminales información sobre las
herramientas de seguridad que pueden causar problemas en los bots infectados (consulte la figura 4).
Figura 4: Ejemplo de un panel de
administración de Citadel que permite
a los cibercriminales obtener más
información sobre el software instalado
en los equipos infectados. (Fuente:
Centro de control antifraude de RSA).
PÁGINA 7
Otro plug-in conocido como IntelegentBot se ofrece a los cibercriminales que administran botnets para
ayudarlos a clasificar los datos robados pertinentes. Se puede acceder a la plataforma web mediante
un nombre de usuario y una contraseña, y cada usuario nuevo debe conectar sus bases de datos de
troyanos a la herramienta. IntelegentBot utiliza expresiones regulares para buscar palabras específicas
que generalmente se utilizan para buscar sitios bancarios (URL/nombres). Una pantalla separada
permite buscar solo datos de tarjetas de crédito e identificarlos dentro de toda la base de datos.
El uso creciente de analítica de datos y analizadores por parte de los cibercriminales y botmasters
muestra un nivel nuevo de sofisticación en el desarrollo de malware. Además de obtener ayuda para
organizar solo los datos robados relevantes, los cibercriminales ahora también pueden usar esta
tecnología para tomar decisiones de negocio sobre dónde invertir su dinero en relación con los kits de
explotación u otras herramientas de sombrero negro. RSA prevé que los cibercriminales aumentarán
el uso de herramientas capaces de realizar analítica de tipo big data para obtener más información
acerca de las víctimas infectadas e incrementar la efectividad de sus ataques de troyanos.
Conclusiones
No es necesario decir que el cibercrimen se vuelve más sofisticado año tras año. En algunos casos,
nos encontramos en las primeras etapas de amenazas futuras, como podemos observar con los
dispositivos móviles en los que las defensas aún son incipientes. En otros casos, observamos el
resultado de estrategias dinámicas de defensa profunda que frustraron amenazas y obligaron a los
cibercriminales a regresar a ataques con mayor intervención manual.
Con la avalancha de información acerca de la evolución de las amenazas, se presta muy poca
atención al ambiente de TI cambiante en sí mismo. Muchas tecnologías revolucionarias, desde el
cómputo en la nube y los medios sociales hasta la administración de dispositivos móviles, están
transformando la cara de la seguridad de la información. Pero el movimiento más significativo de la
actualidad es la rápida adopción del aprovechamiento de principios de big data para mejorar la
detección de las amenazas y el fraude cibernéticos.
Estas tecnologías revolucionarias, junto con las nuevas herramientas cibernéticas y las amenazas que
salen a la luz cada día, están creando un reto para las organizaciones, no solo respecto de la forma
de proteger su infraestructura, sino también de la manera en que aprovechan las nuevas plataformas
y la inteligencia para hacerlo. Entre identidades, aplicaciones y redes, tanto en ambientes físicos
como de nube, podemos esperar que las organizaciones continúen trabajando para que las
herramientas existentes sean más efectivas, para adoptar programas de seguridad basados en
inteligencia y para mejorar la manera en que utilizan la analítica del comportamiento a fin de
identificar las amenazas cibernéticas emergentes y responder a ellas.
Acerca de RSA
RSA es el principal proveedor de soluciones de seguridad, riesgo y cumplimiento de normas que
ayudan a las organizaciones más importantes del mundo a lograr superar los retos de seguridad
más complejos y delicados. Entre estos retos, se incluyen la administración de los riesgos de las
organizaciones, la protección de la colaboración y el acceso por medio de dispositivos móviles,
la comprobación del cumplimiento de normas, y la protección de ambientes virtuales y de nube.
Mediante la combinación de controles críticos para el negocio destinados a la comprobación de
identidad, la prevención de pérdida de datos, los procesos de cifrado y Tokenization, la
protección contra fraudes y SIEM con servicios de consultoría y funcionalidades de eGRC líderes
del sector, RSA brinda confianza y visibilidad respecto de millones de identidades de usuarios,
las transacciones que realizan y los datos que se generan.
http://mexico.emc.com/rsa
(visite el sitio web de su país
correspondiente).
RSA, el logotipo de RSA, EMC2 y EMC son marcas registradas o marcas comerciales de EMC Corporation en los Estados
Unidos y en otros países. Todas las demás marcas comerciales incluidas/utilizadas en este documento pertenecen a
sus respectivos propietarios. ©2013 EMC Corporation. Todos los derechos reservados.
CYBERTR WP 0413