Informe de Symantec sobre las amenazas para la seguridad de los
Transcripción
Informe de Symantec sobre las amenazas para la seguridad de los
Informe de Symantec sobre las amenazas para la seguridad de los sitios web I 2015 ÍNDICE Introducción 3 Resumen ejecutivo 4 Amenazas en Internet 5 Ciberdelincuencia y malware 21 Ataques dirigidos 36 Fugas de datos 53 Engaños en las redes sociales 63 ¿Qué nos depara el futuro? 77 Consejos y prácticas recomendadas 79 Perfil de Symantec 82 2 I Symantec Website Security Solutions INTRODUCCIÓN Symantec cuenta con la fuente de datos más completa que existe sobre las amenazas en Internet: Symantec ™ Global Intelligence Network, un sistema compuesto por más de 41,5 millones de sensores de ataque que registra miles de incidencias por segundo. Esta red supervisa las amenazas existentes en más de 157 países y regiones mediante una combinación de productos y servicios de Symantec, como: 157 • Symantec DeepSight™ Intelligence • Symantec™ Managed Security Services • Productos de Norton™ • Symantec Website Security Solutions • Otras fuentes de datos externas Symantec también mantiene una de las bases de datos sobre vulnerabilidades más completas del mundo. En este momento, hay registradas más de 60 000 vulnerabilidades que afectan a más de 54 000 productos de más de 19 000 proveedores. Los datos sobre spam (envío de correo no deseado), phishing (suplantación de la identidad) y malware (código dañino) se registran a través de distintos recursos, como: •Symantec Probe Network, un sistema que abarca más de cinco millones de cuentas señuelo •Symantec.cloud Symantec mantiene una de las bases de datos sobre vulnerabilidades más completas del mundo 19 000 proveedores 54 000 60 000 vulnerabilidades registradas productos Skeptic™, la tecnología heurística patentada de Symantec.cloud •Symantec Website Security Solutions y los productos de protección frente al malware y las vulnerabilidades 14 centros de datos 1700 MILLONES de solicitudes • Otras tecnologías de seguridad de Symantec 8400 MILLONES de correos electrónicos La tecnología heurística patentada de Symantec.cloud, denominada Skeptic™, detecta los ataques dirigidos más nuevos y avanzados antes de que lleguen a la red del cliente. 14 centros de datos procesan más de 8400 millones de mensajes de correo electrónico al mes y filtran más de 1700 millones de solicitudes por Internet al día. Symantec también recopila información sobre phishing a través de una amplia comunidad antifraude de empresas, proveedores de seguridad y más de 50 millones de consumidores. Symantec Website Security Solutions funciona sin interrupción, permite comprobar si un certificado digital X.509 se ha revocado o no mediante el protocolo de estado de certificados en línea (OCSP) y procesa a diario más de 6000 millones de consultas de este tipo en todo el mundo. Gracias a estos recursos, los analistas de Symantec cuentan con fuentes de información insuperables para detectar, analizar e interpretar las nuevas tendencias en materia de ataques, malware, phishing y spam. Todos estos datos nos han servido para elaborar el informe sobre amenazas para la seguridad de los sitios web de Symantec, que ofrece a empresas y consumidores información esencial para proteger sus sistemas de forma eficaz tanto ahora como en el futuro. 3 I Symantec Website Security Solutions RESUMEN EJECUTIVO El incidente más sonado de 2014 fue, sin duda, la vulnerabilidad Heartbleed, que sacudió los cimientos de la seguridad en Internet. En este caso, el quid del problema no era la sagacidad de los ciberdelincuentes, sino otra verdad incómoda: que ningún programa es infalible y, por lo tanto, hay que cuidar al máximo la seguridad de los sitios web con sistemas más avanzados y eficaces. Por supuesto, mientras Heartbleed acaparaba titulares, los ciberdelincuentes seguían buscando nuevas maneras de atacar, robar y perjudicar a sus víctimas. En 2014, recurrieron a tácticas más profesionales, avanzadas y agresivas que afectaron tanto a empresas como a consumidores. Las vulnerabilidades, un riesgo que pone en peligro a todos Heartbleed no fue la única vulnerabilidad descubierta en 2014. Los ciberdelincuentes también se sirvieron de Poodle y Shellshock para infiltrarse en servidores, robar datos e instalar malware. Curiosamente, el número de sitios web con malware se redujo a la mitad (uno de cada 1126), pese a que el porcentaje con vulnerabilidades fue el mismo que en 2013: tres cuartos del total analizado. No está claro si esta tendencia se debe en parte a que los sitios web están mejor protegidos o si, por el contrario, podría indicar el avance de otras vías de distribución de malware, como las redes sociales y la publicidad dañina (malvertising). Por desgracia, quienes quisieron aprovechar las vulnerabilidades lo tuvieron muy fácil porque muchísima gente no se molestó en actualizar el software. Sin los parches pertinentes, un dispositivo o servidor están desprotegidos frente a los droppers, herramientas de ataque habituales que buscan vulnerabilidades sin resolver y, si las encuentran, provocan una infección con descargas no autorizadas u otras técnicas, como las estafas en las redes sociales. De profesión, ciberdelincuente En 2014, los atacantes perfeccionaron sus métodos y siguieron «profesionalizándose». La ciberdelincuencia ya es un negocio con mercados paralelos a los del sector tecnológico y con sus correspondientes especialidades y proveedores de servicios. Por ejemplo, alquilar un kit de herramientas web que infecte a las víctimas con descargas no autorizadas cuesta entre 100 y 700 dólares estadounidenses por semana, con derecho a actualizaciones y asistencia a todas horas. El precio de los ataques distribuidos de denegación de servicio (DDoS) oscila entre los diez y los mil dólares al día;1 los datos de tarjetas de crédito se venden a entre 0,50 y 20 dólares por tarjeta; y mil seguidores en una red social cuestan entre dos y doce dólares solamente. Los métodos de ataque, cada vez más amorales y agresivos Los ciberdelincuentes nunca han mostrado especial compasión por sus víctimas, pero en 2014 fueron aún más implacables. Según lo observado por Symantec, la incidencia del cryptoware se multiplicó por catorce de mayo a septiembre.2 Esta variante del ransomware cifra los archivos de la víctima —fotos, contratos, facturas o lo que se tercie—y pide un rescate a cambio de las claves privadas necesarias para descodificarlos. Normalmente, el pago debe realizarse en bitcoins a través de una página web de la red Tor, lo que impide seguir la pista de los atacantes y les permite continuar con sus fechorías. Las redes sociales y el phishing también se usaron para explotar los miedos de la gente, como el temor al hacking y a ciertas situaciones de alarma sanitaria. En algunos casos, los delincuentes se sirvieron de enlaces relacionados con estos temas para obtener clics y registros (y luego sacarles partido económico mediante programas de afiliación). En otros, recurrieron a las descargas de malware para infectar a las víctimas o crearon sitios web de phishing con formularios diseñados para el robo de datos. http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services http://www.symantec.com/connect/blogs/australians-increasingly-hit-global-tide-cryptomalware 1. 2 Symantec Website Security Solutions I 4 AMENAZAS EN INTERNET 5 I Symantec Website Security Solutions RESUMEN 1 considerados fiables corrieron peligro a consecuencia de la vulnerabilidad Heartbleed.3 2 A raíz de lo sucedido con Heartbleed, muchos aprendieron la lección y 3 Los ciberdelincuentes aprovechan la tecnología y la infraestructura de las 4 5 3 En abril, los datos de aproximadamente un millón de sitios web tomaron medidas para que las tecnologías SSL y TLS fueran más seguras. redes publicitarias legítimas para sus estafas y ataques. En 2014, las páginas de navegación anónima pasaron a representar el 5 % del total de sitios web infectados, un salto que las sitúa entre las diez categorías con mayor número de infecciones. Desde 2013, el total de sitios web con malware se ha reducido prácticamente a la mitad. http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html Symantec Website Security Solutions I 6 INTRODUCCIÓN En 2014, Internet se llenó de amenazas de mayor envergadura y peligrosidad. Se descubrió que algunas herramientas y protocolos de cifrado de uso corriente no eran tan seguros como se creía, y las víctimas tuvieron más dificultades para zafarse de las garras de sus atacantes. Todo esto convirtió a Internet en un auténtico campo de minas, y no hay razón para pensar que esta tendencia vaya a invertirse en 2015. Tanto las vulnerabilidades como los nuevos tipos de malware dejaron claro que las empresas deben volcarse por completo en mejorar la seguridad de los sitios web. 4 En el momento en que se redactó este documento en 2015, varios investigadores de seguridad habían identificado una nueva vulnerabilidad en la tecnología SSL/TLS, denominada «FREAK»,4 que permitía hacer ataques de interposición «Man-in-the-Middle» para interceptar y descifrar las comunicaciones entre un sitio web y sus visitantes, robar contraseñas e información personal y, en ciertos casos, volver a atacar el sitio web afectado posteriormente. http://www.symantec.com/connect/blogs/freak-vulnerability-can-leave-encrypted-communications-open-attack 7 I Symantec Website Security Solutions LAS VULNERABILIDADES MÁS SONADAS Heartbleed Heartbleed se hizo noticia en abril, fecha en la que se descubrió que, en caso de ataque, esta vulnerabilidad en la biblioteca de software criptográfico OpenSSL permitía acceder a los datos almacenados en la memoria de un servidor web y descodificar la información transmitida durante una sesión cifrada. Esto ponía en peligro datos confidenciales de gran valor, como contraseñas, información de tarjetas de crédito e incluso claves privadas.5 En su día, se calculó que Heartbleed podría haber afectado al 17 % de los servidores web SSL, que utilizan certificados SSL y TSL emitidos por autoridades de certificación de confianza.6 Ni que decir tiene que el incidente fue un duro golpe para empresas y consumidores. No solo quedó desprotegida una gran cantidad de datos confidenciales, sino que las empresas tuvieron que pasar por el mal trago de pedir a los clientes que cambiaran sus contraseñas, no sin antes tomar otras medidas: actualizar los servidores de sus sitios web con la versión más reciente de OpenSSL, instalar certificados SSL nuevos y revocar los antiguos. Por suerte, la respuesta fue rápida. A los cinco días, ninguno de los mil sitios web más visitados según Alexa seguía siendo vulnerable a Heartbleed (y de los 50 000 con más visitas, solo el 1,8 % aún no había resuelto el problema).7 ShellShock y Poodle Heartbleed no fue la única vulnerabilidad que salió a la luz en 2014. En septiembre se descubrió «Bash Bug» (también llamada «ShellShock»), que afectaba a la mayoría de las versiones de Linux y Unix, incluido Mac OS X. ShellShock es un buen ejemplo de lo rápido que puede cambiar todo cuando se tiene un sitio web. Aunque se instalen todas las revisiones, si se descubre que son insuficientes, los servidores dejarán de estar protegidos de un día para otro y habrá que instalar otras. En este caso, los atacantes podían usar la interfaz de entrada común (CGI, por sus siglas en inglés), con la que se genera contenido web dinámico, para infiltrarse en los servidores y añadir un comando malicioso a una variable de entorno. Con esta técnica se consigue que Bash —el componente del servidor afectado por la vulnerabilidad— interprete y ejecute la variable en cuestión.8 Pronto surgieron multitud de amenazas diseñadas para explotar esta vulnerabilidad. Los servidores (y las redes a las que se conectaban) quedaron a merced del malware, y aumentó el riesgo de espionaje e infección en un gran número de dispositivos. En octubre, Google descubrió Poodle, que volvió a poner en entredicho el cifrado. Esta vulnerabilidad dejaba desprotegidos los servidores compatibles con la versión 3.0 de SSL, interfiriendo con el handshake (el proceso que comprueba qué protocolo admite el servidor) y obligando a los navegadores web a establecer una conexión mediante el protocolo SSL 3.0 en vez de usar una versión más reciente.9 Un ataque de interposición «Man-in-the-Middle» realizado en estas condiciones permite descifrar las cookies HTTP seguras y, de este modo, robar datos o apropiarse de cuentas de servicios en Internet. Por suerte, Poodle no era tan grave como Heartbleed, ya que, para explotarla, el atacante debía tener acceso a la red entre el cliente y el servidor (como ocurre cuando se utiliza un punto de acceso Wi-Fi público). 5 http://www.symantec.com/connect/blogs/heartbleed-bug-poses-serious-threat-unpatched-servers 6 http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html 7 http://www.symantec.com/connect/blogs/heartbleed-reports-field 8 http://www.symantec.com/connect/blogs/shellshock-all-you-need-know-about-bash-bug-vulnerability 9 http://www.symantec.com/connect/blogs/poodle-vulnerability-old-version-ssl-represents-new-threat Symantec Website Security Solutions I 8 LAS VULNERABILIDADES MÁS SONADAS La importancia de aplicar pronto las revisiones cuando se detectan vulnerabilidades de gran repercusión mediática Tras el anuncio de estas vulnerabilidades, no tardaron en sucederse los ataques —lo que, por supuesto, también fue noticia, aunque no por el mismo motivo que las vulnerabilidades de día cero—. Al no poner en peligro los dispositivos de acceso, sino los servidores, Heartbleed y ShellShock se consideraron un nuevo tipo de vulnerabilidad. El software al que afectaban estaba instalado en un gran número de sistemas y dispositivos, lo que les dio notoriedad e hizo que los ataques empezaran a arreciar apenas unas horas después de hacerse público el problema. Los certificados SSL y TLS no han perdido vigencia Cabe destacar que, aunque la seguridad web pasó por horas bajas en 2014, los certificados SSL y TLS (sus equivalentes más modernos) siguen siendo esenciales y ofrecen la misma protección que antes. De hecho, Heartbleed demostró lo rápido que se puede responder a los ataques. Gracias al esfuerzo y la vigilancia de organizaciones como el CA/Browser Forum, al que pertenece Symantec, los estándares del sector mejoran constantemente. Los mecanismos básicos que garantizan la protección de un sitio web y sus visitantes no solo siguen siendo válidos, sino que cada vez son más eficaces. Los picos del gráfico indican que, poco después de anunciarse las vulnerabilidades, el número de ataques ya era muy elevado, si bien las firmas de Symantec los detectaron y bloquearon casi de inmediato. A las cuatro horas de conocerse la vulnerabilidad Heartbleed, los ciberdelincuentes ya la habían aprovechado para atacar. Número de ataques Heartbleed y Shellshock en el mundo, de abril a noviembre de 2014 40 Ataques Heart Bleed 35 30 Ataques Shellshock MILES 25 20 15 5 0 M J J Fuente: Symantec 9 I Symantec Website Security Solutions A S O N VULNERABILIDADES: PANORAMA GENERAL El número de vulnerabilidades varía ligeramente de un año a otro, pero sigue observándose una tendencia al alza. La mayoría de las vulnerabilidades conocidas tienen solución si se instalan revisiones o se toman otras medidas, pero los creadores de malware saben que vale la pena tratar de aprovecharlas porque mucha gente no hace nada por remediarlas. En muchos casos, se utiliza un dropper que busca vulnerabilidades conocidas sin resolver para usarlas como puerta trasera y propagar el malware. Instalar las actualizaciones resulta, por tanto, trascendental. Esta es la razón por la que, con la ayuda de kits de ataque web como Sakura y Blackhole, es tan fácil aprovechar vulnerabilidades que se hicieron públicas meses o años atrás. Lo primero que hacen estos kits es analizar el navegador por si hubiera algún complemento vulnerable. En caso de detectar alguno, pasan a determinar el mejor método de ataque, ya que puede que existan varios para cada vulnerabilidad. Muchos kits de herramientas no emplean el método de ataque más reciente si basta con utilizar otro anterior. Además, la mayoría de los ataques no pretenden aprovechar las vulnerabilidades de día cero, aunque estas tienen especial interés para los ciberdelincuentes porque permiten realizar ataques de abrevadero o watering hole. Vulnerabilidades nuevas 2014 2013 2012 6 549 6 787 5 291 -3,6 % +28 % Fuente: Symantec | Deepsight Symantec Website Security Solutions I 10 2010 6253 2011 4989 5291 6787 2011 2009 4814 2012 2008 5562 891 2013 2007 4644 351 591 2014 2006 4842 2012 Vulnerabilidades por buscador, 2011 – 2014 2013 Número total de vulnerabilidades, 2006 – 2014 639 Opera 2014 Mozilla Firefox Microsoft Internet Explorer Google Chrome 6549 Apple Safari Fuente: Symantec I Deepsight Fuente: Symantec I Deepsight Vulnerabilidades de los complementos por mes, 2013-2014 Java 80 Apple 71 70 Adobe 60 54 54 50 40 ActiveX 53 48 48 45 30 31 29 27 20 10 5 F M Fuente: Symantec I Deepsight A M J J 11 8 A 2013 4 S 30 23 29 17 E 37 36 35 O N 13 8 2 D E F M A M J J A S O N D 2014 Las vulnerabilidades de día cero —aquellas que solo se descubren tras haberse explotado— son mucho más peligrosas que las ya conocidas. En el capítulo sobre los ataques dirigidos se profundiza más en este tema. 11 I Symantec Website Security Solutions Plug-in Vulnerabilities by Month SITIOS WEB INFECTADOS En 2014, unos tres cuartos de los sitios web analizados por Symantec presentaban vulnerabilidades, una cifra muy similar a la del año anterior. Sin embargo, el porcentaje clasificado como «crítico» pasó del 16 al 20 %. La proporción de sitios con malware se redujo a uno de cada 1126 (en 2013, eran uno de cada 566). También disminuyó el total de ataques web bloqueados al día, pero solo en un 12,7 %, de lo que se deduce que el número de ataques por cada sitio web infectado fue mayor en 2014. Estas cifras se deben en parte a que algunos kits de herramientas de ataque web se utilizan en la nube con un modelo de software como servicio (SaaS). Los ataques ya no siempre provienen del malware de un sitio web infectado, sino que pueden realizarse con un kit de herramientas de ataque basado en SaaS que inyecte el código dañino con una etiqueta iframe de HTML o código JavaScript camuflado. La generalización de estos kits también explica que el número de nuevos dominios web con malware se haya reducido en un 47 % (de 56 158 en 2013 a 29 927 en 2014). Los kits de herramientas de ataque web analizan los equipos de las víctimas para buscar complementos vulnerables y, en caso de hallarlos, determinar el mejor método de ataque. Los basados en SaaS suelen encontrarse en servicios de alojamiento muy difíciles de identificar y desmantelar, con direcciones IP que cambian con rapidez y nombres de dominio que se generan de forma dinámica. Además, permiten controlar cuándo y cómo se llevará a cabo el ataque. Por ejemplo, para que ni los motores de búsqueda ni los analistas detecten el código dañino, puede especificarse como condición de ataque que se haya definido una cookie para el sitio web infectado. Los kits de herramientas de ataque web se analizan más detenidamente en otro apartado de este capítulo. Entre las diez categorías de sitios web más atacados destacan los sitios web de navegación anónima, que no aparecían en años anteriores. Como en otras ocasiones, los delincuentes se limitan a seguir la corriente. Hoy en día, cada vez más consumidores quieren navegar de forma confidencial sin que su proveedor de servicios de Internet controle lo que hacen. Principales vulnerabilidades sin resolver detectadas en los servidores web analizados Puesto Nombre 1 Vulnerabilidad POODLE (protocolos SSL y TLS) 2 Ataques de secuencias de comandos entre sitios 3 Compatibilidad con SSL v2 4 Compatibilidad con conjuntos de cifrado SSL poco seguros 5 Cadena de certificados SSL no válida 6 Detección de una cookie de sesión SSL cifrada sin el atributo «Secure» 7 Vulnerabilidad en el proceso de renegociación de los protocolos SSL y TLS 8 Vulnerabilidad relacionada con la divulgación de información por medio de la función PHP ‘strrchr()’ 9 Ataque http TRACE XSS 10 Tratamiento del error de OpenSSL ‘bn_wexpend()’ (vulnerabilidad sin especificar) Fuente: Symantec I Website Security Solutions Symantec Website Security Solutions I 12 Sitios web analizados que presentan vulnerabilidades Porcentaje de vulnerabilidades críticas 76 % 20 % -1 % +4 % 77 % 16 % +25 % +8 % 55 % 24 % Fuente: Symantec I Website Security Solutions Fuente: Symantec I Website Security Solutions 2014 2014 2013 2013 2012 2012 En 2014, 20 el 20 % de (1 lasinvulnerabilidades detectadas (una deoncada cinco) se consideraron críticas porque, caso de ser descubierIn 2014, percent 5) of all vulnerabilities discovered legitimate websites were considered critical,enthat could allow attackers tas, habrían permitido a un atacante acceder a datos confidenciales, alterar el contenido del sitio web o infectar los equipos de access to sensitive data, alter the website’s content, or compromise visitors’ computers. quienes visitaran sus páginas. Sitios web en los que se detectó malware 1 250 1 de cada 1 000 1 126 750 500 532 566 250 2012 Fuente: Symantec I Website Security Solutions 13 I Symantec Website Security Solutions Plug-in Vulnerabilities by Month 2013 2014 Tipos de sitios web más atacados en 2013 y 2014 Categorías atacadas con más frecuencia en 2014 Porcentaje del total de sitios web infectados en 2014 Categorías de 2013 Porcentaje en 2013 1 Tecnología 21,5 % Tecnología 9,9 % 2 Alojamiento 7,3 % Empresas 6,7 % 3 Blogs 7,1 % Alojamiento 5,3 % 4 Empresas 6,0 % Blogs 5,0 % 5 Sitios web de navegación anónima 5,0 % Sitios web ilegales 3,8 % 6 Ocio 2,6 % Comercio electrónico 3,3 % 7 Comercio electrónico 2,5 % Ocio 2,9 % 8 Sitios web ilegales 2,4 % Automoción 1,8 % 9 Sitios web temporales 2,2 % Educación 1,7 % 10 Comunidades virtuales 1,8 % Comunidades virtuales 1,7 % Puesto Fuente: Symantec | SDAP, Safe Web, Rulespace Ataques web bloqueados al mes, 2013 - 2014 900 Línea de tendencia (2013) 800 Línea de tendencia (2014) 700 600 Miles 500 400 300 200 100 E F Fuente: Symantec | SDAP M A M J J 2013 A S O N D E F M A M J J A S O N D 2014 Symantec Website Security Solutions I 14 Plug-in Vulnerabilities by Month Nuevos dominios web con malware 2014 2013 2012 2011 29 927 56 158 74 001 55 000 -47 % -24 % +34 % Fuente: Symantec | .cloud En 2014, se detectó un 47 % menos de dominios web con código dañino, lo que indica que se usan más kits de herramientas con un modelo de software como servicio (SaaS) basado en la nube. Ataques web bloqueados al día 2014 2013 2012 2011 496 657 568 734 464 100 190 000 -12.7 % +23 % +144 % Fuente: Symantec | SDAP El descenso del 12,7 % en la media de ataques bloqueados a diario se concentró principalmente en la segunda mitad de 2013. En 2014, el ritmo de disminución fue mucho menor. Aunque la mayoría de los sitios web siguen presentando vulnerabilidades, muchos de sus propietarios prestan menos atención a las evaluaciones de vulnerabilidad que a los análisis contra software malicioso. Sin embargo, prevenir es mejor que curar y, por lo general, quien infecta con malware un sitio web ha encontrado antes una vulnerabilidad que explotar. 15 I Symantec Website Security Solutions Los sitios web presentan tantas vulnerabilidades que resulta muy fácil atacarlos. En 2014, los delincuentes hicieron su agosto gracias a las vulnerabilidades relacionadas con la tecnología SSL y TLS, pero también empezaron a utilizar otras técnicas de distribución de malware, como las estafas en las redes sociales y el uso de publicidad dañina (malvertising), cuya incidencia va en aumento. Cinco principales herramientas de ataque, 2012 Cinco principales herramientas de ataque, 2013 8% 17 % 3% 7% 10 % 5 10 % 41 % 26 % 5 14 % 23 % 19 % 22 % Blackhole Otros Sakura G01 Pack Phoenix Blackhole Redkit Sakura Nuclear Styx Otros Coolkit Fuente: Symantec I SDAP, Wiki Fuente: Symantec I SDAP, Wiki Cinco principales herramientas de ataque, 2014 Cronología del uso de los cinco principales kits de herramientas de ataque, 2014 100 % 50 % 5 23 % 10 % 7% 5% 5% Sakura Nuclear Styx Orange Kit Blackhole Otros Fuente: Symantec I SDAP, Wiki 0% E F M A M J J A S O N D Otros Blackhole Orange Kit Styx Nuclear Sakura Fuente: Symantec I SDAP, Wiki Symantec Website Security Solutions I 16 Plug-in Vulnerabilities by Month PUBLICIDAD DAÑINA (MALVERTISING) En 2014, el ransomware y el malvertising cruzaron sus caminos. A lo largo del año, el número de internautas a los que se redirigió al sitio web de Browlock alcanzó cifras récord. Browlock es uno de los tipos de ransomware menos agresivos que existen. En lugar de infectar con malware el equipo de la víctima, utiliza JavaScript para impedir que cierre una pestaña del navegador. El sitio web determina la localización geográfica del internauta y lo redirige a una página en la que se solicita el pago de una multa a la policía local por visitar sitios pornográficos ilegales. Quienes usan esta técnica suelen comprar publicidad en redes legítimas con la intención de atraer visitas a su sitio web. El anuncio conduce a una página web pornográfica que, a su vez, lleva al sitio web de Browlock. El tráfico comprado con este sistema proviene de distintas fuentes, pero sobre todo de redes publicitarias de contenido pornográfico10. En realidad, para salir indemne de esta trampa basta con cerrar el navegador, pero si los delincuentes hacen un desembolso a cambio de este tipo de tráfico es porque hay gente que paga. Quizá se deba al sentimiento de culpabilidad, ya que para llegar a la página de Browlock hay que haber hecho clic en el anuncio de un sitio web pornográfico. Otros usos de la publicidad dañina La publicidad dañina no solo sirve para propagar ransomware. También puede conducir a las víctimas a sitios web desde los que se instalan troyanos. En algunos casos, los dispositivos se infectan mediante una descarga no autorizada, sin que sea necesario hacer clic en los anuncios. El malvertising tiene un gran atractivo para los ciberdelincuentes porque, si los anuncios se muestran en sitios web legítimos muy conocidos, puede atraer una gran cantidad de tráfico. Además, las redes publicitarias utilizan técnicas de segmentación muy precisas, lo que permite dirigir el engaño a víctimas concretas (por ejemplo, personas que hagan búsquedas relacionadas con servicios financieros). En ocasiones, las redes publicitarias legítimas se convierten en un medio al servicio de los delincuentes, cuya actividad no es fácil de detectar porque sus tácticas cambian con frecuencia. Por ejemplo, un anuncio inofensivo que lleve semanas publicándose para parecer fiable puede volverse dañino de repente. Por eso es importante que las redes publicitarias hagan análisis con regularidad, y no solo cuando se publica un anuncio nuevo. Para los propietarios de sitios web no es fácil protegerse del malvertising, ya que las redes publicitarias y sus clientes son ajenos a su control. Sin embargo, los administradores pueden elegir redes que, al restringir determinadas funciones, impidan que los anunciantes incluyan código dañino en sus promociones. Hay que documentarse y estudiar a fondo las características de cada red. Página web de Browlock en la que se exige el pago de una multa por haber visitado sitios web de pornografía ilegal11 10 11 http://www.symantec.com/connect/blogs/massive-malvertising-campaign-leads-browser-locking-ransomware Ibid 17 I Symantec Website Security Solutions ATAQUES DE DENEGACIÓN DE SERVICIO Los ataques distribuidos de denegación de servicio (DDoS) existen desde hace tiempo, pero ahora son más intensos y frecuentes.12 Se dirigen a empresas u organizaciones concretas en las que bloquean el acceso al correo electrónico, al sitio web o a otros sistemas esenciales, lo que interrumpe las operaciones y puede suponer grandes pérdidas. Por ejemplo, de enero a agosto de 2014, Symantec observó un aumento del 183 % en el número de ataques de amplificación DNS.13 Según una encuesta de Neustar, el 60 % de las empresas fueron víctimas de un ataque DDoS en 2013, y el 87 % sufrieron varios. 14 En algunos casos, se trata de una forma de extorsión, pero a veces los motivos son otros, como el hacktivismo, la venganza o el deseo de desviar la atención de otros ataques. Además, los interesados en realizar ataques DDoS recurren cada vez más al mercado negro de Internet, donde se pueden alquilar servicios de ataque de distinta duración e intensidad por entre 10 y 20 dólares. Tráfico de ataques DDoS observado por Symantec Global Intelligence Network Total de ataques DDoS Ataque de amplificación DNS 8 Ataque genérico de inundación de ICMP 7 MILLONES 6 Ataque genérico de denegación de servicio a través de inundación de SYN del TCP 5 4 3 2 1 0 E F M A M J J A S O N D Fuente: Symantec I DeepSight Symantec Global Intelligence Network 12 http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong 13 http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong 14 http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-continued-rise-of-ddos-attacks.pdf Symantec Website Security Solutions I 18 EL AUMENTO DE LAS VULNERABILIDADES Tim Gallo En los últimos años, se ha hablado mucho de la gestión de vulnerabilidades. Sin embargo, hay una cierta tendencia a considerarla como una incomodidad o como un proceso menos interesante que la respuesta a incidentes o la necesidad de seguir la pista de los posibles atacantes. En 2014, quedó claro que las vulnerabilidades debían pasar a un primer plano. Poodle, ShellShock y Heartbleed no solo fueron noticia en la prensa especializada, sino también en los medios de comunicación de masas. En todos estos casos, los procesos de gestión de vulnerabilidades resultaron insuficientes porque el origen del problema no era el acostumbrado. Últimamente, los ordenadores portátiles y los servidores están bien controlados porque empresas como Adobe y Microsoft notifican las vulnerabilidades más recientes con regularidad y tardan muy poco en sacar revisiones. Aunque seguirá habiendo vulnerabilidades que afecten a equipos y servidores, los procesos de notificación de incidencias y aplicación y gestión de revisiones han mejorado mucho. Con frecuencia, los sistemas operativos y los proveedores de aplicaciones aplican las revisiones de forma automática, así que es natural que los atacantes hayan cambiado de tácticas. Ahora, están volviendo a centrarse en buscar nuevas vulnerabilidades, y sus exhaustivas técnicas de análisis ya les han servido para encontrarlas en lugares que antes se consideraban seguros. Para ver lo que nos depara el futuro, detengámonos un momento en otra de estas vulnerabilidades, ShellShock. Durante más de 25 años, nadie reparó en esta función fallida (o error de diseño) del shell Bourne Again (BASH).15 Y, de repente, se descubrió que podría explotarse y se hizo pública su existencia. Shellshock ha formado parte de Internet durante una buena parte de la historia de esta. De hecho, no solo ha permitido atacar routers o servidores web de Linux, sino también Heartbleed incluso tiene su propio logotipo servidores de correo electrónico e incluso bots DDoS que utilizan el shell (es decir, cualquier componente basado en Unix que utilice BASH). Un shell de Unix —para quienes no conozcan la terminología— es una interfaz de usuario de la línea de comandos a través de la cual se interactúa con el sistema operativo. BASH es uno de los shells más usados en UNIX y LINUX. 15 19 I Symantec Website Security Solutions En los próximos años, posiblemente sigan apareciendo vulnerabilidades de este tipo por varias razones. En primer lugar, ya se ha visto que los atacantes no tienen pensado usar eternamente sus viejos trucos; ahora les interesa buscar nuevas vulnerabilidades en infraestructuras más antiguas que estén muy extendidas y les permitan ampliar el radio de ataque. Poodle, ShellShock y Heartbleed demostraron que algunos de los componentes básicos de la infraestructura de Internet no eran seguros, pero también que los desarrolladores emplean prácticas dudosas, como la reutilización del código. A veces, parte del código de una aplicación nueva se copia de otras aplicaciones existentes. Es algo que los desarrolladores han hecho desde siempre, pero también la causa de que existan vulnerabilidades en sistemas que, aparentemente, no tienen relación entre sí. Heartbleed es un perfecto ejemplo de lo que puede ocurrir cuando se reutiliza el código, aunque sea de manera legítima. El código de la biblioteca OpenSSL se consideraba fiable desde hacía mucho y no se analizaba con frecuencia porque se pensaba que era «un problema resuelto». Sin embargo, cuando se descubrió que no era así, los desarrolladores de todo el mundo tuvieron que arreglárselas para determinar si el código que habían reutilizado era vulnerable. acuse de querer lucrarse o de divulgar información de forma irresponsable. Sin embargo, es de esperar que también mejoren las medidas de seguridad y los métodos de resolución de problemas. Cualquier informático que se pase unas cuantas semanas sin dormir comprobará en sus propias carnes la importancia de ser previsor. Es vital que en toda la infraestructura se sigan las mismas directrices y los mismos procedimientos de configuración y aplicación de revisiones. Trasladar la infraestructura a la nube también ahorra tiempo al personal informático, que a menudo está desbordado con otras tareas. Ahora que las vulnerabilidades han vuelto con fuerzas renovadas, se está viendo que «detectar y solucionar» no es un buen enfoque. Para ser mejores profesionales de la seguridad, también hemos de pensar en cómo «proteger y responder» e «informar y evaluar». Tenemos que planificar mejor, optimizar los procedimientos de prueba, estar al tanto de lo que ocurre y conocer el entorno lo suficiente como para saber si la información es aprovechable. En Internet quedan muchos fallos por descubrir y, si queremos un futuro mejor, es nuestra responsabilidad estar atentos para responder a las vulnerabilidades más recientes de forma sistemática y programada. Por otro lado, han aumentado los programas de recompensas por la detección de errores, y los gobiernos han dejado de amenazar con penas de cárcel a quienes se dedican a destapar vulnerabilidades.16 Así pues, no solo hay mayores incentivos para buscar vulnerabilidades, sino que quienes las encuentran ya no temen que se les 16 http://www.wired.com/2013/03/att-hacker-gets-3-years Symantec Website Security Solutions I 20 CIBERDELINCUENCIA Y MALWARE 21 I Symantec Website Security Solutions RESUMEN 1 A juzgar por los precios del mercado negro, que se mantienen estables, la demanda de identidades robadas, malware y servicios relacionados con la ciberdelincuencia sigue siendo muy alta. 2 Aunque las vulnerabilidades se han reducido con respecto a 2013, su 3 En 2014 aparecieron 317 256 956 nuevos tipos de malware, un aumento 4 El ransomware se volvió más frecuente y peligroso, y hubo 45 veces más 5 número sigue aumentando. del 26 % respecto al índice de crecimiento del año anterior. casos de crypto-ransomware que en 2013. El número de bots fue un 18 % más bajo. Symantec Website Security Solutions I 22 INTRODUCCIÓN Todos los días, los phishers roban datos bancarios sirviéndose de mensajes de correo electrónico o sitios web falsos. Las redes de ordenadores infectados envían spam sin cesar y realizan ataques distribuidos de denegación de servicio. Y quienes son víctimas del ransomware —la peor de las suertes— no tienen manera de usar sus equipos porque alguien les ha cifrado los archivos. El correo electrónico sigue siendo eficaz para la práctica del phishing y para hacer envíos masivos de malware y spam, y cada vez más mensajes contienen código dañino. Además, en Internet existe una economía sumergida de compraventa de servicios, malware, tarjetas de créditos robadas y botnets. Las autoridades, en colaboración con empresas de seguridad como Symantec, hacen lo posible por desmantelar las botnets y arrestar a los culpables. Estos esfuerzos han reducido bastante los niveles de ciberdelincuencia, aunque tal vez no de forma duradera. La economía sumergida En los rincones más oscuros de Internet hay un mercado negro floreciente en el que se comercia con datos robados, malware y servicios de ataque.17 Además, estos mercados ilegales son cada vez más clandestinos (por ejemplo, solo permiten el acceso con invitación o utilizan la red de navegación anónima Tor18). Los precios fluctúan según la oferta y la demanda. En general, el correo electrónico se ha abaratado de forma considerable, la información de tarjetas de crédito se vende a un precio algo más bajo y los datos de cuentas de banca electrónica cuestan igual que antes. pero Symantec ha observado que cada vez están más profesionalizados. Todos los productos o servicios que dan un beneficio económico al comprador se cotizan a buen precio.19 Alquilar un kit de herramientas web que infecte a las víctimas con descargas no autorizadas supone un desembolso de entre 100 y 700 dólares estadounidenses por semana, con derecho a actualizaciones y asistencia a todas horas. El malware SpyEye, detectado con el nombre de Trojan.Spyeye y utilizado para atacar servicios de banca online, puede alquilarse seis meses a un precio de entre 150 y 1250 dólares, y los ataques distribuidos de denegación de servicio (DDoS) cuestan entre 10 y 1000 dólares al día.20 También se puede comprar malware, kits de ataque, información sobre vulnerabilidades y hasta lo que en inglés se denomina crimeware-as-a-service (toda la infraestructura necesaria para «ejercer» la ciberdelincuencia). Los delincuentes se reparten el trabajo y cada cual tiene sus especialidades. Hay quien crea virus y troyanos, quien distribuye malware, quien ofrece botnets y quien vende datos de tarjetas de crédito robadas. Algunos de estos mercados existen desde hace una década o más, Precios de los datos de tarjetas de crédito en el mercado negro de distintos países 17 http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services 18 Ibíd. 19 Ibíd. 20 Ibíd. 23 I Symantec Website Security Solutions Valor de la información vendida en el mercado negro Mil direcciones de correo electrónico robadas 0,50-10 USD Spam y phishing Datos de tarjetas de crédito 0,50-20 USD Compras fraudulentas Pasaportes escaneados 1-2 USD Robo de identidad Cuentas de servicios de videojuegos robadas 10-15 USD Adquisición de objetos virtuales valiosos Malware personalizado 12-3500 USD Desvío de fondos y robo de bitcoins Mil seguidores en una red social 2-12 USD El interés de los usuarios de la red en cuestión Cuentas de servicios en la nube robadas 7-8 USD Alojamiento de un servidor de comando y control (C&C) Envío de un millón de mensajes de spam a cuentas de correo electrónico verificadas 70-150 USD Spam y phishing Tarjeta SIM para móvil registrada y activada en Rusia 100 USD Fraudes Fuente: Symantec Symantec Website Security Solutions I 24 MALWARE A finales de 2013, se logró una pequeña victoria en la larga lucha contra el malware. Las autoridades rusas arrestaron a «Paunch», presunto creador del kit de ataque Blackhole y responsable de un gran número de infecciones en todo el mundo.22,23 Inevitablemente, desde entonces han surgido otros kits de ataque que han llenado el hueco de Blackhole. Como antes, gran parte del malware sigue estando diseñado para robar datos bancarios, pero en 2014 se atacaron nuevos mercados. Varias instituciones financieras japonesas fueron víctimas del troyano Snifula, dirigido al sector bancario , y el malware njRAT, surgido en Oriente Medio, golpeó los países de la zona.24 En octubre, solo el 7 % de los mensajes de correo electrónico con malware contenían enlaces dañinos, pero en noviembre eran ya el 41 % y el porcentaje siguió aumentando a principios de diciembre. En estas fechas, aumentó el número de mensajes basados en la ingeniería social (algunos de los cuales simulaban ser avisos de fax o mensajes de voz) con enlaces a dominios secuestrados y direcciones URL que llevaban a una página de destino con código PHP. Si el destinatario hacía clic en los enlaces, se abría un archivo dañino como Downloader.Ponik y Downloader.Upatre, dos de los más usados en este tipo de engaño. Ambos troyanos descargan malware en los equipos afectados, como el troyano Trojan.Zbot (también llamado Zeus), que se utiliza para robar información.25 En general, en 2014 el volumen de mensajes de correo electrónico utilizados para distribuir malware estuvo muy por debajo de las cifras récord alcanzadas en 2013. Nuevos tipos de malware (diferencia con respecto al año anterior) Fuente: Symantec I .cloud 317 256 956 251 789 458 2014 2013 +26 % En 2014 se crearon más de 317 millones de tipos de malware nuevos, un aumento de casi un millón al día. Pronto habrá en circulación 2000 millones de clases distintas (la cifra actual es de 1700 millones). Porcentaje de mensajes de correo electrónico con malware Fuente: Symantec I .cloud 12 % -13 % 25 % +2 % 23 % 2014 2013 21 http://en.wikipedia.org/wiki/Blackhole_exploit_kit 22 http://krebsonsecurity.com/2013/12/meet-paunch-the-accused-author-of-the-blackhole-exploit-kit/ 23 http://www.symantec.com/connect/blogs/snifula-banking-trojan-back-target-japanese-regional-financial-institutions 24 http://www.symantec.com/connect/blogs/simple-njrat-fuels-nascent-middle-east-cybercrime-scene 25 http://www.symantec.com/connect/blogs/malicious-links-spammers-change-malware-delivery-tactics 25 I Symantec Website Security Solutions 2012 Porcentaje de mensajes de correo electrónico con malware 1 de cada 244 1 de cada 2014 196 1 de cada 2013 291 2012 Fuente: Symantec I .cloud Mensajes de correo electrónico con malware que se valieron de enlaces en lugar de archivos adjuntos 60 % 50 % 40 % 30 % 20 % 10 % 0% J M M J S N J M 2012 Fuente: Symantec I .cloud M J S N J M 2013 M J S N 2014 En 2014, el 12 % del malware distribuido a través del correo electrónico se valió de enlaces en lugar de archivos adjuntos (en 2013, el porcentaje fue del 25 %). Proporción de correos electrónicos con virus, 2012–2014 100 1 de cada 150 200 250 300 350 400 J Fuente: Symantec I .cloud M M J 2012 S N J M M J 2013 S N J M M J S N 2014 Symantec Website Security Solutions I 26 RANSOMWARE En 2014, hubo más del doble de ataques de ransomware que en el año anterior (8,8 millones, frente a los 4,1 millones de 2013), pero aún más preocupante es el aumento de un tipo en concreto: el crypto-ransomware, que cifra los archivos de la víctima. Mientras que en 2013 se registraron 8274 casos de esta variedad de ransomware, solo un año después la cifra era 45 veces mayor: 373 342. mejor y prácticamente única defensa es tener copias de seguridad con las que restaurar los datos, a poder ser fuera de Internet. En 2013, el crypto-ransomware representaba tan solo el 0,2 % del ransomware total, equivalente a un caso de cada quinientos. Sin embargo, a finales de 2014, este porcentaje ya era del 4 % (uno de cada veinticinco casos). Hay muchas variedades de ransomware y ningún sistema operativo es inmune a ellas.26 Además, los delincuentes se salen con la suya con relativa frecuencia porque, si bien nadie debería pagar lo que piden, muchas empresas y particulares acaban haciéndolo porque quieren recuperar los archivos o los necesitan. Los ataques con ransomware son especialmente traumáticos para las víctimas, ya que cifran los datos del disco duro —fotos personales, trabajos escolares, proyectos, música, una novela a medias— y solicitan el pago de un rescate para desbloquear los archivos. La Número de ataques de ransomware entre 2013 y 2014 900 800 700 MILES 600 500 400 300 200 100 E F M A M J J A S O N D E 2013 Fuente: Symantec I Response 26 http://www.symantec.com/connect/blogs/windows-8-not-immune-ransomware-0 27 I Symantec Website Security Solutions F M A M J J 2014 A S O N D CRYPTO-RANSOMWARE El ransomware se duplicó de 2013 a 2014, pero Symantec ha observado algo más alarmante: la explosión del crypto-ransomware, cuyos casos se han multiplicado por más de 45.27 Existen variedades distintas, como Cryptolocker28, CryptoDefense29 y Cryptowall30, pero el método de ataque siempre es el mismo. Mientras que el ransomware tradicional bloquea el equipo y exige un rescate a cambio de desbloquearlo, el crypto-ransomware, mucho más dañino, cifra archivos personales y guarda las claves para descifrarlos en un sitio web externo. CryptoDefense, que se hizo público en marzo, ilustra muy bien la gravedad del crypto-ransomware y lo difícil que es hallar a los culpables. El malware se distribuye por correo electrónico, mediante archivos adjuntos que cifran los archivos de la víctima con claves RSA de 2 048 bits y la instan a visitar una página web de la red Tor31 en la que se solicita el pago del rescate en bitcoins. La infección no siempre se propaga de la misma manera, pero lo habitual es enviar un mensaje de correo electrónico con una imagen adjunta o un archivo que parezca una factura. A menudo, quienes ejecutan el crypto-ransomware y quienes lo entregan ni siquiera son las mismas personas. El envío forma parte de un servicio que revela una de las facetas más oscuras de la economía sumergida, en la que los delincuentes se ofrecen a infectar un número de equipos determinado a un precio fijo. Así es como funciona este tipo de engaño, lo que en la mayoría de los casos impide seguir la pista de los atacantes y les permite seguir delinquiendo. Nada de esto ocurriría si no fuera por el verdadero objetivo del engaño: el beneficio. Según los cálculos de Symantec, CryptoDefense habría reportado a los ciberdelincuentes más de 34 000 dólares estadounidenses en un mes.32 No es de extrañar, por tanto, que el crypto-ransomware se considere la forma de ciberdelincuencia más eficaz en la actualidad. Casos de crypto-ransomware entre 2013 y 2014 80 72 70 62 60 MILES 50 43 48 46 40 36 30 24 0,2 % a lo largo de 2013 20 10 E F M A M J J 2013 A S O N D 6 5 E F 10 12 9 M M A J J 2014 A S O N D Fuente: Symantec I Response En 2013, el crypto-ransomware representaba aproximadamente el 0,2 % del total de ataques de ransomware. A finales de 2014, la cifra había alcanzado el 4 %. http://www.symantec.com/connect/blogs/australians-increasingly-hit-global-tide-cryptomalware http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-99 29 http://www.symantec.com/security_response/writeup.jsp?docid=2014-032622-1552-99 30 http://www.symantec.com/security_response/writeup.jsp?docid=2014-061923-2824-99 31 Tor, un híbrido de software y red abierta, permite navegar de forma anónima y evitar el análisis de tráfico. No es estrictamente ilegal, pero sí permite a los delincuentes escudarse en el anonimato. 32 http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month 27 28 Symantec Website Security Solutions I 28 BOTS Y BOTNETS En 2014, el número de bots se redujo en un 18 % con respecto al año anterior, algo que no habría sido posible sin el trabajo del FBI, el centro europeo contra la ciberdelincuencia (EC3) de Europol y otros organismos internacionales —en colaboración con Symantec y otras empresas del sector tecnológico—. Uno de los mayores logros en la batalla contra los bots fue el desmantelamiento en 2014 de la botnet de Zeus Gameover Zeus, responsable de millones infecciones en todo el mundo desde su aparición en 2011.33,34 En los dos últimos años, la cooperación entre las autoridades y las empresas informáticas ha servido para acabar con varias botnets.35,36 Fuentes de actividad maliciosa: bots (2012–2014) País o región Puesto en 2014 por el n.º de bots Porcentaje de bots en 2014 Puesto en 2013 por el n.º de bots Porcentaje de bots en 2013 China 1 16,5 % 2 9,1 % España 2 16,1 % 1 20,0 % Taiwán 3 8,5 % 4 6,0 % Italia 4 5,5 % 3 6,0 % Hungría 5 4,9 % 7 4,2 % Brasil 6 4,3 % 5 5,7 % Japón 7 3,4 % 6 4,3 % Alemania 8 3,1 % 8 4,2 % Canadá 9 3,0 % 10 3,5 % Polonia 10 2,8 % 12 3,0 % Fuente: Symantec I GIN En 2014, China y Estados Unidos, dos de los países más poblados del mundo y con la mayor concentración de internautas, siguieron en cabeza en cuanto al número de bots, pero la primera le arrebató el primer puesto a los segundos —posiblemente, debido al desmantelamiento de la botnet de Zeus Gameover—. 33 http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network 34 http://krebsonsecurity.com/2014/06/operation-tovar-targets-gameover-zeus-botnet-cryptolocker-scourge/ 35 http://www.computerweekly.com/news/2240185424/Microsoft-partnership-takes-down-1000-cybercrime-botnets 36 http://www.computerweekly.com/news/2240215443/RSA-2014-Microsoft-and-partners-defend-botnet-disruption 29 I Symantec Website Security Solutions Número de bots -18 % 1,9 MILLONES 2,3 MILLONES -33 % 3,4 MILLONES 2014 2013 2012 Fuente: Symantec I GIN En 2014, el número de bots se redujo debido en parte a la «Operación Tovar», que acabó con la botnet de Zeus GameOver, utilizada para fraudes bancarios y para distribuir el ransomware CryptoLocker.37 Botnets que enviaron más spam en 2014 Porcentaje de spam enviado Mensajes aproximados de spam al día Países desde los que las botnets envían más spam Puesto n.º 1 Puesto n.º 2 Puesto n.º 3 KELIHOS 51,6 % 884 044 España 10,5 % EE. UU. 7,6 % Argentina 7,3 % DESCONOCIDO/ OTRO 25,3 % 432 594 EE. UU 13,5 % Brasil 7,8 % España 6,4 % GAMUT 7,8 % 133 573 Rusia 30,1 % Vietnam 10,1 % Ucrania 8,8 % CUTWAIL 3,7 % 63 015 Rusia 18,0 % La India 8,0 % Vietnam 6,2 % DARKMAILER5 1,7 % 28 705 Rusia 25,0 % Ucrania 10,3 % Kazajistán 5,0 % DARKMAILER 0,6 % 9596 Rusia 17,6 % Ucrania 15,0 % China 8,7 % SNOWSHOE 0,6 % 9432 Canadá 99,9 % EE. UU 0,02 % Japón 0,01 % ASPROX 0,2 % 3581 EE. UU 76,0 % Canadá 3,4 % Reino Unido 3,3 % DARKMAILER3 0,1 % 1349 EE. UU 12,7 % Polonia 9,6 % Corea del Sur 9,1 % GRUM 0,03 % 464 Canadá 45,7 % Turquía 11,5 % Alemania 8,5 % Nombre de la botnet Fuente: Symantec I .cloud 37 http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network Plug-in Vulnerabilities by Month Symantec Website Security Solutions I 30 ATAQUES DIRIGIDOS A OSX En los últimos años, Apple se ha dado cuenta de la importancia de proteger su sistema operativo frente a las amenazas más recientes y por fin ha incorporado un par de funciones de seguridad. XProtect analiza las descargas y las coteja con la lista de archivos dañinos de Apple para avisar al usuario si se detectan coincidencias. GateKeeper utiliza la firma de código como criterio para limitar el número de aplicaciones que pueden ejecutarse en equipos OSX. Hay varios grados de protección posibles: permitir únicamente las instalaciones realizadas desde el Mac App Store oficial; autorizar la instalación de aplicaciones de desarrolladores que Apple considere fiables; o autorizar la instalación de aplicaciones firmadas de cualquier desarrollador. Sin embargo, aunque estas medidas de seguridad para OSX ayudan a repeler las amenazas, tampoco son infalibles. Con las soluciones de seguridad basadas en firmas, siempre existe el riesgo de que las aplicaciones infecten los equipos antes de que se creen las firmas necesarias para bloquearlas. Además, existen aplicaciones dañinas con firmas de desarrollador falsas o robadas. En 2014, las amenazas dirigidas a OSX y a otros sistemas operativos fueron muy similares. Los navegadores se utilizaron para la propagación de troyanos, y amenazas conocidas como Flashback, que infectó más de 600 000 equipos Mac en 2012, siguieron causando estragos (dos variantes de este troyano ocuparon el tercer y el décimo puesto por número de ataques). Entre los ataques más habituales también se encuentran los que modifican la configuración DNS, la del navegador o los parámetros de búsqueda del equipo OSX. La existencia de malware en algunas aplicaciones de OSX piratas y la peligrosidad de estas quedó patente sobre todo en dos casos. El primer ejemplo fue el troyano OSX.Wirelurker, que ataca tanto a los equipos Mac con OSX como a los dispositivos iOS conectados a ellos. La amenaza se hizo noticia al descubrirse en 467 de las aplicaciones para OSX alojadas en una tienda no oficial ubicada en China. Para cuando Apple se dio cuenta y procedió a bloquearlas, ya se habían realizado 356 000 descargas. 38 http://www.thesafemac.com/iworm-method-of-infection-found/ 31 I Symantec Website Security Solutions Otro caso muy sonado fue el de OSX.Luaddit (o iWorm), que añadía los equipos infectados a una botnet de OSX. En este caso, la amenaza estaba oculta en copias pirata de productos comerciales como Adobe Photoshop, Microsoft Office y Parallels.38 Antes de conocerse el problema, miles de personas habían descargado estas versiones en sitios web de archivos Torrent. Los troyanos OSX.Stealbit.A y OSX.Stealbit.B, cuya finalidad es el robo de bitcoins, analizan el tráfico del navegador para hacerse con los datos de acceso a los principales sitios web de transacciones con esta moneda electrónica. El segundo se situó entre los cinco primeros puestos del ranking de amenazas para OSX en 2014. También causó estragos el troyano OSX.Slordu, que recopila información sobre los equipos infectados y, al parecer, es un puerto OSX de una conocida puerta trasera de Windows. OSX.Ventir, por su parte, se distinguió por su estructura, con componentes optativos para distintos fines: abrir una puerta trasera, registrar pulsaciones de teclas o instalar software espía. Los módulos descargados e instalados en OSX varían según el uso que el atacante quiera dar al equipo infectado. OSX.Stealbit.A, cuya finalidad es el robo de bitcoins, analiza el tráfico de del navegador para hacerse con los datos de acceso a los principales sitios web de transacciones con esta moneda electrónica. Tipos de malware para MAC OSX más bloqueados en dispositivos con este sistema operativo (2013-2014) Puesto Nombre Porcentaje de amenazas para Mac en 2014 Porcentaje de amenazas para Mac en 2013 Nombre 1 OSX.RSPlug.A 21,2 % OSX.RSPlug.A 35,2 % 2 OSX.Okaz 12,1 % OSX.Flashback.K 10,1 % 3 OSX.Flashback.K 8,6 % OSX.Flashback 9,0 % 4 OSX.Keylogger 7,7 % OSX.HellRTS 5,9 % 5 OSX.Stealbit.B 6,0 % OSX.Crisis 3,3 % 6 OSX.Klog.A 4,4 % OSX.Keylogger 3,0 % 7 OSX.Crisis 4,3 % OSX.MacControl 2,9 % 8 OSX.Sabpab 3,2 % OSX.FakeCodec 2,3 % 9 OSX.Netweird 3,1 % OSX.Iservice.B 2,2 % 10 OSX.Flashback 3,0 % OSX.Inqtana.A 2,1 % Fuente: Symantec I SDAP Symantec Website Security Solutions I 32 Plug-in Vulnerabilities by Month MALWARE EN SISTEMAS VIRTUALES La virtualización no ofrece ninguna garantía contra el malware. En la actualidad, ya hay tipos de malware que detectan si se están ejecutando en una máquina virtual y, en lugar de detenerse, alteran su modus operandi para reducir el riesgo de detección.39 Hasta hace poco, solo en torno al 18 % del malware detectaba si estaba ejecutándose en sistemas VMware, pero esta proporción se elevó al 28 % a principios de 2014.40 Esta función no solo sirve para eludir a los investigadores de seguridad. Una vez instalado en una máquina virtual, el malware podría pasar a otras máquinas virtuales del mismo equipo o infectar el hipervisor, con lo que sería mucho más peligroso y difícil de eliminar.41 De hecho, esta situación ya se ha dado con el malware W32.Crisis, que trata de infectar imágenes de máquinas virtuales guardadas en un equipo anfitrión.42 Para los responsables informáticos, estos ataques son especialmente preocupantes, ya que escapan a los sistemas de detección de intrusiones que analizan el perímetro de seguridad y a los firewalls que utilizan máquinas virtuales para aislar y detectar las amenazas en los llamados sandboxes. Además, no todas las máquinas virtuales están igual de protegidas que los clientes o servidores tradicionales, debido a la falsa creencia de que son inmunes al malware. Para que los planes de seguridad y el ciclo de aplicación de revisiones sigan siendo eficaces, las empresas deberían pensar en cómo proteger los equipos de red, los hipervisores y las redes definidas por software. http://www.symantec.com/connect/blogs/does-malware-still-detect-virtual-machines Ibíd. 41 http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/threats_to_virtual_environments.pdf 42 Ibíd. 39 40 33 I Symantec Website Security Solutions EXTORSIÓN DIGITAL: BREVE HISTORIA DEL RANSOMWARE Peter Coogan En 2014, el denominado crypto-ransomware fue noticia prácticamente todo el año. Mientras que el ransomware corriente se limita a bloquear los dispositivos, esta variante más nueva y virulenta cifra los archivos de datos y, en la mayoría de los casos, no permite recuperarlos. Sin embargo, el objetivo es el mismo en ambos casos: convencer a la víctima de que pague un rescate para librarse de la infección. Aunque el ransomware existe desde hace más de una década, su uso ha aumentado en los últimos años porque reporta más ingresos a los ciberdelincuentes que otras prácticas, como la creación de antivirus falsos. Podría decirse que, de los antivirus falsos, se ha pasado al ransomware y luego al crypto-ransomware, pero los creadores de malware nunca se duermen en los laureles y ya se empiezan a vislumbrar nuevos tipos de amenazas digitales. Los antivirus y el software de seguridad falsos son aplicaciones de pago que hacen creer a los usuarios que su equipo está infectado y que deben tomar medidas para remediarlo, cuando en realidad se trata de un engaño. Estos programas tienen una larga historia, pero vivieron su momento cumbre en 2009. Según un informe de Symantec, ese año se realizaron 43 millones de intentos de instalación de software de seguridad falso con 250 programas distintos, lo que supuso un coste de entre 30 y 100 dólares estadounidenses para cada una de las personas que compró software de este tipo.43 Se conoce como ransomware a un tipo de software malicioso que bloquea los equipos infectados, impide acceder a ellos y muestra a la víctima un mensaje de ingeniería social en el que se solicita un pago a cambio de desbloquearlos. En 2012, Symantec ya informó del auge de este fenómeno y de lo que se cobraba por eliminar las restricciones: de 50 a 100 EUR en Europa y hasta 200 USD en Estados Unidos.44 Desde que en 2013 se descubrió Trojan.Cryptolocker45, que reportó sustanciosos beneficios a quienes lo usaron, los creadores de malware han tratado de elaborar nuevos tipos de crypto-ransomware. En 2014, se observó un mayor número de cepas que empleaban nuevas plataformas y técnicas de evasión y presentaban características distintas, aunque también siguieron usándose otros métodos de extorsión ya conocidos. Trojan.Cryptodefense46 (también llamado Cryptowall) fue uno de los más prolíficos. Apareció a finales de febrero de 2014 y, en un principio, se comercializó con la denominación «CryptoDefense». Para evitar ser detectado, empleaba la red de anonimato Tor, el cobro en Bitcoins, el cifrado de datos con claves RSA de 2048 bits y medidas de presión para exigir el pago. Si la víctima se negaba a pagar los 500 USD/EUR del rescate solicitado en un principio, se le pedían otros 500 USD/EUR más. Sin embargo, pronto se descubrió que el tipo de cifrado elegido por los creadores del malware dejaba la clave privada en el sistema, lo que permitía al afectado salir indemne. Una vez descubierto esto, los autores solucionaron el error y recomercializaron el malware con el nombre de Cryptowall. Desde entonces, Cryptowall ha seguido evolucionando e incorporando nuevas armas como la elevación de privilegios, las técnicas de evasión de análisis o el uso de la red Invisible Internet Project (I2P) para garantizar una comunicación anónima. Cryptowall reportó un beneficio conocido de al menos 34 000 USD en su primer mes de existencia,47 y de más de un millón de dólares en seis meses según cálculos de los investigadores.48 Los creadores de ransomware siempre se han lucrado atacando PC de Windows, y lo normal es que sigan haciéndolo. Sin embargo, en 2014 empezaron a interesarse también por otras plataformas. La banda de ciberdelincuentes Reveton puso en circulación el ransomware Android.Lockdroid.G49, también llamado Koler, que atacaba los dispositivos Android de tres maneras distintas mediante un sistema de distribución del tráfico. Si la situación era propicia para el ataque (por ejemplo, si alguien estaba viendo un sitio web http://eval.symantec.com/mktginfo/enterprise/white_papers/b-symc_report_on_rogue_security_software_exec_summary_20326021.en-us.pdf http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/ransomware-a-growing-menace.pdf http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-99 46 http://www.symantec.com/security_response/writeup.jsp?docid=2014-032622-1552-99 47 http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month 48 http://www.secureworks.com/cyber-threat-intelligence/threats/cryptowall-ransomware/ 49 http://www.symantec.com/security_response/writeup.jsp?docid=2014-050610-2450-99 43 44 45 Symantec Website Security Solutions I 34 controlado por la banda con un navegador determinado), el tráfico se redirigía al tipo de ransomware más adecuado. Ahora el ransomware puede propagarse a través de cualquier plataforma. En Android, se usan técnicas de redirección que provocan la descarga de Android.Lockdroid.G; en Internet Explorer, se infecta a la víctima con el troyano Trojan.Ransomlock.G mediante el kit de ataque Angler50; y otros navegadores para Windows, Linux o Mac redirigen a los usuarios a Browlock51, otra forma de ransomware que utiliza las herramientas del propio navegador para bloquear el equipo y exigir un rescate. En junio de 2014, se descubrió el primer ransomware para Android capaz de cifrar archivos: Android.Simplocker52. Aunque la versión original estaba en ruso, un mes después ya circulaba otra en inglés (Android.Simplocker.B53) que se servía de la ingeniería social para hacerse pasar por el FBI. En octubre de 2014, salió a la luz Android.Lockdroid.E54 (Porndroid), que también solicitaba dinero a la víctima en nombre del FBI y, además, le enviaba una foto suya tomada con cámara del dispositivo. Posteriormente, surgieron otras variantes de Android.Lockdroid tipo gusano que se propagaban enviando mensajes SMS a los contactos de la libreta de direcciones del dispositivo infectado con el objeto de engañarlos mediante la ingeniería social. No contentos con los dispositivos móviles y decididos a encontrar otras fuentes de ingresos, los creadores de ransomware dieron con otro objetivo: los sistemas de almacenamiento conectado a red (NAS), en los que se almacena un gran número de archivos. Trojan.Synolocker55 (o Synolocker a secas) les permitió atacarlos aprovechando un defecto del software DiskStation Manager de Synology. Gracias a esta vulnerabilidad, hasta entonces desconocida, los delincuentes podían infiltrarse en los dispositivos, cifrar todos los archivos y pedir un rescate a cambio de desbloquearlos. Ahora existen soluciones que protegen los sistemas NAS, pero lo ocurrido demuestra que quienes se valen del ransomware buscan continuamente nuevos escenarios de ataque. Ransomware para Android «Porndroid» Pero ¿por qué cambia el ransomware con tanta rapidez? Los ciberdelincuentes suelen pedir rescates de entre 100 y 500 dólares estadounidenses, así que se trata de un negocio lucrativo. Además, en 2014 los bitcoins se convirtieron en el método de pago estándar para casi todo el ransomware nuevo, con lo que es fácil escudarse en el anonimato y blanquear fácilmente las ganancias. Según lo observado por Symantec, no solo ha aumentado el número de cepas de ransomware, sino también el ritmo de crecimiento en general. De 2013 a 2014, la incidencia del ransomware se incrementó en un 113 %. La aparición de nuevas variedades y los beneficios económicos hacen pensar que, lejos de desaparecer, esta práctica será aún más frecuente en el futuro. http://www.symantec.com/security_response/writeup.jsp?docid=2011-051715-1513-99 http://www.symantec.com/connect/blogs/massive-malvertising-campaign-leads-browser-locking-ransomware 52 http://www.symantec.com/security_response/writeup.jsp?docid=2014-060610-5533-99 53 http://www.symantec.com/security_response/writeup.jsp?docid=2014-072317-1950-99 54 http://www.symantec.com/security_response/writeup.jsp?docid=2014-103005-2209-99 55 http://www.symantec.com/security_response/writeup.jsp?docid=2014-080708-1950-99 50 51 35 I Symantec Website Security Solutions ATAQUES DIRIGIDOS Symantec Website Security Solutions I 36 RESUMEN 1 En 2014 se descubrieron aún más casos de ciberespionaje auspiciado 2 El malware cada vez está mejor diseñado porque los atacantes se están 3 Campañas como Dragonfly, Waterbug y Turla lograron infiltrarse en por el Estado. profesionalizando y usan técnicas avanzadas de ingeniería de software. sistemas industriales, embajadas y otros objetivos importantes. En 2014, el número de campañas de spear-phishing aumentó en un 8 %, 4 pero hubo menos ataques diarios porque los agresores se han vuelto más pacientes y dedican más tiempo a recabar información y planificar los ataques. 37 I Symantec Website Security Solutions INTRODUCCIÓN En 2014, Symantec analizó varios casos de ciberespionaje y recabó datos sobre las tácticas utilizadas por los agresores para infiltrarse en miles de empresas de todo el mundo que se creían a salvo. Las conclusiones son bastante alarmantes, ya que los ataques cada vez son más complejos. Imagínese que es responsable de seguridad de la información de un cuerpo diplomático de la Europa del Este. Corre el año 2014 y hay indicios de que un troyano de puerta trasera puede haber infectado los equipos de las embajadas de toda Europa. Ante la duda, decide acudir a una empresa de seguridad que le confirma sus peores sospechas. Al parecer, los empleados han sido víctimas de una campaña de spear-phishing, y la infección se ha propagado a través de mensajes de correo electrónico con troyanos. Gracias a la pericia de los atacantes y a la variedad de técnicas empleada (la explotación de vulnerabilidades de día cero, el envío de mensajes de correo electrónico y los ataques watering hole), el incidente ha pasado un tiempo inadvertido, y ahora que se ha descubierto ya hay más de 4500 equipos infectados en más de cien países.56 En realidad, esto no es una situación hipotética como le hemos hecho creer, sino la descripción del ataque Waterbug, similar a otros ataques dirigidos como Turla y Regin. 56 57 Por las víctimas elegidas y la complejidad de los métodos de ataque empleados, Symantec cree que los responsables son un grupo apoyado por algún Estado.57 Para hacer frente a ataques cada vez más estudiados, hay que extremar las medidas de seguridad informática y poner coto a la ciberdelincuencia. No solo hay que lidiar con quienes cuentan con el respaldo económico de algún Estado. También hay hackers que actúan movidos por el patriotismo, hacktivistas, extorsionistas, ladrones de datos y otros atacantes que usan técnicas similares pero con menos medios y de forma menos sofisticada. Los ataques realizados por correo electrónico siguen sin amainar, los perpetrados a través de Internet cada vez son más complejos y los espías usan más kits de ataque que combinan varias técnicas en un solo paquete. Aunque los ciberdelincuentes llevan muchos años usando estos kits, ahora también se usan como herramientas de ciberespionaje. http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/waterbug-attack-group.pdf Ibíd. Symantec Website Security Solutions I 38 CIBERESPIONAJE En 2014, los expertos de seguridad de Symantec estuvieron casi ocho meses estudiando a fondo Regin, uno de los tipos de malware de ciberespionaje más complejos que han existido jamás. Gobiernos, responsables de infraestructuras, negocios, investigadores y particulares han sufrido su azote y, en el caso de los ataques a empresas de telecomunicaciones, parece que el objetivo era escuchar las llamadas derivadas mediante su infraestructura.58 Regin es tan complejo que se instala disimuladamente en cinco fases y permite añadir o quitar funciones mediante un diseño estructurado en módulos. Aunque hay otros tipos de malware que comparten estas características (la carga en varias fases y la modularidad), Regin es una obra de ingeniería avanzada sumamente profesional. Tiene decenas de módulos para distintos fines, por ejemplo permitir el acceso remoto, hacer capturas de pantalla, robar contraseñas, controlar el tráfico de red o recuperar archivos borrados.59 Algo así solo puede ser fruto de meses o quizá años de desarrollo y de una inversión de recursos considerable. Además, su complejidad y su extrema eficacia en operaciones de vigilancia a largo plazo hacen pensar que es obra de un Estado nación. Turla —otra campaña de ciberespionaje estudiada por Symantec— demostró una laboriosidad comparable.60 En este caso, se recurrió al spear-phishing y a los ataques watering hole (que examinaremos más adelante) para arremeter contra los gobiernos y las embajadas de los países del antiguo Bloque del Este. Una vez instalado, Turla dio a los atacantes acceso remoto a los equipos infectados, permitiéndoles copiar y borrar archivos, conectarse a servidores y realizar otras actividades dañinas. Por el tipo de víctimas y la complejidad del malware, Symantec cree que los ataques también fueron obra de un grupo con apoyo estatal.61 La gran cantidad de recursos del grupo de ataque «Equation Group», recientemente descubierto,62 puso de manifiesto que quizá los ataques de espionaje de años anteriores (incluido 2014) fueran más especializados de lo que se pensaba. Además, el avance en las técnicas utilizadas por los grupos de espionaje ha impulsado un mercado negro en el que se venden ataques de día cero, código personalizado y otros métodos de ataque. Por si cabía alguna duda, el caso de Equation Group demuestra que los espías emplean los mismos métodos de desarrollo de software que las empresas legítimas y son igual de profesionales a la hora de diseñar ataques especializados. http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance http://www.symantec.com/en/uk/outbreak/?id=regin 60,61 http://www.symantec.com/connect/blogs/turla-spying-tool-targets-governments-and-diplomats 62 http://www.symantec.com/connect/blogs/equation-advanced-cyberespionage-group-has-all-tricks-book-and-more 58 59 39 I Symantec Website Security Solutions SEGURIDAD CIBERNÉTICA EN ENTORNOS INDUSTRIALES El aumento en el número de dispositivos conectados a Internet abre nuevas vías de ataque y aumenta el riesgo de sabotaje. Los sistemas de control industrial (ICS), utilizados en procesos de producción y servicios públicos de todo el mundo, son especialmente vulnerables, ya que muchos tienen conexión a Internet para que sean más fáciles de controlar. Vulnerabilidades descubiertas en los sistemas ICS/SCADA entre 2012 y 2014 90 80 70 75 13 60 9 50 39 40 35 7 30 14 Vulnerabilidades 12 Vendedores únicos 10 8 6 2 10 2012 2013 2014 En 2014, Symantec observó un aumento en el número de ataques a sistemas de control industrial. Por ejemplo, la campaña de ciberespionaje Dragonfly afectó a operadores de redes de distribución eléctrica, empresas generadoras de electricidad, operadores de oleoductos y fabricantes de equipos industriales.63 La mayoría de las víctimas se encontraban en Estados Unidos, España, Francia, Italia, Alemania, Turquía y Polonia. Aunque los ataques de Dragonfly a sistemas de control industrial recuerdan a Stuxnet (cuyo objetivo era el programa nuclear iraní), son menos destructivos; más que perseguir el sabotaje, se centran en el espionaje y el acceso persistente. Sin embargo, si el grupo que ideó los ataques tuvo medios para infiltrarse en importantes sistemas industriales, en teoría también podría orquestar ataques de mayor envergadura. El malware diseñado para esta campaña se adquiría en foros en ruso y se propagaba con una combinación de mensajes de spear-phishing y ataques watering hole realizados a través de Internet. Los ataques se dirigían primero a empresas pequeñas y peor protegidas para ir avanzando por la cadena de suministro hasta llegar a otras víctimas más importantes. 64 Fuente: Symantec I Deepsight 4 20 63 Vulnerabilidades descubiertas relacionadas con sistemas ICS y SCADA, y número de fabricantes afectados cada año Muchas empresas tienen dificultades para proteger los sistemas más antiguos, bien porque instalar las revisiones lleva un tiempo que no pueden permitirse perder, bien porque utilizan tecnologías internas o poco seguras. Por ejemplo, muchos sistemas de automatización industriales utilizan el protocolo OPC (OLE for Process Control),64 un estándar abierto que, aunque está muy bien documentado, es vulnerable al software falso porque apenas contempla la necesidad de mecanismos de cifrado, autenticación y seguridad en general. Uno de los objetivos de Dragonfly era, precisamente, recopilar información de los sistemas OPC de las empresas afectadas. Dragonfly dio un nuevo giro a los ataques watering hole, ya que el malware se instalaba a través de las actualizaciones de software descargadas de los servidores de los fabricantes. En general, los ataques watering hole aprovechan las vulnerabilidades de sitios web externos frecuentados por las víctimas para infectarlas con malware cuando los visitan. En el caso de Dragonfly, los atacantes se sirvieron de los servidores de actualización del software de los sistemas ICS —algo que no había ocurrido antes— para ir atacando a distintas empresas de la cadena de suministro. http://www.symantec.com/connect/blogs/dragonfly-western-energy-companies-under-sabotage-threat http://en.wikipedia.org/wiki/OLE_for_Process_Control Symantec Website Security Solutions I 40 MÉTODOS DE RECONOCIMIENTO PREVIOS AL ATAQUE Las campañas de spear-phishing y los ataques watering hole se basan en la ingeniería social, pero otros tipos de ataque prescinden del elemento humano y se centran en buscar puntos débiles en el perímetro de seguridad de las víctimas hasta que logran penetrar en la red. Estas «maniobras de reconocimiento» son cada vez más importantes para quienes quieren infiltrarse en la red de una empresa. Generalmente, el primer paso es obtener información sobre los sistemas para averiguar si presentan puntos débiles que puedan aprovecharse. Basta echar un vistazo a los principales ataques de día cero de 2014 para darse cuenta de la importancia de estas técnicas. La vulnerabilidad de día cero más usada fue, con diferencia, la CVE-2013-7331, que no permite acceder a un sistema vulnerable e infectarlo como suele ser habitual, sino que solo sirve para recabar información sobre una red: nombres de host, direcciones IP, nombres de rutas internas, etc. Un atacante que conozca todos estos datos podrá planificar fácilmente su próximo ataque. Además, la vulnerabilidad en cuestión tardó bastante en resolverse. En 2013 se le asignó un CVE, pero no se divulgó hasta febrero de 2014 y hasta septiembre de 2014 no se hizo pública una solución, lo que dejó a los atacantes 204 días para actuar. 41 I Symantec Website Security Solutions Pero ¿por qué no se corrigió antes? Como la vulnerabilidad no permitía controlar los equipos afectados, posiblemente se subestimó su gravedad y se pensó que no urgía tanto resolverla. Al darse cuenta, los ciberdelincuentes aprove charon para informarse sobre las redes que pretendían atacar y conseguir más fácilmente sus objetivos. Tal vez esto demuestre que el sector de la seguridad necesita prestar más atención a las amenazas que suponen un riesgo indirecto. Una vulnerabilidad que solo facilita información sobre una red, un equipo o un dispositivo suele considerarse menos grave que otra que tiene como consecuencia la elevación de privilegios. Sin embargo, puede ser igual de peligrosa si se utiliza para descubrir sistemas vulnerables que, de lo contrario, habrían pasado inadvertidos. ATAQUES WATERING HOLE REALIZADOS APROVECHANDO VULNERABILIDADES DE DÍA CERO La actividad de los hackers a sueldo apodados «Hidden Lynx» se detectó en septiembre de 2013, pero en 2014 el grupo aprovechó una vulnerabilidad de día cero bastante grave (CVE-2014-0332)65 para lanzar un ataque watering hole. Mientras el ataque permaneció activo, en todos los equipos que visitaban el sitio web afectado se abría una puerta trasera que permitía robar información o hacer ataques posteriores. El sector aeroespacial francés y varios sitios web japoneses también sufrieron ataques watering hole debido a otra vulnerabilidad de día cero (CVE-2014-1776), aunque en este caso no creemos que Hidden Lynx estuviera involucrado.66 Otro ataque watering hole aprovechó una vulnerabilidad de día cero de Adobe Flash (CVE-2014-0515) para atacar a quienes usaban otro programa de un fabricante legítimo. Las víctimas solo sucumbían al ataque si tenían instalados tanto Flash como el otro programa, lo que indica que habían sido cuidadosamente elegidas. En otro caso, el grupo de ciberespionaje Sandworm aprovechó una vulnerabilidad de Microsoft Windows sin detectar para instalar malware en organizaciones67 como la OTAN, en varios gobiernos (el de Ucrania y los de varios países occidentales) y en empresas energéticas y de telecomunicaciones. La plataforma Elderwood, identificada en 2012, aún sigue en activo. A principios de 2014, aprovechó tres nuevas vulnerabilidades de día cero para atacar.68 En 2014, se descubrieron 24 vulnerabilidades de día cero (prácticamente las mismas que en 2013, año en el que se batió una cifra récord). Aunque esto indique una cierta estabilización en el número de vulnerabilidades detectadas y explotadas, podría haber muchas más sin descubrir que solo los atacantes conocen. Para los atacantes, poder aprovechar una vulnerabilidad es importante por dos motivos. En primer lugar, las vulnerabilidades que aún no se han hecho públicas tienen muchísimo valor si pueden emplearse para obtener acceso remoto o para reconocer el terreno antes de un ataque. En segundo lugar, una vulnerabilidad puede reportar sustanciosos beneficiosos aunque el fabricante ya sepa que existe. Pueden pasar días, semanas o meses hasta que se hace pública una solución, e incluso más tiempo hasta que se adopta de forma generalizada. En el caso de las cinco vulnerabilidades de día cero más explotadas que fueron noticia en 2014, el plazo total transcurrido entre la fecha en que el fabricante hizo pública la vulnerabilidad y la publicación de una revisión fue de 295 días, frente a los 19 de 2013. Las revisiones tardaron una media de 59 días en aplicarse desde la fecha de publicación, en comparación con los cuatro que se había tardado en 2013. La vulnerabilidad de día cero más explotada en 2014, CVE-2013-7331, ya se había detectado y clasificado en 2013, pero no se divulgó hasta el año siguiente y el fabricante tardó otros 204 días en publicar una revisión. Las revisiones para la segunda y la tercera vulnerabilidades de día cero más explotadas también se hicieron esperar bastante (22 y 53 días, respectivamente; más que la media del año anterior). El periodo de exposición es algo que tienen muy en cuenta los grupos de ataque dedicados al espionaje. Por ejemplo, un sitio web utilizado para lanzar un ataque watering hole puede dejar de aprovechar una vulnerabilidad de día cero en cuanto el fabricante del software afectado la hace pública (aunque aún no exista una revisión para solucionarla). Los atacantes tienen tantos recursos a su disposición que, en lugar de seguir aprovechando una vulnerabilidad ya conocida, es posible que prefieran explotar otra que aún no se ha descubierto. http://www.symantec.com/connect/blogs/emerging-threat-ms-ie-10-zero-day-cve-2014-0322-use-after-free-remote-code-execution-vulnerabi http://www.symantec.com/connect/blogs/zero-day-internet-vulnerability-let-loose-wild 67 http://www.symantec.com/connect/blogs/sandworm-windows-zero-day-vulnerability-being-actively-exploited-targeted-attacks 68 http://www.symantec.com/connect/blogs/how-elderwood-platform-fueling-2014-s-zero-day-attacks 65 66 Symantec Website Security Solutions I 42 Vulnerabilidades de día cero 24 +4 % 2014 23 2013 +64 % 14 2012 Fuente: Symantec I Deepsight, SDAP, Wiki Datos sobre las cinco principales vulnerabilidades de día cero (tiempo necesario para publicar una solución y porcentaje de ataques realizados tras añadirse una firma) 19 días 4 días Tiempo de exposición total 2013 Tiempo medio necesario para hacer pública una solución 2013 +276 días +51 días 295 días 55 días Tiempo de exposición total 2014 Tiempo medio necesario para hacer pública una solución 2014 Fuente: Symantec I Deepsight, SDAP, Wiki Fuente: Symantec I Deepsight, SDAP, Wiki En 2014, el 57 % de los ataques realizados aprovechando las cinco principales vulnerabilidades sucedieron una vez añadida una firma (antes de transcurridos 90 días) pero antes de que el fabricante hiciera pública una solución. 57 % 2014 Puesto CVE Porcentaje en 2014 1 Microsoft ActiveX Control CVE-2013-7331 81 % 2 Microsoft Internet Explorer CVE-2014-0322 9,5 % 3 Adobe Flash Player CVE-2014-0515 7,3 % 4 Adobe Flash Player CVE-2014-0497 2,0 % 5 Microsoft Windows CVE-2014-4114 OLE <1 % En el caso de las cinco vulnerabilidades de día cero más explotadas, el periodo entre la fecha en que el fabricante hizo pública la vulnerabilidad y la publicación de una revisión fue de 295 días (en 2013, había sido de 19 días). La tecnología de protección de terminales de Symantec logró bloquear el 57 % de los ataques realizados aprovechando estas cinco vulnerabilidades en los primeros 90 días, incluso antes de que se hiciera pública una solución. 43 I Symantec Website Security Solutions Total anual de vulnerabilidades de día cero, 2006 – 2014 25 24 23 20 15 13 15 14 14 12 10 9 8 5 2006 2007 2008 2009 2010 2011 2012 2013 2014 Fuente: Symantec | SDAP 5 principales vulnerabilidades de día cero Tiempo medio para resolver un vendedor Tiempo de exposición total para las cinco vulnerabilidades indicadas 4 19 2013 59 2014 295 25 MILES DE ATAQUES DETECTADOS 81 % Microsoft ActiveX Control CVE-2013-7331 20 81 % 10 % Microsoft Internet Explorer CVE-2014-0322 15 10 7% Adobe Flash Player CVE-2014-0515 2% Adobe Flash Player CVE-2014-0497 Microsoft ActiveX Control <1 % Microsoft Windows CVE-2014-4114 OLE 5 0 25 50 75 100 125 150 175 200 225 250 275 300 N.º DE DÍAS TRANSCURRIDOS TRAS HACERSE PÚBLICA LA VULNERABILIDAD En 2014, se alargó el periodo de exposición a las vulnerabilidades de día cero más explotadas (el plazo transcurrido entre el momento en que se hace pública la vulnerabilidad y la fecha en que se facilita una revisión). Las vulnerabilidades CVE-2014-0322, CVE-20140515 y CVE-2014-4114 se aprovecharon para realizar ataques dirigidos, algunos de ellos relacionados con Hidden Lynx y Sandworm. Symantec Website Security Solutions I 44 LA IMPORTANCIA DE CONOCER LAS AMENAZAS Una empresa que quiera saber a qué peligros se exponen sus redes deberá hacer lo posible por informarse sobre las amenazas más recientes. Ni siquiera basta con invertir en la tecnología adecuada. Para saber quién corre riesgos, de qué forma y por qué, se necesita una estrategia que combine las mejores soluciones técnicas con sistemas de gestión de riesgos y recopilación de información sobre amenazas. Es fundamental entender qué riesgos existen porque, tarde o temprano, todas las empresas sufren ataques. 45 I Symantec Website Security Solutions Los ciberdelincuentes más avezados no solo usan kits para explotar las vulnerabilidades más antiguas, sino también las de día cero, así que es necesario poner el mayor número de barreras posible para malograr sus ataques. Los sistemas de obtención de información sobre amenazas resultan muy útiles en este sentido porque cotejan datos de toda la empresa y crean listas de incidentes sospechosos. Los empleados y sus competencias se someten a un análisis constante, pero también se evalúan los procedimientos, lo que permite tenerlos siempre al día, garantizar una respuesta óptima y evitar que la plantilla pierda aptitudes. No se convierta en el eslabón más débil de la cadena de suministro; recuerde que, si las empresas se blindan mejor, los atacantes tendrán esforzarse más. TÉCNICAS UTILIZADAS EN LOS ATAQUES DIRIGIDOS Tamaño de las empresas que fueron objetivo del spear-phishing, 2011 – 2014 Fuente: Symantec | .cloud Gandes empresas >2500 empleados Medianas empresas 251 a 2500 empleados Pequeñas empresas (SMB) 1 a 250 empleados 100 % 50 % 39 % 41 % 31 % 25 % 31 % 30 % 34 % 2012 2013 2014 50 % 19 % En 2014, el 41 % de los mensajes de spear-phishing se enviaron a grandes empresas. Los ataques de 2013 ya habían demostrado que hasta las pymes más pequeñas y anónimas también corren peligro. Los realizados en 2014 confirman que, muchas veces, se empieza atacando a pequeñas y medianas empresas que forman parte de la cadena de suministro de otras más grandes, ya que estas últimas suelen estar más protegidas. 32 % 18 % 0 2011 Riesgo relativo de los ataques de spear-phishing según el tamaño de la empresa Fuente: Symantec I .cloud, SRL Riesgo relativo en 2014 Porcentaje de riesgo relativo en 2014 Riesgo relativo en 2014 Porcentaje de riesgo relativo en 2013 Grandes empresas Más de 2500 empleados 1 de cada 1,2 83 % 1 de cada 2,3 43 % Empresas medianas 251-2500 empleados 1 de cada 1,6 63 % 1 de cada 3,5 33 % Pequeñas empresas 1-250 empleados 1 de cada 2,2 45 % 1 de cada 5,2 19 % En 2014, el 83 % de las grandes empresas fueron víctimas de campañas de spear-phishing, frente al 43 % de 2013. Symantec Website Security Solutions I 46 Diez sectores industriales en los que más se centraron los ataques de spear-phising, 2013 –2014 Producción Servicios - No tradicional 18 13 11 Servicios - Profesional Venta al por mayor 15 10 5 Transporte, comunicaciones, gas, ... 7 6 5 Administración pública Venta al detalle 20 14 Finanzas, aseguradoras e inmobilidarias En general, en 2014 el spearphishing afectó especialmente a las empresas de fabricación, que sufrieron uno de cada cinco ataques, o el 20 %. 20 13 2 Minería 1 1 Construcción 1 1 16 3 2013 5 10 15 2014 20 25 % Fuente: Symantec | .cloud Riesgo relativo de los ataques de spear-phishing según el sector Sector (2014) Riesgo relativo en 2014 Minería 1 de cada 2,3 Venta al por mayor Porcentaje de riesgo relativo en 2014 Porcentaje de riesgo relativo en 2013 Sector (2013) Riesgo relativo en 2013 43 Minería 1 de cada 2,7 37 1 de cada 2,9 34 Administración pública 1 de cada 3,1 32 Fabricación 1 de cada 3,0 33 Fabricación 1 de cada 3,2 31 Transporte, comunicaciones, electricidad, gas y servicios sanitarios 1 de cada 3,4 29 Venta al por mayor 1 de cada 3,4 29 Administración pública 1 de cada 3,4 29 Transporte, comunicaciones, electricidad, gas y servicios sanitarios 1 de cada 3,9 26 Finanzas, seguros y bienes raíces 1 de cada 4,8 21 Finanzas, seguros y bienes raíces 1 de cada 4,8 21 Venta al detalle 1 de cada 4,8 21 Servicios no tradicionales 1 de cada 6,6 15 Servicios no tradicionales 1 de cada 6,5 15 Construcción 1 de cada 11,3 8 Servicios profesionales 1 de cada 6,9 15 Agricultura, silvicultura y pesca 1 de cada 12,0 8 Fuente: Symantec | .cloud, SRL En 2014, el sector minero sufrió el mayor número de ataques. El 43 % de las empresas mineras (una de cada 2,3) fueron víctimas de un ataque o más a lo largo del año. La categoría «Minería» incluye empresas de extracción, explotación minera de metales y explotación de canteras de minerales. 47 I Symantec Website Security Solutions Número diario de mensajes de spear-phishing 73 83 -12 % 2014 -28 % 116 2012 2013 Fuente: STAR Malware Ops Aunque Symantec detectó un número algo menor de mensajes de spear-phishing, no hay indicios de que la intensidad de los ataques dirigidos también esté disminuyendo. Hubo más campañas por correo electrónico, y los mensajes emplearon métodos más sutiles para no ser detectados (por ejemplo, malware escrito para la ocasión o técnicas de ingeniería social). Campañas de spear-phishing 2014 Diferencia 2013 Diferencia 2012 Campañas 841 +8 % 779 +91 % 408 N.º de destinatarios 18 -20 % 23 -81 % 111 Ataques por campaña 25 -14 % 29 -76 % 122 Duración media de la campaña 9 días +13 % 8 días +173 % 3 días Fuente: Symantec I .cloud, SRL En 2014 hubo un 8 % más de ataques dirigidos relacionados con campañas de spear-phishing, aunque el número de mensajes diarios fue un 12 % más bajo. En general, los ataques de este tipo ya no son tan indiscriminados ni se envían a tantos destinatarios. Ahora los atacantes dedican más tiempo a planificar y coordinar los ataques (lo que se conoce como «reconocimiento»). Symantec también ha observado varios ataques dirigidos distribuidos en los que, aparentemente, han intervenido varios grupos. Aunque el número de mensajes sea bastante alto, no se reconoce como spam por las técnicas de distribución y planificación utilizadas. Nube de palabras de Spear-Phishing Palabras más usadas en los ataques de Spear-Phishing Fuente: Symantec I .cloud, SRL Symantec Website Security Solutions I 48 Riesgo relativo de los ataques de spear-phishing según el departamento 2014 Riesgo relativo en 2014 Fuente: Symantec I .cloud, SRL Porcentaje de riesgo relativo en 2014 Ventas y marketing 1 de cada 2,9 35 % Operaciones 1 de cada 3,8 27 % Finanzas 1 de cada 3,3 30 % I+D 1 de cada 4,4 23 % Informática 1 de cada 5,4 19 % Ingeniería 1 de cada 6,4 16 % Recursos humanos 1 de cada 7,2 14 % Otro 1 de cada 9,3 11 % Los empleados de ventas y marketing fueron los peor parados en 2014. Uno de cada 2,9 fue víctima del spear-phishing (o, lo que es mismo, alrededor del 35 % del personal de ambos departamentos). Riesgo relativo de los ataques de spear-phishing según el cargo 2014 Riesgo relativo en 2014 Fuente: Symantec I .cloud, SRL Porcentaje de riesgo relativo Jefe de equipo 1 de cada 3,8 26 % Empleado fijo 1 de cada 3,7 27 % Empleado en prácticas 1 de cada 3,9 26 % Directivo 1 de cada 5,4 19 % Empleado del departamento de asistencia 1 de cada 7,6 13 % Otro 1 de cada 9,3 11 % En 2014, los directivos fueron víctimas del spear-phishing con más frecuencia que otros cargos. Uno de cada 3,8 (el 26 %) lo fue al menos una vez. 49 I Symantec Website Security Solutions Media de ataques de Spear-Phishing al día, 2012-2014 250 225 200 175 150 125 100 75 50 25 0 E M Fuente: Symantec I .cloud M J S N E M M 2012 J S N E M 2013 M J S N 2014 Análisis de los mensajes de spear-phishing utilizados en ataques dirigidos (2013-2014) Puesto Tipo de archivo adjunto Porcentaje en 2014 Tipo de archivo adjunto Porcentaje en 2013 1 .doc 41,2 % .exe 31,3 % 2 .exe 24,0 % .scr 18,4 % 3 .scr 9,7 % .doc 7,9 % 4 .au3 8,7 % .pdf 5,3 % 5 .jpg 4,9 % .class 4,7 % 6 .class 3,6 % .jpg 3,8 % 7 .pdf 3,3 % .dmp 2,7 % 8 .bin 2,0 % .dll 1,8 % 9 .txt 1,5 % .au3 1,7 % 10 .dmp 1,1 % .xls 1,2 % En 2014, el 41 % de los archivos adjuntos utilizados en ataques de spear-phishing fueron archivos de Microsoft Office (un porcentaje que, por primera vez, superó el de ejecutables). Al menos el 35 % de los ataques de spear-phishing podrían evitarse si los adjuntos ejecutables y los salvapantallas se bloquearan en la pasarela de correo electrónico empresarial. Los archivos adjuntos con malware también podrían neutralizarse antes de llegar a la pasarela mediante un sistema de filtrado en la nube que identifique y elimine los ataques de spear-phishing antes de que lleguen a la red de la empresa. Fuente: Symantec I .cloud Symantec Website Security Solutions I 50 PROTECCIÓN DE SISTEMAS INDUSTRIALES Preeti Agarwal Los ataques dirigidos ya no son intentos de intrusión realizados por novatos, sino un arma de ciberespionaje esencial. Los sistemas de control industrial (ICS) se han vuelto un blanco muy apetecible, e incluso hay quien los ataca con la intención de desestabilizar la seguridad nacional. En vista de estos riesgos, los países están dándose cuenta de la necesidad de proteger mejor los sistemas ICS con la inversión y las medidas adecuadas. Los sistemas de control industrial controlan, supervisan y gestionan la infraestructura esencial de sectores relacionados con el suministro de energía eléctrica, el abastecimiento de agua y la gestión de aguas residuales, el petróleo y el gas natural, el transporte y otras actividades industriales. Algunos incluyen otros componentes, como sistemas de supervisión, control y adquisición de datos (SCADA), controladores lógicos programables (PLC) o sistemas de control distribuido (DCS). Últimamente, los ataques a sistemas ICS se han vuelto muy habituales. Según sus objetivos, que van desde el ciberespionaje hasta la inutilización del sistema, las repercusiones sociales y económicas pueden ser graves. Sin embargo, muchos no llegan a hacerse públicos para que no peligre la reputación de la víctima, lo que lleva a subestimar la gravedad del problema. En 2010, salió a la luz Stuxnet, una amenaza diseñada para atacar determinados sistemas SCADA y las instalaciones del programa nuclear iraní. Desde entonces, todos los años han surgido muchísimos tipos de malware de ataque, y 2014 no ha sido una excepción. Los responsables de Dragonfly, una campaña de ciberespionaje con distintos objetivos (sobre todo en el sector energético), consiguieron atacar varios sistemas ICS de gran importancia estratégica. Aunque no llegaron a realizar operaciones de sabotaje, hubieran podido hacerlo, lo cual habría alterado el suministro eléctrico de los países afectados. Más recientemente, Sandworm atacó la interfaz hombremáquina (HMI) de varios fabricantes conocidos con una campaña de malware de gran complejidad. Como estas interfaces están conectadas a Internet, los atacantes se sirvieron de ellas para explotar las vulnerabilidades del software ICS y, posiblemente, para reconocer el terreno y preparar otros ataques. El último incidente de 2014 fue el ataque a una fábrica de acero alemana cuyos altos hornos sufrieron graves daños a raíz de un ataque cibernético.14 Los ataques a sistemas ICS han evolucionado y se han vuelto más frecuentes, por lo que urge mejorar las medidas de protección. Una vez instalados, estos dispositivos tienden a utilizarse durante años y se aíslan o se protegen con protocolos internos y hardware especializado cuya verdadera seguridad se desconoce. Muchos de estos sistemas se crearon antes de que las empresas usaran tecnologías basadas en Internet, y en su diseño se tuvieron en cuenta aspectos como la fiabilidad, el mantenimiento y la disponibilidad, pero no tanto la seguridad. Sin embargo, hoy en día es necesario que estén conectados a la red de la empresa y que sean accesibles de forma remota, lo que deja al descubierto sus vulnerabilidades y cambia radicalmente la superficie de ataque. La mayoría de los ataques a sistemas ICS se producen porque en la infraestructura hay dispositivos clave con acceso a Internet que no están bien protegidos. Para permitir el acceso remoto, algunos elementos de los sistemas SCADA (con los que se supervisan plantas y equipos) utilizan la red empresarial para conectarse a Internet. Esto deja al descubierto la red de control y aumenta los riesgos de que alguien sin autorización acceda a los dispositivos o realice inspecciones, análisis o ataques de fuerza bruta. Algunos atacantes se sirven de las interfaces HMI para hacerse con el control de los dispositivos, ya que por lo general son accesibles desde la red empresarial. Alguien que aproveche una vulnerabilidad de día cero para atacar los hosts de una empresa podrá averiguar cuáles tienen acceso a la red de control y utilizar esta información para infiltrarse en los sistemas ICS. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile 69 51 I Symantec Website Security Solutions Otra opción es buscar una interfaz HMI con conexión directa a Internet, algo muy sencillo con cualquier motor de búsqueda. Una vez localizados los dispositivos de control, bastará con que estén mal configurados o presenten vulnerabilidades para lanzar un ataque. Ni siquiera hacen falta conocimientos especializados. Además de los puntos de entrada que acabamos de mencionar, los sistemas ICS y el software que utilizan tienen vulnerabilidades que dejan la puerta abierta a quien quiera aprovecharlas. Muchas aplicaciones web patentadas presentan problemas de seguridad que permiten realizar ataques de desbordamiento de búfer, inyección SQL o secuencias de comandos entre sitios. Además, si los métodos de autenticación y autorización son poco elaborados, el agresor podrá acceder a las funciones más importantes del sistema ICS. Por ejemplo, una autenticación descuidada en los protocolos ICS podría permitir realizar ataques de interposición «Man-inthe-Middle» como el reenvío o la suplantación de paquetes. También cabe la posibilidad de que el atacante envíe comandos no autorizados a controladores lógicos programables o información de estado falsa a las interfaces HMI. La lógica en escalera con la que se programan los PLC es un elemento esencial de los entornos ICS. Alguien que consiga infiltrarse en una estación de trabajo utilizada para crear y cargar dicha lógica podrá diseñar ataques con técnicas de ingeniería inversa. Para proteger los entornos ICS, se necesita un plan de seguridad exhaustivo en el que se definan los objetivos de seguridad de la empresa (qué estándares se usarán, qué leyes hay que cumplir, cuáles son los factores de riesgo y su repercusión en la empresa, y qué medidas paliativas se adoptarán si se produce un ataque). La seguridad debe estar integrada en todas las fases de los procesos industriales, desde la planificación hasta las operaciones cotidianas. También deberían separarse la red de control y la de la empresa, ya que así habrá menos probabilidades de que alguien use esta última para atacar. Sin embargo, muchos sistemas ICS tienen que estar conectados a la red empresarial por cuestiones prácticas. Si es así, habrá que limitar el número de puntos de acceso, protegerlos con un firewall y usar canales de comunicación seguros como una red privada virtual. Los entornos ICS están evolucionando, y está empezando a ser habitual que los fabricantes ofrezcan asistencia para el software de seguridad de los dispositivos de control en servidores SCADA y en estaciones de trabajo de ingeniería de uso general. Sin embargo, los controladores lógicos programables y los sistemas de control distribuido siguen usando sistemas operativos personalizados de determinados fabricantes. Una vez instalados, no toleran las interrupciones y tienen recursos limitados y código dependiente del tiempo, lo que limita su compatibilidad con las típicas soluciones de seguridad para sistemas informáticos empresariales. En realidad, no hay ninguna solución milagrosa que garantice plenamente la seguridad de los sistemas ICS. Lo mejor es ir protegiendo cada capa de forma integral: el perímetro de la red, los puntos de acceso a la red externa y a la red de la empresa, el nivel de la red y los niveles de las aplicaciones y los basados en hosts. Además, los dispositivos de control tendrían que estar diseñados para ser seguros y los fabricantes deberían verificar que lo sean antes de enviárselos al comprador. Todo apunta a que, a partir de ahora, se usarán más las tecnologías móviles, lo que permitirá acceder a las interfaces HMI y controlarlas a distancia. Aunque los dispositivos móviles ayudarán a mejorar la eficiencia administrativa, también crearán una nueva superficie de ataque. También es posible que surjan otras técnicas de infiltración en sistemas ICS y que se generalicen los kits de ataque, lo que aumentaría el número de incidentes. Como ya ocurrió con Stuxnet y sus derivados, las variantes de las primeras amenazas dirigidas a sistemas ICS usaban vectores y artefactos de ataque similares a sus antecesoras, protocolos ICS estándar y troyanos de uso general. Es muy probable que ya haya sistemas ICS que tengan instaladas amenazas ocultas que, pese a estar aletargadas ahora mismo, podrían activarse cuando los atacantes así lo decidan. Y también es posible que empiecen a descubrirse vulnerabilidades aún más graves en las infraestructuras y que haya quien las aproveche con fines dañinos. Symantec Website Security Solutions I 52 FUGAS DE DATOS 53 I Symantec Website Security Solutions RESUMEN 1 En comparación con el año anterior, en 2014 hubo menos «megafugas» (incidentes que dejan al descubierto más de diez millones de identidades). 2 El total de fugas de datos aumentó. 3 En el 49 % de los casos, quienes roban los datos son atacantes externos. 4 Los ataques a sistemas de puntos de venta se han vuelto más frecuentes y complejos. 5 El 57 % de quienes respondieron a una encuesta de Symantec declararon que les preocupa que sus datos corran peligro. 54 I Symantec Website Security Solutions INTRODUCCIÓN En 2014 se siguieron robando cantidades ingentes de información privada. En algunos casos, se atacó directamente a entidades bancarias u otras instituciones; en otros, los datos se obtuvieron de los sistemas utilizados en los puntos de venta de establecimientos comerciales. El banco estadounidense JPMorgan Chase reconoció haber sufrido uno de los mayores robos de datos de la historia, que afectó a 83 millones de cuentas (76 millones de hogares y siete millones de pequeñas empresas).70 En septiembre de 2014, Home Depot fue víctima del robo de 56 millones de números de tarjeta de crédito. Los sistemas utilizados en los puntos de venta de establecimientos comerciales siguieron siendo objeto de ataque. Staples, por ejemplo, sufrió el robo de un millón de registros de pago con tarjeta de crédito.71 Sin embargo, muchos de estos incidentes (tal vez la mayoría) no se detectan o no se hacen públicos.72,73 En agosto de 2014, casi doscientas fotos de famosos aparecieron publicadas en el sitio web 4chan. La gran difusión mediática de este incidente hizo cundir la alarma entre los consumidores, preocupados por la confidencialidad de sus datos. Apple aseguró que se habían realizado ataques dirigidos a determinadas cuentas y que el robo no podía atribuirse a un fallo de seguridad suyo.74 En 2014 hubo menos «megafugas» que en 2013, pero el total de robos de datos fue un 23 % más alto. Los datos personales y financieros siguen cotizándose a muy buen precio en el mercado negro, por lo que cabe esperar que los ciberdelincuentes sigan atacando a empresas de todos los tamaños para hacerse con botines de mayor o menor cuantía. La mayoría de estos robos no sucederían si las víctimas tuvieran una normativa de seguridad sólida, formaran a sus empleados y contaran con sistemas de cifrado, prevención de pérdidas de datos y detección de intrusiones. Total de incidentes 312 Fuente: Symantec I CCI +23 % 2014 253 +62 % 2012 2013 Fugas de datos que afectaron a más de diez millones de identidades 4 2014 -50 % 8 156 +700 % 2013 Fuente: Symantec I CCI 1 2012 Aunque en 2014 hubo menos «megafugas» (incidentes que dejan al descubierto más de diez millones de identidades), el total de fugas en general permaneció en los niveles récord de 2013, lo que podría indicar el comienzo de una fase de gran actividad en este sentido. http://www.reuters.com/article/2014/10/03/us-jpmorgan-cybersecurity-idUSKCN0HR23T20141003 http://staples.newshq.businesswire.com/press-release/corporate/staples-provides-update-data-security-incident http://www.insurancejournal.com/news/west/2014/03/07/322748.htm 73 http://www.ponemon.org/news-2/7 Symantec 74 https://www.apple.com/uk/pr/library/2014/09/02Apple-Media-Advisory.html 70 71 72 Website Security Solutions I 55 Principales causas de la fuga de datos, 2013 – 2014 80 2014 70 2013 Porcentaje 60 50 49 40 30 34 29 20 27 22 21 10 8 6 0 Hackers Hechos públicos accidentalmente Robo o pérdida del ordenador o el disco Robo interno Fuente: Symantec | CCI La mayoría de los robos (el 49 %, frente al 34 % de 2013) fueron consecuencia de un ataque. Sin embargo, otro 22 % se clasificó con la categoría «Divulgación accidental», y el 21 % se debió al robo o la pérdida de un ordenador o unidad. En estos dos últimos casos, si los datos se hubieran cifrado nadie habría podido robar los datos. Lo positivo es que el porcentaje de robos debidos a estas dos causas en 2014 fue inferior al 56 % de 2013. Filtraciones de datos a lo largo del año, 2013 – 2014 40 180 159 35 147 140 130 120 30 113 25 100 20 78 80 60 15 59 53 INCIDENTES IDENTIDADES EXPUESTAS (MILLONES) 160 43 10 40 32 23 20 12 3 6 8 J J 0 E F 2013 M A M 8 0,3 0,8 A S O N D 5 10 3 2 E F 2014 M 1 1 A M J J A S O 6,5 N 0,4 0 D Fuente: Symantec I CCI El número de identidades expuestas a raíz de un robo de datos disminuyó de forma considerable en 2014. La cifra de 2013 (552 millones) se redujo a 348 millones. 56 I Symantec Website Security Solutions Total de identidades afectadas 384 -37 % millones 552 93 +493 % millones millones 2013 2012 2014 Fuente: Symantec I CCI Número de identidades afectadas a consecuencia de cada incidente 1 116 767 2 181 891 604 826 2014 2013 2012 -49 % +261 % Fuente: Symantec I CCI Promedio de identidades afectadas a consecuencia de cada incidente 7000 +3 % 6777 2014 2013 -19 % 8350 2012 Fuente: Symantec I CCI A primera vista, parece que se ha reducido el número de identidades expuestas. El descenso se debe en parte a que hubo menos «megafugas» que dejaran al descubierto más de diez millones de identidades. También es posible que, en vista de la gravedad de los incidentes producidos a finales de 2013, las grandes empresas hayan aprendido la lección y hayan tomado medidas de seguridad que reduzcan el riesgo de fuga (por ejemplo, adoptar soluciones de prevención de pérdida de datos que hagan muy difícil robarlos por más que un intruso logre infiltrarse en la red). Aunque la importancia de estos factores es innegable, los datos recabados por Symantec dejan entrever otra posibilidad: un aumento en el número de empresas que no revelan la cantidad de identidades expuestas. En 2013, esta información no se divulgó en 34 de cada 253 fugas registradas (el 13 %), mientras que en 2014 la proporción fue de 61 de cada 312 (el 20 %). Dicho de otro modo, la magnitud de una de cada cinco fugas no llega a conocerse. No es fácil explicar de forma categórica por qué esta información no se hace pública. En algunos casos, es posible que las empresas afectadas no sean capaces de determinar el número de identidades expuestas. En otros, lo más probable es que se callen por miedo a dañar su imagen pública. Lo más preocupante es que esta tendencia podría indicar que muchos robos de datos no llegan a ponerse en conoci miento del gran público. Aunque algunos organismos públicos y sectores como el médico deben divulgar por ley estos incidentes, en la mayoría de los sectores no existe esta obligación. Algunas de las empresas que son víctima de un robo tal vez prefieran mantenerlo en secreto y proteger su reputación, y no se arriesgan a recibir sanciones por ello. Muchos gobiernos de distintos lugares del mundo ya están preparando leyes que regulen la divulgación de los robos de datos, así que esto podría cambiar en los próximos años. Symantec Website Security Solutions I 57 Sectores en los que se produjeron más incidentes Fuente: Symantec I CCI Puesto Sector 1 Sanidad 116 37,2 2 Venta al detalle 34 10,9 3 Educación 31 9,9 4 Gobierno y sector público 26 8,3 5 Finanzas 19 6,1 6 Programas informáticos 13 4,2 7 Hostelería 12 3,8 8 Seguros 11 3,5 9 Transporte 9 2,9 10 Arte y medios de comunicación 6 1,9 Número de incidentes Porcentaje de incidentes Principales tipos de información robada Fuente: Symantec I CCI Puesto Tipo (2014) 1 Nombres de personas 68,9 Nombres de personas 71,5 2 Números de identificación de carácter administrativo (p. ej., n.os de la seguridad social) 44,9 Fechas de nacimiento 43,1 3 Domicilios 42,9 Números de identificación de carácter administrativo (p. ej., n.os de la seguridad social) 39,5 4 Información financiera 35,5 Domicilios 37,5 5 Fechas de nacimiento 34,9 Historiales médicos 33,6 6 Historiales médicos 33,7 Números de teléfono 19,0 7 Números de teléfono 21,2 Información financiera 17,8 8 Direcciones de correo electrónico 19,6 Direcciones de correo electrónico 15,4 9 Nombres de usuario y contraseñas 12,8 Nombres de usuario y contraseñas 11,9 10 Información relacionada con planes de seguros 11,2 Información relacionada con planes de seguros 5,9 2014 % Tipo (2013) 2013 % Los nombres de personas, números de la seguridad social y domicilios fueron los tres principales tipos de información robada en 2014. Los robos de información financiera, que en 2013 constituían el 17,8 % del total de fugas, pasaron a representar el 35,5 % (el mayor incremento dentro de los diez principales tipos de información robada). 58 I Symantec Website Security Solutions LOS COMERCIANTES, EN EL PUNTO DE MIRA Los comercios interesan muchísimo a los atacantes y sufren cada vez más robos de información financiera. En 2014, el número de identidades expuestas fue mayor en el sector minorista que en ningún otro (el 60 % del total, frente al 30 % de 2013), un honor que es más bien todo lo contrario. La información financiera se ha convertido en el cuarto tipo de información robada con más frecuencia. En 2013, el 17,8 % de los datos robados la contenían, pero en 2014 esta cifra se elevó al 35,5 %. Sectores en los que se dejaron al descubierto más identidades Fuente: Symantec I CCI Puesto Sector Número de identidades afectadas 1 Venta al detalle 205 446 276 59,0 % 2 Finanzas 79 465 597 22,8 % 3 Programas informáticos 35 068 405 10,1 % 4 Sanidad 7 230 517 2,1 % 5 Gobierno y sector público 7 127 263 2,0 % 6 Redes sociales 4 600 000 1,3 % 7 Telecomunicaciones 2 124 021 0,6 % 8 Hostelería 1 818 600 0,5 % 9 Educación 1 359 190 0,4 % 10 Arte y medios de comunicación 1 082 690 0,3 % Principalmente, se roban datos de tarjetas de crédito o de débito, aunque también otros tipos de información financiera, como datos de cuentas bancarias o documentos con información fiscal. La venta por Internet está relacionada con bastantes incidentes, pero últimamente están multiplicándose los ataques a sistemas de puntos de venta. Los primeros ataques de este tipo comenzaron en 2005, pero en 2014 Symantec observó que había muchos más. Ahora son el principal método de robo de datos de tarjeta de crédito75 y, en 2013 y 2014, fueron la causa de algunas de las mayores fugas. Porcentaje de identidades afectadas Los sistemas de los puntos de venta son inseguros por varios motivos. No cifran los datos o usan un cifrado ineficaz, el software presenta vulnerabilidades y utilizan sistemas operativos obsoletos como Microsoft Windows XP, para el que se dejó de ofrecer asistencia en 2014. Además, fuera de Europa, el ritmo de adopción de las tarjetas de chip con PIN es muy lento. Se espera que la seguridad mejore en los próximos años gracias a nuevos métodos de pago como Apple Pay y a la generalización de las tarjetas con chip en países como Estados Unidos. Sin embargo, a corto plazo los ataques seguirán siendo habituales. Las empresas de pagos con tarjeta de crédito suelen detectar con rapidez los patrones de pago anómalos, y entre los propietarios de las tarjetas también hay personas atentas a ellos. Por esta razón, los delincuentes se abastecen continuamente de nuevos números de tarjeta que adquieren en los mercados de compraventa por Internet.76 75 76 http://securityresponse.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/attacks_on_point_of_sale_systems.pdf http://www.symantec.com/connect/blogs/demystifying-point-sale-malware-and-attacks Symantec Website Security Solutions I 59 LA IMPORTANCIA DE PROTEGER LOS DATOS CONFIDENCIALES Debido al aumento de los robos de datos en los últimos años, ahora los consumidores se preocupan más por su información privada. En nuestro informe sobre el estado de la privacidad en 2015 (State of Privacy Report 2015) publicamos los resultados de una encuesta realizada en la Unión Europea77 según la cual el 59 % de los participantes había vivido en carne propia algún incidente relacionado con la protección de los datos. Con «incidente» no solo nos referimos a aquellos casos en los que una empresa avisa a sus clientes de que ha sufrido un robo de datos, sino también a contratiempos como el pirateo de cuentas de correo electrónico, el robo de datos bancarios, el robo de identidades por Internet, los virus informáticos, la suplantación de identidades en las redes sociales o la respuesta a mensajes falsos o a estafas difundidas a través de Internet. El 57 % de quienes respondieron a la encuesta declararon que les preocupaba que sus datos corrieran peligro. Este dato pone de manifiesto la importancia de la seguridad de los datos para los consumidores. El 88 % la considera un factor decisivo para decantarse por una empresa —más que la calidad de un producto (que antepone el 86 %) o la atención al cliente (más valorada por el 82 %). Además, solo el 14 % de los encuestados no mostraron ningún tipo de reticencia a compartir sus datos con terceros. Al 47 % le disgusta hacerlo, y el 35 % exige que se le comunique de algún modo qué datos se comparten. Por otro lado, los atacantes se han vuelto más pacientes. Una vez que logran infiltrarse en una empresa, no actúan de inmediato, sino que dedican un tiempo a analizar la actividad de la red y los patrones y hábitos de conducta de los usuarios para elegir a las víctimas y hacerse pasar por ellas. Los ataques repentinos han dado paso a la paciencia y al robo progresivo de datos legítimos. Además, al pasarse un tiempo estudiando los ciclos de comportamiento, los atacantes tienen más facilidad para camuflar sus actividades y hacer que parezcan normales. Hoy en día, los límites del perímetro empresarial ya no están tan claros como antes, y los dispositivos móviles no hacen sino dificultar la situación. Además, cada vez más gente accede desde un dispositivo móvil a datos almacenados en la nube, lo cual es peligroso porque estos aparatos tienden a guardar las contraseñas en caché y, en caso de robo, el riesgo de que no estén cifradas es mayor que en un ordenador portátil. Las respuestas también indican que los encuestados están cambiando de hábitos y optando por la automoderación. Según las investigaciones realizadas por Symantec, más de la mitad (el 57 %) ya hace lo posible por no publicar datos personales en Internet. Pero hay otro dato que podría resultar fatídico para las empresas: uno de cada tres consumidores reconoció haber facilitado información falsa para protegerse. 77 http://www.symantec.com/content/en/us/about/presskits/b-state-of-privacy-report-2015.pdf 60 I Symantec Website Security Solutions ROBOS DE DATOS EN EL SECTOR MÉDICO Axel Wirth Los proveedores de servicios sanitarios están viéndose obligados a adoptar sistemas clínicos digitales y a usar registros electrónicos. El mercado así se lo exige y, además, dar el paso les permite prestar un mejor servicio, reducir los costes y asegurarse de cumplir la normativa. A esto hay que sumar el rápido aumento del volumen de datos, consecuencia del envejecimiento de la población (con el que muchas enfermedades se convierten en crónicas), los nuevos métodos de diagnóstico (que mejoran la calidad de los resultados) y el aumento del número de pacientes con derecho a recibir atención médica. Las infraestructuras informáticas cada vez son más complejas, ya que deben permitir incorporar toda la información que va acumulándose, facilitar su intercambio y ser compatibles con la prestación de nuevos servicios médicos y modelos de reembolso. Todo esto ha hecho que el sector médico sea más atractivo para los atacantes y corra un mayor riesgo de sufrir robos de datos, accidentales o no. En 2014, los robos de datos médicos aumentaron en un 23 %. La mayoría de ellos (a diferencia de otras fugas de datos) se deben a errores humanos o a robos de dispositivos que no siempre están relacionados con los datos que contienen. En el sector médico, la pérdida y el robo de dispositivos son la razón por la que suceden más incidentes de este tipo. Según el informe sobre el crimen cibernético de Norton, el 45 % de las fugas de datos que afectaron al sector médico obedecieron a estas causas (un 10 % más que el año anterior). Los casos de divulgación accidental de identidades debido a un error aumentaron en un 11 % con respecto a 2013. Sin embargo, el robo de historiales para la suplantación de identidades médicas, el fraude financiero o el uso ilegítimo de planes de seguros también es un problema cada vez mayor. Los ladrones están tan interesados en obtener datos personales e información médica confidencial que no dudan en infiltrarse en empresas del sector médico o en ofrecer dinero al personal interno a cambio de obtener copias electrónicas o impresas de historiales médicos. En 2014, el número de robos de datos perpetrados por personal interno fue más del doble que el año anterior, y los debidos al hacking aumentaron en un 82 %. 78 En la actualidad, los ataques más avanzados suelen dirigirse a sectores como el minorista (en el que es mas fácil robar grandes cantidades de registros electrónicos), y algunos atacantes recurren a actividades delictivas como la extorsión, el chantaje o el espionaje de famosos. Sin embargo, los ataques a todo tipo de empresas del sector médico —desde grandes centros de investigación universitarias hasta hospitales pequeños— se han disparado en todo el mundo y superan en número a los sufridos en otros sectores. Ni siquiera los centros médicos más pequeños y aislados están a salvo. En Estados Unidos, un hospital del sur de Illinois con tan solo 22 camas recibió un mensaje de correo electrónico con datos de pacientes robados. El remitente amenazaba con divulgar la información si no se pagaba un rescate.78 Aunque hay hospitales que tienen programas de ciberseguridad ya consolidados, muchos siguen viéndoselas y deseándolas para solucionar cuestiones básicas (por ejemplo, cómo cifrar los datos para que estén protegidos si alguien roba un dispositivo móvil, un ordenador portátil u otros soportes). Es frecuente que no se invierta lo suficiente en seguridad cibernética, algo que puede salir muy caro porque ahora los delincuentes usan ataques más elaborados y suelen poner más cuidado en elegir a sus víctimas. Por desgracia, en el sector médico casi nadie está preparado para afrontar los riesgos, ya se trate de hospitales, empresas farmacéuticas o de biotecnología, fabricantes de dispositivos médicos, aseguradoras médicas, organismos de salud nacionales u otras empresas con personal médico. Illinois hospital reports data blackmail (Un hospital de Illinois denuncia un chantaje relacionado con el robo de datos). PC World, 15 de diciembre de 2014: http://www.pcworld.com/article/2859952/illinois-hospital-reports-data-blackmail.html Symantec Website Security Solutions I 61 En Estados Unidos, el Instituto SANS, el Departamento de Seguridad Nacional, el FBI, y la FDA han dado la voz de alarma, pero el problema afecta a muchos otros países donde también se han producido incidentes. La información médica es un bien muy preciado en el mercado negro, y los delincuentes la usan para lucrarse de muchas maneras y por motivos muy diversos. Mientras que los números de tarjeta de crédito se venden a un precio de entre medio dólar y un dólar en el mercado negro, los datos personales y la información sobre seguros básica oscila entre los 10 y los 50 dólares81, 82 según lo completa que esté. A veces, el pack incluye tarjetas médicas de aseguradoras listas para usar, carnés de conducir y tarjetas de crédito. Los datos comercializados, mucho más detallados que los obtenidos por otras vías, suelen incluir información demográfica, documentos de identidad oficiales, cuentas bancarias, datos de tarjetas de crédito, datos de acceso a planes de seguros e información sobre la progresión de enfermedades y las características físicas del titular. Toda esta información puede servir para cometer delitos como la suplantación de identidad, el fraude financiero, la falsificación de recetas, la obtención de servicios médicos o la reventa de datos en el mercado negro. Además, alguien que conozca las características físicas de los pacientes podría tratar utilizarlas para obtener pasaportes, visados u otros documentos de identidad.79 La exhaustividad y variedad de los datos es un imán para los delincuentes. En el sector médico, el número de robos de datos es elevado y, además, está aumentando. Hasta hace poco, las empresas médicas lidiaban sobre todo con la pérdida o el robo de dispositivos, pero ahora sufren más ataques dirigidos. En los casos en los que llega a producirse un robo de datos, las consecuencias tanto para ellas como para sus pacientes son considerables. Lo habitual sigue siendo que la información se divulgue de forma accidental o porque alguien pierda un dispositivo, pero los robos realizados por atacantes externos y personal interno están aumentando con rapidez. Ante esta situación, el sector médico en su conjunto debe establecer normas y protocolos de actuación que cubran tanto el robo o la pérdida de dispositivos como los intentos de apropiación de datos para sacarles provecho económico. Para las víctimas del robo de identidades médicas, las consecuencias no son solo económicas. Los errores en los datos de un historial pueden influir en los diagnósticos y tratamientos o retrasarlos, suelen ser difíciles de corregir y, en algunas circunstancias, incluso pueden empeorar las perspectivas laborales de la persona afectada. Además, en los casos de fraude financiero la responsabilidad de la víctima es limitada, pero la protección frente al fraude médico y sus consecuencias a largo plazo es mucho menor.80 Medical identity theft proves lucrative in myriad ways (El robo de identidades médicas ofrece innumerables maneras de lucrarse). Fierce Health IT, 21 de octubre de 2014: http://www.fiercehealthit.com/story/medical-identify-theft-proves-lucrative-myriad-ways/2014-10-21?utm_medium=nl&utm_source=internal The Growing Threat of Medical Identity Fraud: A Call to Action (La suplantación de identidades médicas, un riesgo cada vez mayor ante al que hay reaccionar). Medical Identity Fraud Alliance (MIFA), julio de 2013: http://medidfraud.org/wp-content/uploads/2013/07/MIFA-Growing-Threat-07232013.pdf 81 Your medical record is worth more to hackers than your credit card (Para los hackers, su historial médico vale más que su tarjeta de crédito). Reuters, 24 de septiembre de 2014: http://www.reuters.com/article/2014/09/24/us-cybersecurity-hospitals-idUSKCN0HJ21I20140924 82 Stolen EHR Charts Sell for $50 Each on Black Market (Los gráficos robados basados en historias clínicas electrónicas se venden a 50 dólares en el mercado negro). MedScape, 18 de abril de 2014: http://www.medscape.com/viewarticle/824192 79 80 62 I Symantec Website Security Solutions ENGAÑOS EN LAS REDES SOCIALES Symantec Website Security Solutions I 63 RESUMEN 1 Quienes tientan a los usuarios de las redes sociales con falsas promesas (por ejemplo, ofreciéndoles productos para perder peso, sexo o dinero) lo hacen porque, con los programas de afiliación, cada clic y cada inscripción les reporta un beneficio. 2 Si, como sucede a menudo, la víctima utiliza la misma contraseña en varias redes, bastará con conseguir los datos de acceso a una para enviar mensajes no deseados desde todas ellas. 3 Los estafadores se han dado cuenta de la importancia de la «prueba social» y ahora se sirven de personas reales para difundir sus engaños, en lugar de utilizar redes de bots. 4 En muchos casos, el phishing explota el temor al hacking y a situaciones de alarma sanitaria, o bien utiliza como señuelo noticias escandalosas sobre famosos, ya sean verdaderas o falsas. 64 I Symantec Website Security Solutions INTRODUCCIÓN En 2014, los delincuentes hicieron suya la ley de la «prueba social», según la cual valoramos más aquello que otras personas aprueban o comparten. Por poner un ejemplo, si le damos a elegir a alguien entre un restaurante vacío y otro con una gran cola, lo normal es que prefiera esperar porque pensará que el que tiene más gente es mejor. Los hackers que se apropian de cuentas en plataformas como Snapchat lo hacen apoyándose en esta teoría, ya que la gente se fía más de los enlaces que publican las personas que conoce o de los productos que recomiendan, lo que hace que no adviertan el engaño del que están siendo objeto. Aunque en 2014 los estafadores mejoraron sus tácticas y empezaron a utilizar otras plataformas, gran parte de su éxito siguió debiéndose a la credulidad de sus víctimas, que cayeron en trampas muy simples y fáciles de evitar. En 2014, los consumidores tampoco fueron conscientes del valor de sus datos, y no se molestaron en comprobar si los sitios web en los que facilitaban su dirección de correo electrónico y otros datos de acceso eran de verdad legítimos. Symantec Website Security Solutions I 65 LAS REDES SOCIALES, TODO UN FILÓN PARA LOS ESTAFADORES A los delincuentes les gustan las multitudes, así que es lógico que frecuenten las redes sociales más conocidas en busca de víctimas a las que engañar. Últimamente, también han advertido el auge de las aplicaciones de citas y mensajería y han empezado a actuar en estas plataformas. Por ejemplo, el fallecimiento de Robin Williams hizo que mucha gente compartiera un supuesto vídeo de despedida que era, en realidad, una estafa encubierta. Para ver el vídeo (que nunca llegaba a mostrarse porque en realidad no existía), los usuarios tenían que compartirlo con sus amigos y rellenar una encuesta, descargar un programa o visitar un sitio web de noticias falso.83 Facebook, Twitter y Pinterest En 2014, los usuarios de las redes sociales compartieron más contenidos dañinos de forma manual sin sospechar que eran cómplices de los estafadores y que los vídeos, historias e imágenes publicados contenían enlaces a sitios web afiliados o infectados. El agravamiento de este problema fue uno de los grandes cambios del año. Cuadro de diálogo de Facebook en el que se invita a compartir un vídeo. El número de comentarios y las veces que se ha compartido son falsos. En el sitio web al que conduce el enlace se pide al usuario que instale un complemento de Facebook falso. Medios sociales, 2012-2014 Porcentaje 80 2012 81 70 2013 60 2014 50 56 40 30 20 23 10 18 10 0 Ofertas falsas Fuente: Symantec | Safe Web 83 70 7 5 Secuestro del botón «me gusta» 0 0 1 Secuestro de comentarios 3 2 1 Aplicaciones falsas 2 Contenidos compartidos de forma manual http://www.symantec.com/connect/blogs/robin-williams-goodbye-video-used-lure-social-media-scams 66 I Symantec Website Security Solutions En 2014, el 70 % de las amenazas que se propagaron en las redes sociales lo hicieron sirviéndose de los propios usuarios. El año anterior, este porcentaje había sido de un escaso 2 %. Cuando se comparten contenidos de forma manual, los delincuentes tienen el trabajo hecho porque las personas y sus redes se convierten en sus títeres sin saberlo. En otros casos, hace falta algo más de esfuerzo y dominar ciertas técnicas de hacking o secuestro. Por ejemplo, el likejacking y el comment jacking (literalmente, secuestro de «Me gusta» y de comentarios) incitan a la víctima a hacer clic en un botón para ver algo que le interesa. Aunque el texto del botón diga «Continuar» o «Confirmar», en realidad el usuario está comentando una publicación o indicando que le gusta, lo que aumenta la popularidad y el alcance. Por lo general, las víctimas dan la información sin pensárselo dos veces. El 68 % de los encuestados para un informe sobre aplicaciones móviles realizado por Norton se declararon dispuestos a facilitar distintos tipos de información personal a cambio de una aplicación gratis.86 En el caso que se ilustra en la imagen de abajo, hubo quien accedió a enviar 0,99 USD a cambio de recibir el dinero que ofrecían los supuestos ganadores de la lotería (que, desde luego, no llegaba nunca). Una cantidad tan pequeña no despierta sospechas, pero los estafadores no solo van juntando calderilla, sino que también consiguen datos personales.87 Instagram Estos engaños son muy frecuentes en Instagram, en parte porque la plataforma no dispone de un sistema de verificación de cuentas. En cuanto un usuario cae en la trampa, sus seguidores ven la imagen publicada y corren la misma suerte. La plataforma de publicación de imágenes Instagram tiene más usuarios activos que Twitter y es un importante canal de marketing para las marcas.84,85 En 2014, el afán de lucro de los delincuentes les llevó a crear cuentas falsas y a hacerse pasar por empresas para publicar ofertas en su nombre. En un caso, se crearon cuentas falsas de personas que, supuestamente, habían ganado la lotería y estaban dispuestas a compartir el premio con quien empezara a seguirlas. En otra ocasión, los estafadores se hicieron pasar por marcas conocidas que ofrecían vales-regalo a los usuarios a cambio de seguir la cuenta falsa y facilitar sus datos personales en los comentarios (p. ej., una dirección de correo electrónico). Una vez que una cuenta falsa tiene suficientes seguidores, sus creadores le cambian el nombre, la foto y la biografía para que, cuando se descubra el engaño, la gente no pueda identificarla y denunciarla. A continuación, la cuenta modificada con todos sus seguidores se vende al mejor postor. Lo habitual es que poco después aparezca un nuevo perfil similar al primero y el propietario diga que su cuenta original había sido «pirateada» y, de este modo, el proceso vuelve a comenzar. Cuentas de usuarios de Instagram que se hacían pasar por ganadores de la lotería88 http://blog.instagram.com/post/104847837897/141210-300million https://investor.twitterinc.com/releasedetail.cfm?ReleaseID=878170 86 Image from: http://www.symantec.com/connect/blogs/instagram-scam-lottery-winners-impersonated-offer-money-followers 87 http://www.slideshare.net/symantec/norton-mobile-apps-survey-report 88 http://www.symantec.com/connect/blogs/instagram-scam-lottery-winners-impersonated-offer-money-followers 84 85 Symantec Website Security Solutions I 67 Plataformas de mensajería 2014 golpeó con dureza a Snapchat, la aplicación social en la que las imágenes y los vídeos enviados se autodestruyen a los diez segundos de recibirse. En octubre, varias cuentas fueron pirateadas y algunos usuarios recibieron un mensaje de amigos suyos que contenía un enlace relacionado con pastillas adelgazantes. Según Snapchat, los atacantes habían robado los datos de acceso a otro sitio web, y solo habían logrado infiltrarse en Snapchat porque los propietarios de las cuentas afectadas usaban la misma contraseña para distintos servicios.89 una aplicación externa no aprobada que resultó ser la causa del problema. Por lo general, las redes sociales más nuevas cuentan con políticas de seguridad y confidencialidad imperfectas, y los usuarios empeoran la situación al usar la misma contraseña en varias plataformas y al buscar aplicaciones sin verificar que ofrezcan funciones complementarias. A menos que los usuarios extremen las precauciones, seguirán siendo víctimas del secuestro de cuentas de las plataformas más populares del 2015. Los servicios de simplificación de direcciones URL son muy útiles para los usuarios de las redes sociales, pero también para los spammers, ya que camuflan el nombre de dominio del sitio web. En el caso de bit.ly, con tan solo añadir el signo «+» al final del enlace, tanto los spammers como sus afiliados tienen acceso a estadísticas sobre clics y otros datos demográficos. Los enlaces abreviados no solo se envían por correo electrónico; también es frecuente incluirlos en mensajes SMS. Y algunos tipos de spam modernos se propagan a través de las redes sociales. En octubre, Symantec fue testigo de un incidente conocido en Internet como «the snappening», a raíz del cual empezaron a publicarse en Internet imágenes de Snapchat que deberían haberse borrado. Al parecer, algunos usuarios archivaban sus fotos de Snapchat con Cuenta de usuario legítima utilizada para enviar spam a los amigos de la víctima. Snapchat reaccionó con rapidez y avisó a los afectados poco después. 3 2 1 19 enero, 2015 24 enero, 2015 29 enero, 2015 Clics obtenidos con la dirección URL incluida en el mensaje de spam de Snapchat del ejemplo anterior 89 http://www.symantec.com/connect/blogs/hacked-snapchat-accounts-use-native-chat-feature-spread-diet-pill-spam 68 I Symantec Website Security Solutions Estafas en sitios web pornográficos o de contactos El contenido sexual siempre ha estado muy ligado a la ciberdelincuencia, y 2014 no fue ninguna excepción. En 2014, las estafas relacionadas con material de esta índole empezaron a afectar a aplicaciones de citas como Tinder y servicios de mensajería como Snapchat y Kik Messenger. En todos estos casos, los estafadores eran miembros de un programa de afiliación que les reportaba una comisión cada vez que alguien hacía clic en un enlace y se inscribía en un sitio web externo.90 El contenido sexual suele ser un reclamo eficaz. En menos de cuatro meses, una campaña relacionada con el sitio web blamcams.com se tradujo en casi medio millón de clics en siete direcciones URL, una cifra muy jugosa que benefició a dos tipos de estafadores: los que cobraban comisiones de programas de afiliación y los que usaban enlaces a sitios de webcams falsos para robar datos de tarjetas de crédito.92 Unos programas de afiliación remuneran cada clic, mientras que otros exigen que la víctima se inscriba en un sitio web y facilite los datos de su tarjeta de crédito. Algunos sitios web pagan seis dólares por cada inscripción y hasta sesenta si alguien se suscribe a un servicio premium91, lo que permite a los ciberdelincuentes obtener pingües beneficios (profundizaremos en este tema más adelante, en el apartado «Los programas de afiliación, el verdadero motor del engaño en las redes sociales»). Normalmente, se empieza mostrando un perfil de una joven atractiva que propone a la víctima un encuentro sexual, la invita a ver grabaciones íntimas en vivo o se ofrece a enviarle mensajes de texto o imágenes de naturaleza sexual (lo que se conoce como sexting). En Tinder, algunas fotos de perfil ofrecían servicios de prostitución superponiendo texto a la propia imagen, para así evitar los filtros de correo no deseado. Los interesados tenían que hacer clic en las imágenes o visitar un sitio web afiliado, pero ni una ni otra opción servía de nada porque, en realidad, las supuestas chicas eran bots, y las fotos insinuantes un señuelo para promocionar un servicio inexistente. Mensajes de falsas “cam-girls” que aparecen como chats nuevos en Kik Messenger Perfiles falsos de Tinder en los que se ofrecían falsos servicios de prostitución93 http://www.symantec.com/connect/blogs/adult-webcam-spam-all-roads-lead-kik-messenger http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app 92 http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app 93 http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app 90 91 Symantec Website Security Solutions I 69 Código dañino en las redes sociales Aunque la mayoría de las estafas están relacionadas con programas de afiliación que pagan por conseguir clics e inscripciones, una de las que afectó a Facebook en 2014 fue diferente. En este caso, el objetivo de los atacantes era redirigir a los usuarios al kit Nuclear para hacerse con el control de los equipos y, seguidamente, utilizarlos para enviar spam y descargar archivos dañinos.94 Por precaución, todo el mundo debería sospechar de los enlaces sensacionalistas que publican sus amigos y, en lugar de hacer clic, informarse directamente en medios más fiables. El avance de las redes «antisociales» Hoy en día, muchos ven con malos ojos los programas de vigilancia gubernamentales o la cantidad de información que se comparte con los proveedores de servicios de Internet. Quizá por eso haya surgido un nuevo tipo de red social basado en el secretismo, la confidencialidad y el anonimato. Aplicaciones como Secret, Cloaq, Whisper, ind.ie y Post Secret son un hervidero de chismes, confidencias y, a veces, otras manifestaciones de la cara más oscura del ser humano. Hay quien piensa que, en la próxima fase de la evolución de las redes sociales, el secretismo desempeñará un papel fundamental.95, 96 Sin embargo, para los más críticos, 4chan y otros foros anónimos son un refugio de trolls, acosadores y delincuentes.97 Decididas a salvarse de la quema, las redes sociales tradicionales, como Twitter y Facebook, se han vuelto más transparentes y han pulido sus políticas de confidencialidad. Por ejemplo, Facebook ha empezado a hacer público el número de solicitudes de datos gubernamentales que recibe,98 Twitter está planteándose introducir un «modo susurro» para enviar mensajes privados;99 y Google ha mejorado el cifrado de Gmail.100 Aunque el anonimato tiene sus atractivos para algunas personas, no hay que olvidar los riesgos que plantea. Algunas empresas tienen regulado al milímetro lo que pueden y no pueden hacer los empleados en Internet, pero muchas aún están adaptándose a estos nuevos entornos en los que cualquiera puede expresarse como le plazca con impunidad. La normativa sobre comunicación electrónica tiene que cubrir estos usos, y deben adoptarse tecnologías que detecten posibles infracciones. La solución no tiene por qué ser prohibir el acceso a estas redes, pero es importante controlar cómo se utilizan. http://www.symantec.com/connect/blogs/facebook-scam-leads-nuclear-exploit-kit http://www.wired.com/2014/02/can-anonymous-apps-give-rise-authentic-internet/ 96 http://www.technologyreview.com/review/531211/confessional-in-the-palm-of-your-hand/ 97 Algunas de estas críticas se analizan en http://es.wikipedia.org/wiki/4chan (y, de forma más detallada, en la versión en inglés del artículo: http://en.wikipedia.org/wiki/4chan). 98 https://www.facebook.com/about/government_requests 99 http://thenextweb.com/twitter/2014/04/30/twitter-ceo-dick-costolo-whisper-mode-encourage-friends-privately-discuss-public-conversations/ 100 http://techcrunch.com/2014/03/20/gmail-traffic-between-google-servers-now-encrypted-to-thwart-nsa-snooping/ 94 95 70 I Symantec Website Security Solutions PHISHING Mensajes de correo electrónico que son intentos de phishing (sin incluir los casos de spear-phishing) 1 de cada 1000 965 750 500 250 414 392 2012 2013 2014 Fuente: Symantec I .cloud En 2014, uno de cada 965 mensajes de correo electrónico fueron intentos de phishing (aunque la proporción fue menor de junio a septiembre). El año anterior, lo habían sido uno de cada 392. Hacia finales de año, el número de ataques de phishing aumentó tras conocerse que se habían robado y publicado varias fotos de famosos desnudos. Los phishers siempre se han interesado por los ID de Apple, pero justo después de este incidente tan mediático enviaron más mensajes relacionados con la seguridad de las cuentas de iCloud, ya que sabían que en ese momento se les prestaría más atención. Tasa de phishing, 2012–2014 200 400 600 1 de cada 800 1000 1200 1400 1600 1800 2000 2200 E Fuente: Symantec I .cloud M M J 2012 S N E M M J 2013 S N E M M J S N 2014 Symantec Website Security Solutions I 71 La botnet Kelihos también aprovechó la situación para enviar mensajes en los que se informaba al destinatario de una compra realizada con su cuenta de iCloud, pero desde un dispositivo y una dirección IP inusuales. Acto seguido, se instaba a la víctima a verificar urgentemente su ID de Apple haciendo clic en un enlace. La página de destino, que se hacía pasar por el sitio web de Apple, era un clon creado para robar ID de Apple y contraseñas que luego se revendían o utilizaban con fines ilegítimos.101 A lo largo de 2014, los delincuentes emplearon variaciones de esta técnica para intentar apropiarse de datos de acceso a las redes sociales, al correo electrónico y a servicios bancarios. Los orígenes del sitio web suelen camuflarse para que los navegadores no muestren advertencias de seguridad. En 2014 los ciberdelincuentes fueron aún más lejos y utilizaron el estándar de cifrado avanzado AES, que dificulta el análisis del sitio web porque el contenido utilizado para el phishing forma parte del texto cifrado ilegible. Así es más fácil engañar a las víctimas y actuar sin dejar rastro, ya que es menos probable que el software de seguridad y los navegadores muestren advertencias que alerten de la peligrosidad del sitio.103 En la mayoría de los casos, se sirvieron de mensajes de correo electrónico o direcciones URL publicadas en las redes sociales. En estas últimas, los enlaces suelen estar relacionados con noticias de actualidad (el virus del ébola, famosos envueltos en algún escándalo u otros sucesos llamativos), y se pide al usuario que vuelva a facilitar sus datos de acceso para leer un artículo o ver un vídeo. Las noticias también se usan como señuelo en mensajes de correo electrónico, pero quienes usan este método tiene un objetivo distinto: obtener los datos de acceso a cuentas bancarias de empresas, perfiles de LinkedIn, cuentas de correo empresariales o servicios de almacenamiento de archivos en la nube.102 Algunos correos se disfrazan de avisos sobre actualizaciones de seguridad y redirigen al destinatario a un sitio web con un formulario diseñado para robar sus datos y enviárselos de inmediato al phisher. Ejemplo de mensaje que en realidad es un intento de phishing104 Número de enlaces de phishing en los medios sociales 2009–2014 Fuente: Symantec I .cloud 60 50 Miles 40 30 20 10 0 2010 2011 2012 2013 2014 101 http://www.symantec.com/connect/blogs/apple-ids-targeted-kelihos-botnet-phishing-campaign 102 http://www.symantec.com/connect/blogs/fresh-phish-served-helping-aes 103 Imagen tomada de http://www.symantec.com/connect/blogs/apple-ids-targeted-kelihos-botnet-phishing-campaign LinkedIn: http://www.symantec.com/connect/blogs/linkedin-alert-scammers-use-security-update-phish-credentials Google Docs: http://www.symantec.com/connect/blogs/google-docs-users-targeted-sophisticated-phishing-scam Dropbox: http://www.symantec.com/connect/blogs/dropbox-users-targeted-phishing-scam-hosted-dropbox 104 72 I Symantec Website Security Solutions LOS PELIGROS DEL CORREO ELECTRÓNICO: LAS ESTAFAS Y EL SPAM No solo ha disminuido el número de mensajes de correo que son intentos de phishing, sino que el porcentaje de spam global también es menor. Este tipo de engaño cada vez es más frecuente porque, aunque los sistemas de seguridad corporativos podrían filtrar fácilmente los archivos adjuntos, muchas empresas siguen sin tomar esta medida básica pese al peligro que corren. En los últimos tres años, el porcentaje de spam enviado ha ido reduciéndose hasta llegar al 60 % en 2014 (en 2012 y 2013, fue del 69 % y el 66 %, respectivamente). Aunque es una buena noticia, las estafas por correo electrónico aún son muy habituales, y los delincuentes siguen lucrándose gracias a ellas. En octubre, Symantec advirtió un aumento en el número de mensajes enviados a empresas (o más concretamente, al departamento financiero) en los que se solicitaba una transferencia o un pago con tarjeta de crédito. El remitente utilizaba un nombre falso o se hacía pasar por el director general u otros directivos de la empresa, y para obtener los datos de pago se pedía a la víctima que abriera un archivo adjunto o que los solicitara respondiendo al mensaje.105 A finales de año, los spammers cambiaron de tácticas y recurrieron más a la ingeniería social, lo que les llevó a incluir más enlaces dañinos en sus mensajes y menos archivos adjuntos. Mensajes de correo electrónico que son spam 60 % 2014 66 % -6 % 2013 69 % -3 % 2012 Fuente: Symantec I Brightmail Volumen estimado de spam diario en todo el mundo 2014 2013 2012 28 millones 29 millones 30 millones -1 % -1 % Fuente: Symantec I Brightmail http://www.symantec.com/connect/blogs/scammers-pose-company-execs-wiretransfer-spam-campaign 105 Symantec Website Security Solutions I 73 LOS PROGRAMAS DE AFILIACIÓN, EL VERDADERO MOTOR DEL ENGAÑO EN LAS REDES SOCIALES Satnam Narang Si ha usado alguna red social en la última década, seguro que alguna vez se habrá encontrado con contenido de este tipo: •promociones en las que se regalan smartphones, billetes de avión o vales de compra; •noticias inusuales sobre personajes famosos (p ej., vídeos sexuales o falsos fallecimientos); •noticias impactantes, a menudo relacionadas con catástrofes naturales; •proposiciones de supuestos profesionales del sexo o invitaciones a desnudarse frente a una webcam. En cuanto una red gana adeptos, los estafadores empiezan a tenerla en el punto de mira. Y aunque las estafas se adaptan a las peculiaridades de cada plataforma, las redes de afiliación siempre están detrás. El marketing de afiliación permite a las empresas aumentar sus beneficios en Internet, ya que los afiliados les ayudan a promocionar y vender sus productos. Se trata de una práctica muy habitual. Por ejemplo, un afiliado que promocione un libro en su sitio web e incluya un enlace a la página de compra de otra empresa recibirá una pequeña comisión por cada venta. Entre quienes usan las redes de afiliados hay empresas legítimas e ilegítimas, y a veces son los propios afiliados los que usan métodos reprobables para lucrarse. Las empresas saben de dónde viene cada clic y pueden ir calculando las comisiones porque, cuando alguien hace clic en el anuncio de un afiliado, los enlaces terminan con un código que lo identifica. 74 I Symantec Website Security Solutions En las redes sociales, los estafadores han sabido convertir los programas de afiliación en una fuente de ingresos. Cada vez que un usuario rellena una encuesta o se inscribe en un servicio premium detrás del cual hay un programa de este tipo, quien publica el enlace recibe dinero. Aunque haya empresas y redes de afiliación que condenen estas prácticas y traten de evitarlas, seguirán dándose mientras los delincuentes puedan sacarles provecho. Si su empresa utiliza estos programas, es importante que conozca a sus afiliados y se asegure de que actúan dentro de la legalidad. La legitimidad de estos afiliados no está clara, y tampoco es fácil saber cuánto cobran porque muchos prefieren mantenerlo en secreto. Sin embargo, la mayoría de las redes de afiliados utilizan un sistema de pujas en el que se especifica qué acción constituye una conversión. En el ejemplo de la imagen (un anuncio de una tarjetaregalo Visa por valor de 1500 USD), se considera que se ha realizado una conversión si la persona «referida» facilita su dirección de correo electrónico. En este caso, los afiliados reciben 1,40 USD por conversión. Los usuarios de las redes sociales, por su parte, deberían desconfiar de los regalos que se ofrecen en estas plataformas (billetes de avión, aparatos electrónicos o vales) y de las invitaciones a visitar sitios web de contactos sexuales o webcams. Si alguien nos pide que rellenemos una cuesta o nos suscribamos a un servicio con tarjeta de crédito, lo más probable es que nos esté estafando. Lo que parece demasiado bueno para ser verdad normalmente no lo es. En Tinder, la conocida aplicación de citas, Symantec encontró enlaces afiliados a servicios de contactos sexuales y sitios de webcams cuyas comisiones no son ningún secreto. Un sitio web paga a los afiliados hasta seis dólares por cada cuenta abierta, y sesenta por el pago de una suscripción a un servicio premium con tarjeta de crédito—un poderoso aliciente para buscar suscriptores, por los medios que sean—. Sin embargo, los estafadores son capaces de generar tanto tráfico que los seis dólares que reciben por cada cuenta abierta les bastan para obtener un sustancioso beneficio. Las suscripciones al servicio premium son solo la guinda del pastel. Symantec Website Security Solutions I 75 EL PHISHING, UN FENÓMENO QUE EXISTE HASTA EN LOS PAÍSES MENOS PENSADOS Nicholas Johnston Gran parte del tráfico de correo electrónico pasa por manos de Symantec. Recientemente, nos han sorprendido los ataques a instituciones de lugares en los que el phishing no había sido un problema hasta ahora. Angola y Mozambique, dos países en lados opuestos del África Austral, no son lugares en los que uno se imagine que el robo de información confidencial sea un negocio. Mozambique, cuya renta per cápita es de unos 600 USD, está en vías de desarrollo y, pese a la abundancia de recursos naturales, depende en gran medida de la ayuda internacional. Angola, con una renta per cápita próxima a los 6000 USD, está en una situación mejor, pero ambos países son estadísticamente pobres. A título comparativo, la renta media por cápita en todo el mundo es de 10 400 USD. Todo parece indicar que los ataques de phishing sufridos en Angola y Mozambique tuvieron su origen dentro de sus propias fronteras o en los países vecinos. Robar datos de cuentas de Angola o Mozambique no tiene sentido para los phishers de países desarrollados porque los beneficios son más bajos que los obtenidos en el mundo occidental. Sin embargo, para alguien que viva en Angola, Mozambique u otros países con rentas similares, el atractivo económico es mayor. Además, para los phishers angoleños o mozambiqueños es más fácil usar los datos robados sin tener que venderlos. Recientemente, una importante institución financiera africana fue víctima de una campaña de phishing. Los mensajes, que simulaban proceder de un banco mozambiqueño, tenían el siguiente asunto: «Mensagens & alertas: 1 nova mensagem!» (Mensajes y alertas: ¡1 nuevo mensaje!) y el cuerpo del mensaje contenía una dirección URL que conducía a una versión falsa del sitio web de la entidad. En cuanto la víctima facilitaba sus datos bancarios, el atacante se adueñaba de su cuenta. Los consumidores cada vez usan más Internet para interactuar con las empresas y utilizar sus servicios. Por lo tanto, es de esperar que los casos de phishing sigan aumentando y que, con el tiempo, los delincuentes tengan aún más facilidades para atacar. Hasta las instituciones de un país tan pequeño y aislado como Bután, enclavado en pleno Himalaya, han sufrido ataques de phishing, lo que demuestra que nadie está a salvo. ¿Por qué se está atacando a las instituciones financieras de estos países? No podemos saberlo a ciencia cierta, pero una de las razones por las que el phishing es tan peligroso es lo fácil que es crear sitios web falsos para robar los datos de los visitantes. En 2014, Symantec encontró un buen número de phish kits (archivos comprimidos que contienen sitios web de phishing, listos para descomprimirse en un servidor web recién atacado). Alguien que adquiera uno de estos kits no necesitará conocimientos especializados y, si solo ataca a instituciones pequeñas o de un tipo determinado, ni siquiera tendrá que competir con otros phishers. Por otro lado, es probable que los países en vías de desarrollo no sean tan conscientes de la peligrosidad del phishing como Estados Unidos o Europa. 76 I Symantec Website Security Solutions ¿QUÉ NOS DEPARA EL FUTURO? ANALIZAR EL PASADO Y ENTENDER EL PRESENTE ES LA CLAVE PARA AFRONTAR EL FUTURO 77 I Symantec Website Security Solutions ¿QUÉ NOS DEPARA EL FUTURO? La ludificación de la seguridad En el siglo XV, Nicolás Maquiavelo, todo un experto en seguridad, observó lo siguiente: «Los hombres son tan simples y se someten hasta tal punto a las necesidades presentes, que quien engaña encontrará siempre quien se deje engañar». En Internet, la seguridad no solo depende de la tecnología, sino también de las personas, que correrían menos riesgos si tuvieran más cuidado. Los consumidores deben estar siempre alerta, y los funcionarios del Estado tienen que saber cómo evitar las técnicas de ingeniería social que se utilizan en los ataques dirigidos. En este contexto, la llamada «ludificación» puede servir para convertir «las necesidades del momento» en hábitos de conducta, ya que proporciona la misma gratificación instantánea que los juegos sencillos de ordenador.106 Por ejemplo, podrían usarse mecánicas de juego que ayuden a distinguir si un mensaje es un intento de phishing o enseñen a crear, recordar y utilizar contraseñas seguras. En nuestra opinión, esta formación será muy necesaria en los próximos años y representa una gran oportunidad comercial. Uso de las simulaciones de seguridad Las simulaciones y los llamados «juegos de guerra» son un buen ejercicio para que una empresa se prepare ante posibles incidentes de seguridad y comprenda qué defensas necesita. Si, tras las pruebas de intrusión convencionales, se simulan las fases de respuesta y solución de problemas, los empleados estarán más formados y sabrán que hacer en caso de ataque. Esto es algo que ya saben los gobiernos. En enero de 2015, el primer ministro británico David Cameron y Barack Obama, presidente de los Estados Unidos, acordaron la puesta en marcha de un programa de «ejercicios de guerra cibernética» en el que ambos países llevarán a cabo ataques simulados entre sí.107 En 2015, las empresas deberían hacer lo mismo. Quien prepara un ataque casi siempre lo consuma En la batalla frente a los ciberdelincuentes, los departamentos de seguridad informática empresariales llevan siempre las de perder. Mientras que ellos no pueden fallar nunca, los atacantes solo necesitan tener suerte una vez, así que tanto los responsables informáticos como los usuarios tienen que estar preparados para lo peor. No hay tecnologías milagrosas que garanticen una protección total frente a la ciberdelincuencia, sobre todo si alguien prepara un ataque dirigido a una víctima en concreto. Lo más sensato es pensar que, tarde o temprano, su empresa sucumbirá al hacking, si es que no lo ha hecho ya. Hay que adoptar un enfoque «clínico» y más Opinión sobre la ludificación sacada de la entrevista a Efraín Ortiz http://www.bbc.co.uk/news/uk-politics-30842669 Extracto de la entrevista a Efraín Ortiz 109 Efrain Ortiz 110 http://www.informationweek.com/software/operating-systems/ windows-xp-stayin-alive/d/d-id/1279065 111 Entrevista a Candid Wueest 112 Entrevista a Vaughn Eisler 106 107 108 rico en matices que, en lugar de limitarse a determinar si algo es seguro o no, analice síntomas y tendencias, prevenga comportamientos y permita hacer diagnósticos y determinar los mejores tratamientos. Desde el punto de vista técnico, se necesitan programas que protejan todos los terminales, la pasarela y el servidor de correo electrónico para evitar filtraciones. También habrá que optimizar los sistemas copia de seguridad y recuperación en caso de desastre, así como los métodos de detección y planificación de respuestas. Aunque los ataques sean inevitables, la clave es no resignarse y poner a los atacantes el mayor número de trabas posible, ya que es mejor prevenir que lamentar.108 Las empresas deben abandonar el secretismo y compartir información entre sí Aunque intercambiar información entre empresas es esencial para la seguridad,109 hasta ahora era algo infrecuente. Por miedo a exponerse demasiado, cada empresa acababa librando su propia batalla y se limitaba a utilizar sus recursos internos. En nuestra opinión, todo sería más fácil si las empresas compartieran entre sí información sobre las amenazas y los métodos para combatir la ciberdelincuencia. Las herramientas que hagan posible este cambio sin poner en peligro la propiedad intelectual serán cada vez más importantes. Por ejemplo, el intercambio electrónico de datos podría usarse para compartir funciones hash, atributos binarios, síntomas y otros elementos sin necesidad de divulgar secretos comerciales o información que pueda ser útil a los atacantes. Uso de sistemas operativos que no son seguros En julio de 2014, un cuarto de los usuarios de PC seguían usando Windows XP y Office 2003,110 pese a que Microsoft ya no ofrecía asistencia ni actualizaciones para estas versiones. Mucha gente sigue resistiéndose a aceptar este cambio111 sin darse cuenta del riesgo que supone carecer de protección frente a las amenazas que surgen constantemente. El año próximo, el peligro irá en aumento, y las empresas que utilicen dispositivos con sistemas operativos obsoletos tendrán que encontrar formas de protegerlos hasta que decidan reemplazarlos o actualizarlos. La Internet de las cosas En el futuro, los consumidores comprarán cada vez más accesorios tecnológicos: relojes inteligentes, monitores de actividad, cascos holográficos y todo tipo de dispositivos «ponibles» ideados en Silicon Valley y Shenzén. Aunque mejorar la seguridad de estos dispositivos es fundamental, todo cambia tan rápidamente que muchas veces se descuida la confidencialidad en aras de la innovación. A menos que los gobiernos decidan legislar estas cuestiones, que se produzca algún incidente de gran repercusión mediática o que los consumidores se den cuenta del peligro que corren, es poco probable que se preste la debida atención a la seguridad y la confidencialidad.112 Symantec Website Security Solutions I 78 CONSEJOS Y PRÁCTICAS RECOMENDADAS 79 I Symantec Website Security Solutions Pese a las vulnerabilidades detectadas este año, los protocolos SSL y TLS siguen siendo la mejor forma de proteger a quienes visitan su sitio web y de garantizar la seguridad de los datos que facilitan. De hecho, tras la alarma desatada por Heartbleed, muchas empresas han empezado a contratar a desarrolladores especializados en SSL para mejorar el código y solucionar posibles errores. Así que ahora las bibliotecas SSL están más controladas que nunca y, además, se han establecido prácticas recomendadas comunes para utilizarlas. En 2014, los algoritmos de los certificados SSL se volvieron más seguros porque Symantec y otras autoridades de certificación abandonaron las claves de 1024 bits y empezaron a utilizar certificados SHA-2 de forma predeterminada.i La impor tancia de utilizar tecnologías SSL más seguras Microsoft y Google anunciaron que pronto dejarían de aceptar certificados SHA-1 que caducaran después del 31 de diciembre de 2015.ii Si aún no ha migrado a SHA-2, Chrome mostrará una advertencia de seguridad a quienes visiten su sitio web, y los certificados dejarán de funcionar en Internet Explorer a partir del 1 de enero de 2017. Symantec también está potenciando el uso del algoritmo ECC, mucho más seguro que el cifrado RSA. En este momento, los navegadores más importantes para equipos de escritorio y dispositivos móviles ya admiten los certificados ECC, que ofrecen tres ventajas principales: 1.Mayor seguridad. Las claves ECC de 256 bits son 64 000 veces más difíciles de descifrar que las claves RSA de 2048 bits de uso estándar en el sector.iii Para descifrar el algoritmo mediante un ataque de fuerza bruta, se necesitaría mucho más tiempo y una potencia de procesamiento mucho mayor. 2.Mejor rendimiento. Anteriormente, muchas empresas tenían miedo a que los certificados SSL ralentizaran el funcionamiento del sitio web y optaban por una adopción parcial que ofrecía una protección muy deficiente. Un sitio web protegido con un certificado ECC requiere menos potencia de procesamiento que otro que utilice un certificado RSA, lo que permite atender más conexiones y usuarios al mismo tiempo. En este momento, adoptar la tecnología Always-On SSL no solo es recomendable, sino que está al alcance de cualquier empresa 3.Perfect Forward Secrecy (PFS). Aunque la tecnología PFS es compatible con certificados basados en RSA y con los basados en el algoritmo ECC, su rendimiento es mejor con estos últimos. Pero ¿qué importancia tiene esto? Si un sitio web carece de protección PFS, un hacker que se apropie de sus claves privadas podría descifrar todos los datos intercambiados en el pasado. Esto es lo que permitía la vulnerabilidad Heartbleed en los sitios web afectados, lo que dejó clara la gravedad de este problema. Con la tecnología PFS, alguien que robe o descifre las claves privadas de los certificados SSL solo podrá descifrar la información protegida con ellas desde el momento del ataque, pero no la intercambiada con anterioridad. En 2014 quedó claro que la tecnología SSL solo es segura si se adopta y mantiene como es debido. Por tanto, es necesario: • Utilizar la tecnología Always-On SSL. Proteja con certificados SSL todas las páginas de su sitio web para que todas las interacciones entre el sitio web y el visitante se cifren y autentiquen. Uso adecuado de la tecnología SSL • Mantener actualizados los servidores. No basta con mantener al día las bibliotecas SSL del servidor; toda actualización o revisión debe instalarse cuanto antes para reducir o eliminar las vulnerabilidades que pretende corregir. • Mostrar distintivos de confianza conocidos (como el sello Norton Secured) en zonas bien visibles de su sitio web para demostrar a los clientes que se toma en serio su seguridad. • Hacer análisis periódicos. Vigile sus servidores web para detectar posibles vulnerabilidades o infecciones con malware. • Asegurarse de que la configuración del servidor esté actualizada. Las versiones antiguas del protocolo SSL (SSL2 y SSL3) no son seguras. Cerciórese de que el sitio web no las admita y dé prioridad a las versiones más recientes del protocolo TLS (TLS1.1 y TLS1.2). Compruebe si el servidor está bien configurado con herramientas como SSL Toolbox de Symantec.iv http://www.symantec.com/page.jsp?id=1024-bit-certificate-support http://www.symantec.com/es/es/page.jsp?id=sha2-transition http://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsa iv https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp i ii iii Symantec Website Security Solutions I 80 Para que sus sitios web y servidores estén más protegidos este año, guíese por el sentido común y adopte los hábitos de seguridad que le recomendamos a continuación. • Asegúrese de que los empleados no abran archivos adjuntos de gente que no conozcan. Conciencie a sus empleados •Ayúdeles a reconocer los peligros que acechan en las redes sociales. Explíqueles que, si una oferta parece falsa, seguramente lo sea; que la mayoría de las estafas están relacionadas con noticias de actualidad; y que las páginas de inicio de sesión a las que conducen algunos enlaces pueden ser una trampa. •Si un sitio web o aplicación ofrecen autenticación de dos factores, dígales que elijan siempre esta opción. •Pídales que usen contraseñas distintas para cada cuenta de correo electrónico, aplicación, sitio web o servicio (sobre todo si están relacionados con el trabajo). •Recuérdeles que usen el sentido común. No por tener un antivirus es menos grave visitar sitios web dañinos o de naturaleza dudosa. Los atacantes utilizan técnicas cada vez más agresivas, avanzadas e implacables para lucrarse en Internet, pero las empresas y los particulares tienen muchísimas maneras de protegerse. Tiene dos opciones: la seguridad o la vergüenza v Hoy en día, una empresa que no utilice la tecnología SSL o descuide la seguridad de su sitio web se expone al escarnio público. Incluso puede acabar saliendo en HTTP Shaming, una página creada por el ingeniero de software Tony Webster en la que se señala a los culpables.v Proteger su sitio web con procedimientos y sistemas de seguridad eficaces es la clave para evitar el descrédito y la ruina financiera. Tome nota y, en 2015, protéjase con Symantec. http://arstechnica.com/security/2014/08/new-website-aims-to-shame-apps-with-lax-security/ 81 I Symantec Website Security Solutions PERFIL DE SYMANTEC Symantec Corporation (NASDAQ: SYMC) es una empresa especializada en protección de la información cuyo objetivo es ayudar a particulares, empresas e instituciones gubernamentales a aprovechar libremente las oportunidades que les brinda la tecnología, en cualquier momento y lugar. Symantec, fundada en abril de 1982, figura en la lista Fortune 500, controla una de las mayores redes de inteligencia de datos del mundo y comercializa soluciones líderes en materia de seguridad, copia de seguridad y disponibilidad que facilitan el almacenamiento de información, su consulta y su uso compartido. Cuenta con más de 20 000 empleados en más de 50 países, y el 99 % de las empresas de la lista Fortune 500 son clientes suyos. En el ejercicio fiscal de 2013, registró una facturación de 6900 millones de dólares estadounidenses. Visite www.symantec.es para obtener más información o go.symantec.com/socialmedia para conectarse con nosotros en las redes sociales. Más información • Sitio web global de Symantec: http://www.symantec.com/ •Informe sobre las amenazas para la seguridad en Internet (ISTR) y otros recursos útiles de Symantec: http://www.symantec.com/threatreport/ • Symantec Security Response: http://www.symantec.com/security_response/ • Buscador de amenazas de Norton: http://us.norton.com/security_response/threatexplorer/ • Índice de cibercrimen de Norton: http://us.norton.com/cybercrimeindex/ 82 I Symantec Website Security Solutions Si desea los números de teléfono de algún país en concreto, consulte nuestro sitio web. Para obtener información sobre productos, llame al 900 931 298 o al (+41) 26 429 77 27 Symantec España Symantec Spain S.L. Parque Empresarial La Finca – Somosaguas Paseo del Club Deportivo, Edificio 13, oficina D1, 28223 Pozuelo de Alarcón, Madrid, España www.symantec.es/ssl © 2015 Symantec Corporation. Reservados todos los derechos. Symantec, el logotipo de Symantec, el logotipo de la marca de comprobación, Norton Secured y el logotipo de Norton Secured son marcas comerciales o marcas comerciales registradas en los Estados Unidos y en otros países por Symantec Corporation o sus filiales. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios.