Informe de Symantec sobre las amenazas para la seguridad de los

Transcripción

Informe de Symantec sobre las amenazas para
la seguridad de los sitios web I 2015
ÍNDICE
Introducción
3
Resumen ejecutivo
4
Amenazas en Internet
5
Ciberdelincuencia y malware
21
Ataques dirigidos
36
Fugas de datos
53
Engaños en las redes sociales
63
¿Qué nos depara el futuro?
77
Consejos y prácticas recomendadas
79
Perfil de Symantec
82
2
I Symantec Website Security Solutions
INTRODUCCIÓN
Symantec cuenta con la fuente de datos más completa que existe sobre las amenazas
en Internet: Symantec ™ Global Intelligence Network, un sistema compuesto por más
de 41,5 millones de sensores de ataque que registra miles de incidencias por segundo.
Esta red supervisa las amenazas existentes en más de
157 países y regiones mediante una combinación de
productos y servicios de Symantec, como:
157
• Symantec DeepSight™ Intelligence
• Symantec™ Managed Security Services
• Productos de Norton™
• Symantec Website Security Solutions
• Otras fuentes de datos externas
Symantec también mantiene una de las bases de
datos sobre vulnerabilidades más completas del
mundo. En este momento, hay registradas más de
60 000 vulnerabilidades que afectan a más de
54 000 productos de más de 19 000 proveedores.
Los datos sobre spam (envío de correo no deseado),
phishing (suplantación de la identidad) y malware
(código dañino) se registran a través de distintos
recursos, como:
•Symantec Probe Network, un sistema que abarca
más de cinco millones de cuentas señuelo
•Symantec.cloud
Symantec mantiene una de
las bases de datos sobre
vulnerabilidades más completas
del mundo
19 000
proveedores
54 000
60 000
vulnerabilidades
registradas
productos
Skeptic™, la tecnología heurística
patentada de Symantec.cloud
•Symantec Website Security Solutions y los
productos de protección frente al malware y las
vulnerabilidades
14 centros de datos
1700 MILLONES
de
solicitudes
• Otras tecnologías de seguridad de Symantec
8400 MILLONES
de correos
electrónicos
La tecnología heurística patentada de
Symantec.cloud, denominada Skeptic™, detecta los
ataques dirigidos más nuevos y avanzados antes
de que lleguen a la red del cliente. 14 centros de
datos procesan más de 8400 millones de mensajes
de correo electrónico al mes y filtran más de 1700
millones de solicitudes por Internet al día. Symantec
también recopila información sobre phishing a través
de una amplia comunidad antifraude de empresas,
proveedores de seguridad y más de 50 millones
de consumidores.
Symantec Website Security Solutions funciona sin
interrupción, permite comprobar si un certificado digital
X.509 se ha revocado o no mediante el protocolo de estado
de certificados en línea (OCSP) y procesa a diario más de
6000 millones de consultas de este tipo en todo el mundo.
Gracias a estos recursos, los analistas de Symantec cuentan
con fuentes de información insuperables para detectar,
analizar e interpretar las nuevas tendencias en materia de
ataques, malware, phishing y spam.
Todos estos datos nos han servido para elaborar el informe sobre amenazas para la seguridad de los
sitios web de Symantec, que ofrece a empresas y consumidores información esencial para proteger
sus sistemas de forma eficaz tanto ahora como en el futuro.
3
RESUMEN EJECUTIVO
El incidente más sonado de 2014 fue, sin duda, la vulnerabilidad Heartbleed, que
sacudió los cimientos de la seguridad en Internet. En este caso, el quid del problema
no era la sagacidad de los ciberdelincuentes, sino otra verdad incómoda: que
ningún programa es infalible y, por lo tanto, hay que cuidar al máximo la seguridad
de los sitios web con sistemas más avanzados y eficaces.
Por supuesto, mientras Heartbleed acaparaba titulares,
los ciberdelincuentes seguían buscando nuevas maneras
de atacar, robar y perjudicar a sus víctimas. En 2014,
recurrieron a tácticas más profesionales, avanzadas
y agresivas que afectaron tanto a empresas como a
consumidores.
Las vulnerabilidades, un riesgo que pone en peligro
a todos
Heartbleed no fue la única vulnerabilidad descubierta
en 2014. Los ciberdelincuentes también se sirvieron de
Poodle y Shellshock para infiltrarse en servidores, robar
datos e instalar malware.
Curiosamente, el número de sitios web con malware
se redujo a la mitad (uno de cada 1126), pese a que el
porcentaje con vulnerabilidades fue el mismo que en
2013: tres cuartos del total analizado. No está claro si
esta tendencia se debe en parte a que los sitios web
están mejor protegidos o si, por el contrario, podría indicar
el avance de otras vías de distribución de malware, como
las redes sociales y la publicidad dañina (malvertising).
Por desgracia, quienes quisieron aprovechar las
vulnerabilidades lo tuvieron muy fácil porque muchísima
gente no se molestó en actualizar el software. Sin los
parches pertinentes, un dispositivo o servidor están
desprotegidos frente a los droppers, herramientas de
ataque habituales que buscan vulnerabilidades sin
resolver y, si las encuentran, provocan una infección
con descargas no autorizadas u otras técnicas, como las
estafas en las redes sociales.
De profesión, ciberdelincuente
En 2014, los atacantes perfeccionaron sus métodos y
siguieron «profesionalizándose». La ciberdelincuencia
ya es un negocio con mercados paralelos a los del sector
tecnológico y con sus correspondientes especialidades y
proveedores de servicios.
Por ejemplo, alquilar un kit de herramientas web que
infecte a las víctimas con descargas no autorizadas
cuesta entre 100 y 700 dólares estadounidenses por
semana, con derecho a actualizaciones y asistencia a
todas horas. El precio de los ataques distribuidos de
denegación de servicio (DDoS) oscila entre los diez y
los mil dólares al día;1 los datos de tarjetas de crédito
se venden a entre 0,50 y 20 dólares por tarjeta; y mil
seguidores en una red social cuestan entre dos y doce
dólares solamente.
Los métodos de ataque, cada vez más amorales y
agresivos
Los ciberdelincuentes nunca han mostrado especial
compasión por sus víctimas, pero en 2014 fueron aún más
implacables.
Según lo observado por Symantec, la incidencia del
cryptoware se multiplicó por catorce de mayo a
septiembre.2 Esta variante del ransomware cifra los
archivos de la víctima —fotos, contratos, facturas o lo
que se tercie—y pide un rescate a cambio de las claves
privadas necesarias para descodificarlos. Normalmente,
el pago debe realizarse en bitcoins a través de una página
web de la red Tor, lo que impide seguir la pista de los
atacantes y les permite continuar con sus fechorías.
Las redes sociales y el phishing también se usaron para
explotar los miedos de la gente, como el temor al hacking y
a ciertas situaciones de alarma sanitaria. En algunos casos,
los delincuentes se sirvieron de enlaces relacionados con
estos temas para obtener clics y registros (y luego sacarles
partido económico mediante programas de afiliación).
En otros, recurrieron a las descargas de malware para
infectar a las víctimas o crearon sitios web de phishing con
formularios diseñados para el robo de datos.
http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services
http://www.symantec.com/connect/blogs/australians-increasingly-hit-global-tide-cryptomalware
1.
2
Symantec Website Security Solutions I
4
AMENAZAS EN INTERNET
5
RESUMEN
1
considerados fiables corrieron peligro a consecuencia de la vulnerabilidad
Heartbleed.3
2
A raíz de lo sucedido con Heartbleed, muchos aprendieron la lección y
3
Los ciberdelincuentes aprovechan la tecnología y la infraestructura de las
4
5
3
En abril, los datos de aproximadamente un millón de sitios web
tomaron medidas para que las tecnologías SSL y TLS fueran más seguras.
redes publicitarias legítimas para sus estafas y ataques.
En 2014, las páginas de navegación anónima pasaron a representar el
5 % del total de sitios web infectados, un salto que las sitúa entre las diez
categorías con mayor número de infecciones.
Desde 2013, el total de sitios web con malware se ha reducido prácticamente a la mitad.
http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html
6
INTRODUCCIÓN
En 2014, Internet se llenó de amenazas de mayor envergadura y peligrosidad.
Se descubrió que algunas herramientas y protocolos de cifrado de uso corriente
no eran tan seguros como se creía, y las víctimas tuvieron más dificultades para
zafarse de las garras de sus atacantes.
Todo esto convirtió a Internet en un auténtico campo de
minas, y no hay razón para pensar que esta tendencia
vaya a invertirse en 2015. Tanto las vulnerabilidades
como los nuevos tipos de malware dejaron claro que las
empresas deben volcarse por completo en mejorar la
seguridad de los sitios web.
4
En el momento en que se redactó este documento
en 2015, varios investigadores de seguridad habían
identificado una nueva vulnerabilidad en la tecnología
SSL/TLS, denominada «FREAK»,4 que permitía hacer
ataques de interposición «Man-in-the-Middle» para
interceptar y descifrar las comunicaciones entre un sitio
web y sus visitantes, robar contraseñas e información
personal y, en ciertos casos, volver a atacar el sitio web
afectado posteriormente.
http://www.symantec.com/connect/blogs/freak-vulnerability-can-leave-encrypted-communications-open-attack
7
LAS VULNERABILIDADES MÁS SONADAS
Heartbleed
Heartbleed se hizo noticia en abril, fecha en la que se
descubrió que, en caso de ataque, esta vulnerabilidad en
la biblioteca de software criptográfico OpenSSL permitía
acceder a los datos almacenados en la memoria de un
servidor web y descodificar la información transmitida
durante una sesión cifrada. Esto ponía en peligro datos
confidenciales de gran valor, como contraseñas, información de tarjetas de crédito e incluso claves privadas.5
En su día, se calculó que Heartbleed podría haber
afectado al 17 % de los servidores web SSL, que utilizan certificados SSL y TSL emitidos por autoridades
de certificación de confianza.6 Ni que decir tiene
que el incidente fue un duro golpe para empresas y
consumidores.
No solo quedó desprotegida una gran cantidad de datos
confidenciales, sino que las empresas tuvieron que pasar
por el mal trago de pedir a los clientes que cambiaran
sus contraseñas, no sin antes tomar otras medidas:
actualizar los servidores de sus sitios web con la versión
más reciente de OpenSSL, instalar certificados SSL
nuevos y revocar los antiguos.
Por suerte, la respuesta fue rápida. A los cinco días,
ninguno de los mil sitios web más visitados según Alexa
seguía siendo vulnerable a Heartbleed (y de los 50 000
con más visitas, solo el 1,8 % aún no había resuelto el
problema).7
ShellShock y Poodle
Heartbleed no fue la única vulnerabilidad que salió
a la luz en 2014. En septiembre se descubrió «Bash
Bug» (también llamada «ShellShock»), que afectaba a
la mayoría de las versiones de Linux y Unix, incluido
Mac OS X. ShellShock es un buen ejemplo de lo rápido
que puede cambiar todo cuando se tiene un sitio web.
Aunque se instalen todas las revisiones, si se descubre
que son insuficientes, los servidores dejarán de estar
protegidos de un día para otro y habrá que instalar otras.
En este caso, los atacantes podían usar la interfaz de
entrada común (CGI, por sus siglas en inglés), con la
que se genera contenido web dinámico, para infiltrarse
en los servidores y añadir un comando malicioso a
una variable de entorno. Con esta técnica se consigue
que Bash —el componente del servidor afectado por
la vulnerabilidad— interprete y ejecute la variable en
cuestión.8
Pronto surgieron multitud de amenazas diseñadas para
explotar esta vulnerabilidad. Los servidores (y las redes a
las que se conectaban) quedaron a merced del malware,
y aumentó el riesgo de espionaje e infección en un gran
número de dispositivos.
En octubre, Google descubrió Poodle, que volvió a poner
en entredicho el cifrado. Esta vulnerabilidad dejaba
desprotegidos los servidores compatibles con la versión
3.0 de SSL, interfiriendo con el handshake (el proceso
que comprueba qué protocolo admite el servidor) y
obligando a los navegadores web a establecer una
conexión mediante el protocolo SSL 3.0 en vez de usar
una versión más reciente.9
Un ataque de interposición «Man-in-the-Middle»
realizado en estas condiciones permite descifrar las
cookies HTTP seguras y, de este modo, robar datos o
apropiarse de cuentas de servicios en Internet. Por
suerte, Poodle no era tan grave como Heartbleed, ya
que, para explotarla, el atacante debía tener acceso a la
red entre el cliente y el servidor (como ocurre cuando se
utiliza un punto de acceso Wi-Fi público).
5
http://www.symantec.com/connect/blogs/heartbleed-bug-poses-serious-threat-unpatched-servers
6
http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html
7
http://www.symantec.com/connect/blogs/heartbleed-reports-field
8
http://www.symantec.com/connect/blogs/shellshock-all-you-need-know-about-bash-bug-vulnerability
9
http://www.symantec.com/connect/blogs/poodle-vulnerability-old-version-ssl-represents-new-threat
8
LAS VULNERABILIDADES MÁS SONADAS
La importancia de aplicar pronto las revisiones cuando se
detectan vulnerabilidades de gran repercusión mediática
Tras el anuncio de estas vulnerabilidades, no tardaron
en sucederse los ataques —lo que, por supuesto,
también fue noticia, aunque no por el mismo motivo
que las vulnerabilidades de día cero—. Al no poner en
peligro los dispositivos de acceso, sino los servidores,
Heartbleed y ShellShock se consideraron un nuevo tipo
de vulnerabilidad. El software al que afectaban estaba
instalado en un gran número de sistemas y dispositivos, lo
que les dio notoriedad e hizo que los ataques empezaran
a arreciar apenas unas horas después de hacerse
público el problema.
Los certificados SSL y TLS no han perdido vigencia
Cabe destacar que, aunque la seguridad web pasó por
horas bajas en 2014, los certificados SSL y TLS (sus
equivalentes más modernos) siguen siendo esenciales
y ofrecen la misma protección que antes. De hecho,
Heartbleed demostró lo rápido que se puede responder
a los ataques.
Gracias al esfuerzo y la vigilancia de organizaciones
como el CA/Browser Forum, al que pertenece Symantec,
los estándares del sector mejoran constantemente. Los
mecanismos básicos que garantizan la protección de un
sitio web y sus visitantes no solo siguen siendo válidos,
sino que cada vez son más eficaces.
Los picos del gráfico indican que, poco después de
anunciarse las vulnerabilidades, el número de ataques
ya era muy elevado, si bien las firmas de Symantec los
detectaron y bloquearon casi de inmediato. A las cuatro
horas de conocerse la vulnerabilidad Heartbleed, los
ciberdelincuentes ya la habían aprovechado para atacar.
Número de ataques Heartbleed y Shellshock en el mundo, de abril a noviembre de 2014
40
Ataques
Heart Bleed
35
30
Ataques
Shellshock
MILES
25
20
15
5
0
M
J
J
Fuente: Symantec
9
A
S
O
N
VULNERABILIDADES: PANORAMA GENERAL
El número de vulnerabilidades varía ligeramente de un
año a otro, pero sigue observándose una tendencia al
alza. La mayoría de las vulnerabilidades conocidas tienen
solución si se instalan revisiones o se toman otras medidas, pero los creadores de malware saben que vale la
pena tratar de aprovecharlas porque mucha gente no
hace nada por remediarlas. En muchos casos, se utiliza
un dropper que busca vulnerabilidades conocidas sin
resolver para usarlas como puerta trasera y propagar el
malware. Instalar las actualizaciones resulta, por tanto,
trascendental.
Esta es la razón por la que, con la ayuda de kits de ataque
web como Sakura y Blackhole, es tan fácil aprovechar
vulnerabilidades que se hicieron públicas meses o años
atrás. Lo primero que hacen estos kits es analizar el
navegador por si hubiera algún complemento vulnerable.
En caso de detectar alguno, pasan a determinar el mejor
método de ataque, ya que puede que existan varios
para cada vulnerabilidad. Muchos kits de herramientas
no emplean el método de ataque más reciente si basta
con utilizar otro anterior. Además, la mayoría de los
ataques no pretenden aprovechar las vulnerabilidades
de día cero, aunque estas tienen especial interés para los
ciberdelincuentes porque permiten realizar ataques de
abrevadero o watering hole.
Vulnerabilidades nuevas
2014
2013
2012
6 549
6 787
5 291
-3,6 %
+28 %
Fuente: Symantec | Deepsight
Symantec Website Security Solutions I 10
2010
6253
2011
4989
5291
6787
2011
2009
4814
2012
2008
5562
891
2013
2007
4644
351
591
2014
2006
4842
2012
Vulnerabilidades
por buscador,
2011 – 2014
2013
Número total de
vulnerabilidades,
2006 – 2014
639
Opera
2014
Mozilla Firefox
Microsoft Internet
Explorer
Google Chrome
6549
Apple Safari
Fuente: Symantec I Deepsight
Vulnerabilidades de los complementos por mes, 2013-2014
Java
80
Apple
71
70
Adobe
60
54 54
50
40
ActiveX
53
48
48
45
30
31
29
27
20
10
5
F
M
A
M
J
J
11
8
A
2013
4
S
30
23
29
17
E
37
36
35
O
N
13
8
2
D
E
F
M
A
M
J
J
A
S
O
N
D
2014
Las vulnerabilidades de día cero —aquellas que solo se descubren tras haberse explotado— son mucho más peligrosas
que las ya conocidas. En el capítulo sobre los ataques dirigidos se profundiza más en este tema.
11 I Symantec Website Security Solutions
Plug-in Vulnerabilities by Month
SITIOS WEB INFECTADOS
En 2014, unos tres cuartos de los sitios web analizados
por Symantec presentaban vulnerabilidades, una cifra
muy similar a la del año anterior. Sin embargo, el porcentaje
clasificado como «crítico» pasó del 16 al 20 %.
La proporción de sitios con malware se redujo a uno de
cada 1126 (en 2013, eran uno de cada 566). También
disminuyó el total de ataques web bloqueados al día,
pero solo en un 12,7 %, de lo que se deduce que el
número de ataques por cada sitio web infectado fue
mayor en 2014. Estas cifras se deben en parte a que
algunos kits de herramientas de ataque web se utilizan
en la nube con un modelo de software como servicio
(SaaS). Los ataques ya no siempre provienen del
malware de un sitio web infectado, sino que pueden
realizarse con un kit de herramientas de ataque basado
en SaaS que inyecte el código dañino con una etiqueta
iframe de HTML o código JavaScript camuflado. La
generalización de estos kits también explica que el
número de nuevos dominios web con malware se haya
reducido en un 47 % (de 56 158 en 2013 a 29 927
en 2014).
Los kits de herramientas de ataque web analizan los
equipos de las víctimas para buscar complementos
vulnerables y, en caso de hallarlos, determinar el
mejor método de ataque. Los basados en SaaS suelen
encontrarse en servicios de alojamiento muy difíciles
de identificar y desmantelar, con direcciones IP que
cambian con rapidez y nombres de dominio que se
generan de forma dinámica. Además, permiten controlar
cuándo y cómo se llevará a cabo el ataque. Por ejemplo,
para que ni los motores de búsqueda ni los analistas
detecten el código dañino, puede especificarse como
condición de ataque que se haya definido una cookie
para el sitio web infectado. Los kits de herramientas
de ataque web se analizan más detenidamente en otro
apartado de este capítulo.
Entre las diez categorías de sitios web más atacados
destacan los sitios web de navegación anónima, que no
aparecían en años anteriores. Como en otras ocasiones,
los delincuentes se limitan a seguir la corriente. Hoy
en día, cada vez más consumidores quieren navegar de
forma confidencial sin que su proveedor de servicios de
Internet controle lo que hacen.
Principales vulnerabilidades sin resolver detectadas en los servidores web analizados
Puesto
Nombre
1
Vulnerabilidad POODLE (protocolos SSL y TLS)
2
Ataques de secuencias de comandos entre sitios
3
Compatibilidad con SSL v2
4
Compatibilidad con conjuntos de cifrado SSL poco seguros
5
Cadena de certificados SSL no válida
6
Detección de una cookie de sesión SSL cifrada sin el atributo «Secure»
7
Vulnerabilidad en el proceso de renegociación de los protocolos SSL y TLS
8
Vulnerabilidad relacionada con la divulgación de información por medio de la
función PHP ‘strrchr()’
9
Ataque http TRACE XSS
10
Tratamiento del error de OpenSSL ‘bn_wexpend()’ (vulnerabilidad sin especificar)
Fuente: Symantec I Website Security Solutions
Sitios web analizados que
presentan vulnerabilidades
Porcentaje de
vulnerabilidades críticas
76 %
20 %
-1 %
+4 %
77 %
16 %
+25 %
+8 %
55 %
24 %
2014
2014
2013
2013
2012
2012
En
2014, 20
el 20
% de (1
lasinvulnerabilidades
detectadas
(una deoncada
cinco) se
consideraron
críticas porque,
caso
de ser
descubierIn 2014,
percent
5) of all vulnerabilities
discovered
legitimate
websites
were considered
critical,enthat
could
allow
attackers
tas,
habrían
permitido
a
un
atacante
acceder
a
datos
conﬁdenciales,
alterar
el
contenido
del
sitio
web
o
infectar
los
equipos
de
access to sensitive data, alter the website’s content, or compromise visitors’ computers.
quienes visitaran sus páginas.
Sitios web en los que se detectó malware
1 250
1 de cada
1 000
1 126
750
500
532
566
250
2012
2013
2014
Tipos de sitios web más atacados en 2013 y 2014
Categorías atacadas
con más frecuencia
en 2014
Porcentaje del
total de sitios
web infectados
en 2014
Categorías
de 2013
Porcentaje
en 2013
1
Tecnología
21,5 %
Tecnología
9,9 %
2
Alojamiento
7,3 %
Empresas
6,7 %
3
Blogs
7,1 %
Alojamiento
5,3 %
4
Empresas
6,0 %
Blogs
5,0 %
5
Sitios web de
navegación anónima
5,0 %
Sitios web ilegales
3,8 %
6
Ocio
2,6 %
Comercio electrónico
3,3 %
7
Comercio electrónico
2,5 %
Ocio
2,9 %
8
Sitios web ilegales
2,4 %
Automoción
1,8 %
9
Sitios web temporales
2,2 %
Educación
1,7 %
10
Comunidades virtuales
1,8 %
Comunidades virtuales
1,7 %
Puesto
Fuente: Symantec | SDAP, Safe Web, Rulespace
Ataques web bloqueados al mes, 2013 - 2014
900
Línea de tendencia (2013)
800
Línea de tendencia (2014)
700
600
Miles
500
400
300
200
100
E
F
Fuente: Symantec | SDAP
M
A
M
J
J
2013
A
S
O
N
D
E
F
M
A
M
J
J
A
S
O
N
D
2014
Nuevos dominios web con malware
2014
2013
2012
2011
29 927
56 158
74 001
55 000
-47 %
-24 %
+34 %
Fuente: Symantec | .cloud
En 2014, se detectó un 47 % menos de dominios web con código dañino, lo que indica que se usan más kits de
herramientas con un modelo de software como servicio (SaaS) basado en la nube.
Ataques web bloqueados al día
2014
2013
2012
2011
496 657
568 734
464 100
190 000
-12.7 %
+23 %
+144 %
El descenso del 12,7 % en la media de ataques bloqueados a diario se concentró principalmente en la segunda mitad de
2013. En 2014, el ritmo de disminución fue mucho menor.
Aunque la mayoría de los sitios web siguen presentando
vulnerabilidades, muchos de sus propietarios prestan
menos atención a las evaluaciones de vulnerabilidad que
a los análisis contra software malicioso. Sin embargo,
prevenir es mejor que curar y, por lo general, quien
infecta con malware un sitio web ha encontrado antes
una vulnerabilidad que explotar.
Los sitios web presentan tantas vulnerabilidades que
resulta muy fácil atacarlos. En 2014, los delincuentes
hicieron su agosto gracias a las vulnerabilidades
relacionadas con la tecnología SSL y TLS, pero también
empezaron a utilizar otras técnicas de distribución de
malware, como las estafas en las redes sociales y el uso
de publicidad dañina (malvertising), cuya incidencia va
en aumento.
Cinco principales
herramientas de
ataque, 2012
Cinco principales
herramientas de
ataque, 2013
8%
17 %
3%
7%
10 %
5
10 %
41 %
26 %
5
14 %
23 %
19 %
22 %
Blackhole
Otros
Sakura
G01 Pack
Phoenix
Blackhole
Redkit
Sakura
Nuclear
Styx
Otros
Coolkit
Fuente: Symantec I SDAP, Wiki
Cinco principales
herramientas
de ataque, 2014
Cronología del uso de
los cinco principales kits de
herramientas de ataque, 2014
100 %
50 %
5
23 %
10 %
7%
5%
5%
Sakura
Nuclear
Styx
Orange Kit
Blackhole
Otros
0%
E
F
M
A
M
J
J
A
S
O
N
D
Otros
Blackhole
Orange Kit
Styx
Nuclear
Sakura
PUBLICIDAD DAÑINA (MALVERTISING)
En 2014, el ransomware y el malvertising cruzaron sus
caminos. A lo largo del año, el número de internautas
a los que se redirigió al sitio web de Browlock alcanzó
cifras récord.
Browlock es uno de los tipos de ransomware menos
agresivos que existen. En lugar de infectar con malware
el equipo de la víctima, utiliza JavaScript para impedir
que cierre una pestaña del navegador. El sitio web
determina la localización geográfica del internauta y lo
redirige a una página en la que se solicita el pago de
una multa a la policía local por visitar sitios pornográficos ilegales.
Quienes usan esta técnica suelen comprar publicidad
en redes legítimas con la intención de atraer visitas a
su sitio web. El anuncio conduce a una página web
pornográfica que, a su vez, lleva al sitio web de Browlock.
El tráfico comprado con este sistema proviene de
distintas fuentes, pero sobre todo de redes publicitarias
de contenido pornográfico10.
En realidad, para salir indemne de esta trampa basta
con cerrar el navegador, pero si los delincuentes
hacen un desembolso a cambio de este tipo de tráfico
es porque hay gente que paga. Quizá se deba al
sentimiento de culpabilidad, ya que para llegar a la
página de Browlock hay que haber hecho clic en el
anuncio de un sitio web pornográfico.
Otros usos de la publicidad dañina
La publicidad dañina no solo sirve para propagar
ransomware. También puede conducir a las víctimas
a sitios web desde los que se instalan troyanos. En
algunos casos, los dispositivos se infectan mediante
una descarga no autorizada, sin que sea necesario
hacer clic en los anuncios.
El malvertising tiene un gran atractivo para los
ciberdelincuentes porque, si los anuncios se muestran
en sitios web legítimos muy conocidos, puede atraer una
gran cantidad de tráfico. Además, las redes publicitarias
utilizan técnicas de segmentación muy precisas, lo
que permite dirigir el engaño a víctimas concretas (por
ejemplo, personas que hagan búsquedas relacionadas
con servicios financieros). En ocasiones, las redes
publicitarias legítimas se convierten en un medio al
servicio de los delincuentes, cuya actividad no es fácil de
detectar porque sus tácticas cambian con frecuencia.
Por ejemplo, un anuncio inofensivo que lleve semanas
publicándose para parecer fiable puede volverse
dañino de repente. Por eso es importante que las redes
publicitarias hagan análisis con regularidad, y no solo
cuando se publica un anuncio nuevo.
Para los propietarios de sitios web no es fácil protegerse del malvertising, ya que las redes publicitarias y
sus clientes son ajenos a su control. Sin embargo, los
administradores pueden elegir redes que, al restringir
determinadas funciones, impidan que los anunciantes
incluyan código dañino en sus promociones. Hay que
documentarse y estudiar a fondo las características de
cada red.
Página web de Browlock en la
que se exige el pago de una multa
por haber visitado sitios web de
pornografía ilegal11
10
11
http://www.symantec.com/connect/blogs/massive-malvertising-campaign-leads-browser-locking-ransomware
Ibid
ATAQUES DE DENEGACIÓN DE SERVICIO
Los ataques distribuidos de denegación de servicio (DDoS) existen desde hace
tiempo, pero ahora son más intensos y frecuentes.12 Se dirigen a empresas u
organizaciones concretas en las que bloquean el acceso al correo electrónico, al
sitio web o a otros sistemas esenciales, lo que interrumpe las operaciones y puede
suponer grandes pérdidas.
Por ejemplo, de enero a agosto de 2014, Symantec
observó un aumento del 183 % en el número de ataques
de amplificación DNS.13 Según una encuesta de Neustar,
el 60 % de las empresas fueron víctimas de un ataque
DDoS en 2013, y el 87 % sufrieron varios. 14 En algunos
casos, se trata de una forma de extorsión, pero a veces
los motivos son otros, como el hacktivismo, la venganza
o el deseo de desviar la atención de otros ataques.
Además, los interesados en realizar ataques DDoS
recurren cada vez más al mercado negro de Internet,
donde se pueden alquilar servicios de ataque de distinta
duración e intensidad por entre 10 y 20 dólares.
Tráfico de ataques DDoS observado por Symantec Global Intelligence Network
Total de ataques DDoS
Ataque de amplificación DNS
8
Ataque genérico de
inundación de ICMP
7
MILLONES
6
Ataque genérico de
denegación de servicio a
través de inundación de
SYN del TCP
5
4
3
2
1
0
E
F
M
A
M
J
J
A
S
O
N
D
Fuente: Symantec I DeepSight Symantec Global Intelligence Network
12
http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong
13
http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong
14
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-continued-rise-of-ddos-attacks.pdf
EL AUMENTO DE LAS VULNERABILIDADES
Tim Gallo
En los últimos años, se ha hablado mucho de la gestión de vulnerabilidades.
Sin embargo, hay una cierta tendencia a considerarla como una incomodidad o
como un proceso menos interesante que la respuesta a incidentes o la necesidad
de seguir la pista de los posibles atacantes. En 2014, quedó claro que las
vulnerabilidades debían pasar a un primer plano. Poodle, ShellShock y Heartbleed
no solo fueron noticia en la prensa especializada, sino también en los medios de
comunicación de masas.
En todos estos casos, los procesos de gestión de
vulnerabilidades resultaron insuficientes porque el
origen del problema no era el acostumbrado. Últimamente, los ordenadores portátiles y los servidores
están bien controlados porque empresas como Adobe y
Microsoft notifican las vulnerabilidades más recientes
con regularidad y tardan muy poco en sacar revisiones.
Aunque seguirá habiendo vulnerabilidades que afecten
a equipos y servidores, los procesos de notificación de
incidencias y aplicación y gestión de revisiones han
mejorado mucho.
Con frecuencia, los sistemas operativos y los proveedores de aplicaciones aplican las revisiones de forma
automática, así que es natural que los atacantes hayan
cambiado de tácticas. Ahora, están volviendo a centrarse
en buscar nuevas vulnerabilidades, y sus exhaustivas
técnicas de análisis ya les han servido para encontrarlas
en lugares que antes se consideraban seguros.
Para ver lo que nos depara el futuro, detengámonos
un momento en otra de estas vulnerabilidades,
ShellShock. Durante más de 25 años, nadie reparó en
esta función fallida (o error de diseño) del shell Bourne
Again (BASH).15 Y, de repente, se descubrió que podría
explotarse y se hizo pública su existencia. Shellshock
ha formado parte de Internet durante una buena parte
de la historia de esta. De hecho, no solo ha permitido
atacar routers o servidores web de Linux, sino también
Heartbleed incluso
tiene su propio
logotipo
servidores de correo electrónico e incluso bots DDoS que
utilizan el shell (es decir, cualquier componente basado
en Unix que utilice BASH).
Un shell de Unix —para quienes no conozcan la terminología— es una interfaz de usuario de la línea de comandos a través de la cual
se interactúa con el sistema operativo. BASH es uno de los shells más usados en UNIX y LINUX.
15
En los próximos años, posiblemente sigan apareciendo
vulnerabilidades de este tipo por varias razones.
En primer lugar, ya se ha visto que los atacantes no
tienen pensado usar eternamente sus viejos trucos;
ahora les interesa buscar nuevas vulnerabilidades en
infraestructuras más antiguas que estén muy extendidas
y les permitan ampliar el radio de ataque.
Poodle, ShellShock y Heartbleed demostraron que
algunos de los componentes básicos de la infraestructura de Internet no eran seguros, pero también que
los desarrolladores emplean prácticas dudosas, como
la reutilización del código. A veces, parte del código de
una aplicación nueva se copia de otras aplicaciones
existentes. Es algo que los desarrolladores han hecho
desde siempre, pero también la causa de que existan
vulnerabilidades en sistemas que, aparentemente, no
tienen relación entre sí.
Heartbleed es un perfecto ejemplo de lo que puede
ocurrir cuando se reutiliza el código, aunque sea de
manera legítima. El código de la biblioteca OpenSSL se
consideraba fiable desde hacía mucho y no se analizaba
con frecuencia porque se pensaba que era «un problema
resuelto». Sin embargo, cuando se descubrió que no era
así, los desarrolladores de todo el mundo tuvieron que
arreglárselas para determinar si el código que habían
reutilizado era vulnerable.
acuse de querer lucrarse o de divulgar información de
forma irresponsable.
Sin embargo, es de esperar que también mejoren las
medidas de seguridad y los métodos de resolución de
problemas. Cualquier informático que se pase unas
cuantas semanas sin dormir comprobará en sus propias
carnes la importancia de ser previsor. Es vital que en
toda la infraestructura se sigan las mismas directrices y
los mismos procedimientos de configuración y aplicación
de revisiones. Trasladar la infraestructura a la nube
también ahorra tiempo al personal informático, que a
menudo está desbordado con otras tareas.
Ahora que las vulnerabilidades han vuelto con fuerzas
renovadas, se está viendo que «detectar y solucionar»
no es un buen enfoque. Para ser mejores profesionales
de la seguridad, también hemos de pensar en cómo
«proteger y responder» e «informar y evaluar». Tenemos
que planificar mejor, optimizar los procedimientos de
prueba, estar al tanto de lo que ocurre y conocer el
entorno lo suficiente como para saber si la información
es aprovechable.
En Internet quedan muchos fallos por descubrir y, si
queremos un futuro mejor, es nuestra responsabilidad
estar atentos para responder a las vulnerabilidades más
recientes de forma sistemática y programada.
Por otro lado, han aumentado los programas de recompensas
por la detección de errores, y los gobiernos han dejado
de amenazar con penas de cárcel a quienes se dedican
a destapar vulnerabilidades.16 Así pues, no solo hay
mayores incentivos para buscar vulnerabilidades, sino
que quienes las encuentran ya no temen que se les
16
http://www.wired.com/2013/03/att-hacker-gets-3-years
CIBERDELINCUENCIA Y
MALWARE
RESUMEN
1
A juzgar por los precios del mercado negro, que se mantienen estables, la
demanda de identidades robadas, malware y servicios relacionados con la
ciberdelincuencia sigue siendo muy alta.
2
Aunque las vulnerabilidades se han reducido con respecto a 2013, su
3
En 2014 aparecieron 317 256 956 nuevos tipos de malware, un aumento
4
El ransomware se volvió más frecuente y peligroso, y hubo 45 veces más
5
número sigue aumentando.
del 26 % respecto al índice de crecimiento del año anterior.
casos de crypto-ransomware que en 2013.
El número de bots fue un 18 % más bajo.
INTRODUCCIÓN
Todos los días, los phishers roban datos bancarios sirviéndose de mensajes de
correo electrónico o sitios web falsos. Las redes de ordenadores infectados envían
spam sin cesar y realizan ataques distribuidos de denegación de servicio. Y quienes
son víctimas del ransomware —la peor de las suertes— no tienen manera de usar
sus equipos porque alguien les ha cifrado los archivos.
El correo electrónico sigue siendo eficaz para la práctica
del phishing y para hacer envíos masivos de malware y
spam, y cada vez más mensajes contienen código dañino.
Además, en Internet existe una economía sumergida de
compraventa de servicios, malware, tarjetas de créditos
robadas y botnets.
Las autoridades, en colaboración con empresas de seguridad como Symantec, hacen lo posible por desmantelar
las botnets y arrestar a los culpables. Estos esfuerzos
han reducido bastante los niveles de ciberdelincuencia,
aunque tal vez no de forma duradera.
La economía sumergida
En los rincones más oscuros de Internet hay un mercado
negro floreciente en el que se comercia con datos robados, malware y servicios de ataque.17 Además, estos
mercados ilegales son cada vez más clandestinos (por
ejemplo, solo permiten el acceso con invitación o utilizan
la red de navegación anónima Tor18). Los precios fluctúan
según la oferta y la demanda. En general, el correo
electrónico se ha abaratado de forma considerable,
la información de tarjetas de crédito se vende a un
precio algo más bajo y los datos de cuentas de banca
electrónica cuestan igual que antes.
pero Symantec ha observado que cada vez están más
profesionalizados. Todos los productos o servicios que
dan un beneficio económico al comprador se cotizan a
buen precio.19
Alquilar un kit de herramientas web que infecte a las
víctimas con descargas no autorizadas supone un
desembolso de entre 100 y 700 dólares estadounidenses
por semana, con derecho a actualizaciones y asistencia
a todas horas. El malware SpyEye, detectado con
el nombre de Trojan.Spyeye y utilizado para atacar
servicios de banca online, puede alquilarse seis meses
a un precio de entre 150 y 1250 dólares, y los ataques
distribuidos de denegación de servicio (DDoS) cuestan
entre 10 y 1000 dólares al día.20
También se puede comprar malware, kits de ataque,
información sobre vulnerabilidades y hasta lo que en
inglés se denomina crimeware-as-a-service (toda la
infraestructura necesaria para «ejercer» la
ciberdelincuencia).
Los delincuentes se reparten el trabajo y cada cual tiene
sus especialidades. Hay quien crea virus y troyanos,
quien distribuye malware, quien ofrece botnets y quien
vende datos de tarjetas de crédito robadas. Algunos de
estos mercados existen desde hace una década o más,
Precios de los datos de tarjetas de crédito
en el mercado negro de distintos países
17
http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services
18
Ibíd.
19
Ibíd.
20
Ibíd.
Valor de la información vendida en el mercado negro
Mil direcciones de
correo electrónico
robadas
0,50-10 USD
Spam y phishing
Datos de tarjetas
de crédito
0,50-20 USD
Compras fraudulentas
Pasaportes
escaneados
1-2 USD
Robo de identidad
Cuentas de
servicios de
videojuegos
robadas
10-15 USD
Adquisición de objetos virtuales valiosos
Malware
personalizado
12-3500 USD
Desvío de fondos y robo de bitcoins
Mil seguidores en
una red social
2-12 USD
El interés de los usuarios de la red en cuestión
Cuentas de servicios
en la nube robadas
7-8 USD
Alojamiento de un servidor de comando y control
(C&C)
Envío de un millón
de mensajes de
spam a cuentas de
correo electrónico
verificadas
70-150 USD
Spam y phishing
Tarjeta SIM para
móvil registrada y
activada en Rusia
100 USD
Fraudes
Fuente: Symantec
MALWARE
A finales de 2013, se logró una pequeña victoria en la larga lucha contra el malware.
Las autoridades rusas arrestaron a «Paunch», presunto creador del kit de ataque
Blackhole y responsable de un gran número de infecciones en todo el mundo.22,23
Inevitablemente, desde entonces han surgido otros kits
de ataque que han llenado el hueco de Blackhole. Como
antes, gran parte del malware sigue estando diseñado
para robar datos bancarios, pero en 2014 se atacaron
nuevos mercados. Varias instituciones financieras
japonesas fueron víctimas del troyano Snifula, dirigido al
sector bancario , y el malware njRAT, surgido en Oriente
Medio, golpeó los países de la zona.24
En octubre, solo el 7 % de los mensajes de correo
electrónico con malware contenían enlaces dañinos,
pero en noviembre eran ya el 41 % y el porcentaje
siguió aumentando a principios de diciembre. En estas
fechas, aumentó el número de mensajes basados en la
ingeniería social (algunos de los cuales simulaban ser
avisos de fax o mensajes de voz) con enlaces a dominios
secuestrados y direcciones URL que llevaban a una
página de destino con código PHP.
Si el destinatario hacía clic en los enlaces, se abría un archivo
dañino como Downloader.Ponik y Downloader.Upatre,
dos de los más usados en este tipo de engaño. Ambos
troyanos descargan malware en los equipos afectados,
como el troyano Trojan.Zbot (también llamado Zeus),
que se utiliza para robar información.25
En general, en 2014 el volumen de mensajes de correo
electrónico utilizados para distribuir malware estuvo
muy por debajo de las cifras récord alcanzadas en 2013.
Nuevos tipos de malware (diferencia con respecto al año anterior)
Fuente: Symantec I .cloud
317 256 956
251 789 458
2014
2013
+26 %
En 2014 se crearon más de 317 millones de tipos de malware nuevos, un aumento de casi un millón al día. Pronto habrá en circulación
2000 millones de clases distintas (la cifra actual es de 1700 millones).
Porcentaje de mensajes de correo electrónico con malware
12 % -13 % 25 % +2 % 23 %
2014
2013
21
http://en.wikipedia.org/wiki/Blackhole_exploit_kit
22
http://krebsonsecurity.com/2013/12/meet-paunch-the-accused-author-of-the-blackhole-exploit-kit/
23
http://www.symantec.com/connect/blogs/snifula-banking-trojan-back-target-japanese-regional-financial-institutions
24
http://www.symantec.com/connect/blogs/simple-njrat-fuels-nascent-middle-east-cybercrime-scene
25
http://www.symantec.com/connect/blogs/malicious-links-spammers-change-malware-delivery-tactics
2012
Porcentaje de mensajes de correo electrónico con malware
1
de cada
244 1
de cada
2014
196 1
de cada
2013
291
2012
Mensajes de correo electrónico con malware que se valieron
de enlaces en lugar de archivos adjuntos
60 %
50 %
40 %
30 %
20 %
10 %
0%
J
M
M
J
S
N
J
M
2012
M
J
S
N
J
M
2013
M
J
S
N
2014
En 2014, el 12 % del malware distribuido a través del correo electrónico se valió de enlaces en lugar de archivos adjuntos
(en 2013, el porcentaje fue del 25 %).
Proporción de correos electrónicos con virus, 2012–2014
100
1 de cada
150
200
250
300
350
400
J
M
M
J
2012
S
N
J
M
M
J
2013
S
N
J
M
M
J
S
N
2014
RANSOMWARE
En 2014, hubo más del doble de ataques de ransomware que en el año anterior
(8,8 millones, frente a los 4,1 millones de 2013), pero aún más preocupante es el
aumento de un tipo en concreto: el crypto-ransomware, que cifra los archivos de
la víctima. Mientras que en 2013 se registraron 8274 casos de esta variedad de
ransomware, solo un año después la cifra era 45 veces mayor: 373 342.
mejor y prácticamente única defensa es tener copias de
seguridad con las que restaurar los datos, a poder ser
fuera de Internet.
En 2013, el crypto-ransomware representaba tan solo el
0,2 % del ransomware total, equivalente a un caso de cada
quinientos. Sin embargo, a finales de 2014, este porcentaje
ya era del 4 % (uno de cada veinticinco casos).
Hay muchas variedades de ransomware y ningún sistema
operativo es inmune a ellas.26 Además, los delincuentes
se salen con la suya con relativa frecuencia porque, si
bien nadie debería pagar lo que piden, muchas empresas
y particulares acaban haciéndolo porque quieren
recuperar los archivos o los necesitan.
Los ataques con ransomware son especialmente
traumáticos para las víctimas, ya que cifran los datos
del disco duro —fotos personales, trabajos escolares,
proyectos, música, una novela a medias— y solicitan el
pago de un rescate para desbloquear los archivos. La
Número de ataques de ransomware entre 2013 y 2014
900
800
700
MILES
600
500
400
300
200
100
E
F
M
A
M
J
J
A
S
O
N
D
E
2013
Fuente: Symantec I Response
26
http://www.symantec.com/connect/blogs/windows-8-not-immune-ransomware-0
F
M
A
M
J
J
2014
A
S
O
N
D
CRYPTO-RANSOMWARE
El ransomware se duplicó de 2013 a 2014, pero Symantec ha observado algo más
alarmante: la explosión del crypto-ransomware, cuyos casos se han multiplicado por
más de 45.27
Existen variedades distintas, como Cryptolocker28,
CryptoDefense29 y Cryptowall30, pero el método de
ataque siempre es el mismo. Mientras que el ransomware
tradicional bloquea el equipo y exige un rescate a cambio
de desbloquearlo, el crypto-ransomware, mucho más
dañino, cifra archivos personales y guarda las claves
para descifrarlos en un sitio web externo.
CryptoDefense, que se hizo público en marzo, ilustra
muy bien la gravedad del crypto-ransomware y lo difícil
que es hallar a los culpables. El malware se distribuye
por correo electrónico, mediante archivos adjuntos que
cifran los archivos de la víctima con claves RSA de
2 048 bits y la instan a visitar una página web de la red
Tor31 en la que se solicita el pago del rescate en bitcoins.
La infección no siempre se propaga de la misma manera,
pero lo habitual es enviar un mensaje de correo electrónico
con una imagen adjunta o un archivo que parezca una
factura. A menudo, quienes ejecutan el crypto-ransomware
y quienes lo entregan ni siquiera son las mismas personas.
El envío forma parte de un servicio que revela una de las
facetas más oscuras de la economía sumergida, en la
que los delincuentes se ofrecen a infectar un número de
equipos determinado a un precio fijo.
Así es como funciona este tipo de engaño, lo que en
la mayoría de los casos impide seguir la pista de los
atacantes y les permite seguir delinquiendo.
Nada de esto ocurriría si no fuera por el verdadero
objetivo del engaño: el beneficio. Según los cálculos
de Symantec, CryptoDefense habría reportado
a los ciberdelincuentes más de 34 000 dólares
estadounidenses en un mes.32 No es de extrañar, por
tanto, que el crypto-ransomware se considere la forma
de ciberdelincuencia más eficaz en la actualidad.
Casos de crypto-ransomware entre 2013 y 2014
80
72
70
62
60
MILES
50
43
48
46
40
36
30
24
0,2 % a lo largo de 2013
20
10
E
F
M
A
M
J
J
2013
A
S
O
N
D
6
5
E
F
10 12
9
M
M
A
J
J
2014
A
S
O
N
D
Fuente: Symantec I Response
En 2013, el crypto-ransomware representaba aproximadamente el 0,2 % del total de ataques de ransomware. A finales de 2014, la
cifra había alcanzado el 4 %.
http://www.symantec.com/connect/blogs/australians-increasingly-hit-global-tide-cryptomalware
http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-99
29
30
31
Tor, un híbrido de software y red abierta, permite navegar de forma anónima y evitar el análisis de tráfico. No es estrictamente ilegal, pero sí permite
a los delincuentes escudarse en el anonimato.
32
http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month
27
28
BOTS Y BOTNETS
En 2014, el número de bots se redujo en un 18 %
con respecto al año anterior, algo que no habría
sido posible sin el trabajo del FBI, el centro europeo
contra la ciberdelincuencia (EC3) de Europol y otros
organismos internacionales —en colaboración con
Symantec y otras empresas del sector tecnológico—.
Uno de los mayores logros en la batalla contra los bots
fue el desmantelamiento en 2014 de la botnet de Zeus
Gameover Zeus, responsable de millones infecciones en
todo el mundo desde su aparición en 2011.33,34 En los
dos últimos años, la cooperación entre las autoridades
y las empresas informáticas ha servido para acabar con
varias botnets.35,36
Fuentes de actividad maliciosa: bots (2012–2014)
País o región
Puesto en 2014 por
el n.º de bots
Porcentaje de bots en 2014
Puesto en 2013 por
el n.º de bots
Porcentaje de bots
en 2013
China
1
16,5 %
2
9,1 %
España
2
16,1 %
1
20,0 %
Taiwán
3
8,5 %
4
6,0 %
Italia
4
5,5 %
3
6,0 %
Hungría
5
4,9 %
7
4,2 %
Brasil
6
4,3 %
5
5,7 %
Japón
7
3,4 %
6
4,3 %
Alemania
8
3,1 %
8
4,2 %
Canadá
9
3,0 %
10
3,5 %
Polonia
10
2,8 %
12
3,0 %
Fuente: Symantec I GIN
En 2014, China y Estados Unidos, dos de los países más poblados del mundo y con la mayor concentración de internautas, siguieron
en cabeza en cuanto al número de bots, pero la primera le arrebató el primer puesto a los segundos —posiblemente, debido al
desmantelamiento de la botnet de Zeus Gameover—.
33
http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network
34
http://krebsonsecurity.com/2014/06/operation-tovar-targets-gameover-zeus-botnet-cryptolocker-scourge/
35
http://www.computerweekly.com/news/2240185424/Microsoft-partnership-takes-down-1000-cybercrime-botnets
36
http://www.computerweekly.com/news/2240215443/RSA-2014-Microsoft-and-partners-defend-botnet-disruption
Número de bots
-18 %
1,9 MILLONES
2,3 MILLONES -33 %
3,4 MILLONES
2014
2013
2012
Fuente: Symantec I GIN
En 2014, el número de bots se redujo debido en parte a la «Operación Tovar», que acabó con la botnet de Zeus GameOver, utilizada
para fraudes bancarios y para distribuir el ransomware CryptoLocker.37
Botnets que enviaron más spam en 2014
Porcentaje de
spam
enviado
Mensajes
aproximados de
spam al día
Países desde los que las botnets envían más spam
Puesto n.º 1
Puesto n.º 2
Puesto n.º 3
KELIHOS
51,6 %
884 044
España 10,5 %
EE. UU. 7,6 %
Argentina 7,3 %
DESCONOCIDO/
OTRO
25,3 %
432 594
EE. UU 13,5 %
Brasil 7,8 %
España 6,4 %
GAMUT
7,8 %
133 573
Rusia 30,1 %
Vietnam 10,1 %
Ucrania 8,8 %
CUTWAIL
3,7 %
63 015
Rusia 18,0 %
La India 8,0 %
Vietnam 6,2 %
DARKMAILER5
1,7 %
28 705
Rusia 25,0 %
Ucrania 10,3 %
Kazajistán 5,0 %
DARKMAILER
0,6 %
9596
Rusia 17,6 %
Ucrania 15,0 %
China 8,7 %
SNOWSHOE
0,6 %
9432
Canadá 99,9 %
EE. UU 0,02 %
Japón 0,01 %
ASPROX
0,2 %
3581
EE. UU 76,0 %
Canadá 3,4 %
Reino Unido 3,3 %
DARKMAILER3
0,1 %
1349
EE. UU 12,7 %
Polonia 9,6 %
Corea del Sur 9,1 %
GRUM
0,03 %
464
Canadá 45,7 %
Turquía 11,5 %
Alemania 8,5 %
Nombre de la botnet
37
http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network
ATAQUES DIRIGIDOS A OSX
En los últimos años, Apple se ha dado cuenta de la
importancia de proteger su sistema operativo frente a
las amenazas más recientes y por fin ha incorporado
un par de funciones de seguridad. XProtect analiza las
descargas y las coteja con la lista de archivos dañinos de
Apple para avisar al usuario si se detectan coincidencias.
GateKeeper utiliza la firma de código como criterio para
limitar el número de aplicaciones que pueden ejecutarse
en equipos OSX. Hay varios grados de protección posibles:
permitir únicamente las instalaciones realizadas desde
el Mac App Store oficial; autorizar la instalación de
aplicaciones de desarrolladores que Apple considere
fiables; o autorizar la instalación de aplicaciones
firmadas de cualquier desarrollador.
Sin embargo, aunque estas medidas de seguridad para
OSX ayudan a repeler las amenazas, tampoco son
infalibles. Con las soluciones de seguridad basadas en
firmas, siempre existe el riesgo de que las aplicaciones
infecten los equipos antes de que se creen las firmas
necesarias para bloquearlas. Además, existen aplicaciones
dañinas con firmas de desarrollador falsas o robadas.
En 2014, las amenazas dirigidas a OSX y a otros sistemas
operativos fueron muy similares. Los navegadores se
utilizaron para la propagación de troyanos, y amenazas
conocidas como Flashback, que infectó más de 600 000
equipos Mac en 2012, siguieron causando estragos (dos
variantes de este troyano ocuparon el tercer y el décimo
puesto por número de ataques). Entre los ataques más
habituales también se encuentran los que modifican la
configuración DNS, la del navegador o los parámetros de
búsqueda del equipo OSX.
La existencia de malware en algunas aplicaciones de
OSX piratas y la peligrosidad de estas quedó patente
sobre todo en dos casos.
El primer ejemplo fue el troyano OSX.Wirelurker, que
ataca tanto a los equipos Mac con OSX como a los
dispositivos iOS conectados a ellos. La amenaza se
hizo noticia al descubrirse en 467 de las aplicaciones
para OSX alojadas en una tienda no oficial ubicada en
China. Para cuando Apple se dio cuenta y procedió a
bloquearlas, ya se habían realizado 356 000 descargas.
38
http://www.thesafemac.com/iworm-method-of-infection-found/
Otro caso muy sonado fue el de OSX.Luaddit (o iWorm),
que añadía los equipos infectados a una botnet de OSX.
En este caso, la amenaza estaba oculta en copias pirata
de productos comerciales como Adobe Photoshop,
Microsoft Office y Parallels.38 Antes de conocerse el
problema, miles de personas habían descargado estas
versiones en sitios web de archivos Torrent.
Los troyanos OSX.Stealbit.A y OSX.Stealbit.B, cuya
finalidad es el robo de bitcoins, analizan el tráfico del
navegador para hacerse con los datos de acceso a los
principales sitios web de transacciones con esta moneda
electrónica. El segundo se situó entre los cinco primeros
puestos del ranking de amenazas para OSX en 2014.
También causó estragos el troyano OSX.Slordu, que
recopila información sobre los equipos infectados y,
al parecer, es un puerto OSX de una conocida puerta
trasera de Windows.
OSX.Ventir, por su parte, se distinguió por su estructura,
con componentes optativos para distintos fines: abrir
una puerta trasera, registrar pulsaciones de teclas o
instalar software espía. Los módulos descargados e
instalados en OSX varían según el uso que el atacante
quiera dar al equipo infectado.
OSX.Stealbit.A, cuya finalidad es el robo de bitcoins,
analiza el tráfico de del navegador para hacerse con
los datos de acceso a los principales sitios web de
transacciones con esta moneda electrónica.
Tipos de malware para MAC OSX más bloqueados en
dispositivos con este sistema operativo (2013-2014)
Puesto
Nombre
Porcentaje de
amenazas para
Mac en 2014
Porcentaje de
amenazas para
Mac en 2013
Nombre
1
OSX.RSPlug.A
21,2 %
OSX.RSPlug.A
35,2 %
2
OSX.Okaz
12,1 %
OSX.Flashback.K
10,1 %
3
OSX.Flashback.K
8,6 %
OSX.Flashback
9,0 %
4
OSX.Keylogger
7,7 %
OSX.HellRTS
5,9 %
5
OSX.Stealbit.B
6,0 %
OSX.Crisis
3,3 %
6
OSX.Klog.A
4,4 %
OSX.Keylogger
3,0 %
7
OSX.Crisis
4,3 %
OSX.MacControl
2,9 %
8
OSX.Sabpab
3,2 %
OSX.FakeCodec
2,3 %
9
OSX.Netweird
3,1 %
OSX.Iservice.B
2,2 %
10
OSX.Flashback
3,0 %
OSX.Inqtana.A
2,1 %
Fuente: Symantec I SDAP
MALWARE EN SISTEMAS VIRTUALES
La virtualización no ofrece ninguna garantía contra el malware. En la actualidad,
ya hay tipos de malware que detectan si se están ejecutando en una máquina
virtual y, en lugar de detenerse, alteran su modus operandi para reducir el riesgo
de detección.39 Hasta hace poco, solo en torno al 18 % del malware detectaba si
estaba ejecutándose en sistemas VMware, pero esta proporción se elevó al 28 % a
principios de 2014.40
Esta función no solo sirve para eludir a los investigadores de seguridad. Una vez instalado en una máquina
virtual, el malware podría pasar a otras máquinas
virtuales del mismo equipo o infectar el hipervisor, con
lo que sería mucho más peligroso y difícil de eliminar.41
De hecho, esta situación ya se ha dado con el malware
W32.Crisis, que trata de infectar imágenes de máquinas
virtuales guardadas en un equipo anfitrión.42
Para los responsables informáticos, estos ataques son
especialmente preocupantes, ya que escapan a los
sistemas de detección de intrusiones que analizan el
perímetro de seguridad y a los firewalls que utilizan
máquinas virtuales para aislar y detectar las amenazas
en los llamados sandboxes. Además, no todas las
máquinas virtuales están igual de protegidas que los
clientes o servidores tradicionales, debido a la falsa
creencia de que son inmunes al malware. Para que los
planes de seguridad y el ciclo de aplicación de revisiones
sigan siendo eficaces, las empresas deberían pensar en
cómo proteger los equipos de red, los hipervisores y las
redes definidas por software.
http://www.symantec.com/connect/blogs/does-malware-still-detect-virtual-machines
Ibíd.
41
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/threats_to_virtual_environments.pdf
42
Ibíd.
39
40
EXTORSIÓN DIGITAL:
BREVE HISTORIA DEL RANSOMWARE
Peter Coogan
En 2014, el denominado crypto-ransomware fue noticia
prácticamente todo el año. Mientras que el ransomware
corriente se limita a bloquear los dispositivos, esta
variante más nueva y virulenta cifra los archivos de datos
y, en la mayoría de los casos, no permite recuperarlos.
Sin embargo, el objetivo es el mismo en ambos casos:
convencer a la víctima de que pague un rescate para
librarse de la infección.
Aunque el ransomware existe desde hace más de una
década, su uso ha aumentado en los últimos años porque
reporta más ingresos a los ciberdelincuentes que otras
prácticas, como la creación de antivirus falsos. Podría
decirse que, de los antivirus falsos, se ha pasado al
ransomware y luego al crypto-ransomware, pero los
creadores de malware nunca se duermen en los laureles
y ya se empiezan a vislumbrar nuevos tipos de amenazas
digitales.
Los antivirus y el software de seguridad falsos son
aplicaciones de pago que hacen creer a los usuarios que
su equipo está infectado y que deben tomar medidas
para remediarlo, cuando en realidad se trata de un
engaño. Estos programas tienen una larga historia,
pero vivieron su momento cumbre en 2009. Según un
informe de Symantec, ese año se realizaron 43 millones
de intentos de instalación de software de seguridad falso
con 250 programas distintos, lo que supuso un coste de
entre 30 y 100 dólares estadounidenses para cada una
de las personas que compró software de este tipo.43
Se conoce como ransomware a un tipo de software
malicioso que bloquea los equipos infectados, impide
acceder a ellos y muestra a la víctima un mensaje de
ingeniería social en el que se solicita un pago a cambio
de desbloquearlos. En 2012, Symantec ya informó del
auge de este fenómeno y de lo que se cobraba por
eliminar las restricciones: de 50 a 100 EUR en Europa y
hasta 200 USD en Estados Unidos.44
Desde que en 2013 se descubrió Trojan.Cryptolocker45,
que reportó sustanciosos beneficios a quienes lo
usaron, los creadores de malware han tratado de
elaborar nuevos tipos de crypto-ransomware. En 2014,
se observó un mayor número de cepas que empleaban
nuevas plataformas y técnicas de evasión y presentaban
características distintas, aunque también siguieron
usándose otros métodos de extorsión ya conocidos.
Trojan.Cryptodefense46 (también llamado Cryptowall)
fue uno de los más prolíficos. Apareció a finales de
febrero de 2014 y, en un principio, se comercializó
con la denominación «CryptoDefense». Para evitar ser
detectado, empleaba la red de anonimato Tor, el cobro
en Bitcoins, el cifrado de datos con claves RSA de 2048
bits y medidas de presión para exigir el pago. Si la
víctima se negaba a pagar los 500 USD/EUR del rescate
solicitado en un principio, se le pedían otros 500 USD/EUR
más. Sin embargo, pronto se descubrió que el tipo de
cifrado elegido por los creadores del malware dejaba la
clave privada en el sistema, lo que permitía al afectado
salir indemne. Una vez descubierto esto, los autores
solucionaron el error y recomercializaron el malware con
el nombre de Cryptowall. Desde entonces, Cryptowall
ha seguido evolucionando e incorporando nuevas armas
como la elevación de privilegios, las técnicas de evasión de
análisis o el uso de la red Invisible Internet Project (I2P)
para garantizar una comunicación anónima. Cryptowall
reportó un beneficio conocido de al menos 34 000 USD
en su primer mes de existencia,47 y de más de un
millón de dólares en seis meses según cálculos de los
investigadores.48
Los creadores de ransomware siempre se han lucrado
atacando PC de Windows, y lo normal es que sigan
haciéndolo. Sin embargo, en 2014 empezaron a
interesarse también por otras plataformas. La banda
de ciberdelincuentes Reveton puso en circulación el
ransomware Android.Lockdroid.G49, también llamado
Koler, que atacaba los dispositivos Android de tres
maneras distintas mediante un sistema de distribución
del tráfico. Si la situación era propicia para el ataque
(por ejemplo, si alguien estaba viendo un sitio web
http://eval.symantec.com/mktginfo/enterprise/white_papers/b-symc_report_on_rogue_security_software_exec_summary_20326021.en-us.pdf
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/ransomware-a-growing-menace.pdf
46
47
http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month
48
http://www.secureworks.com/cyber-threat-intelligence/threats/cryptowall-ransomware/
49
43
44
45
controlado por la banda con un navegador determinado), el tráfico
se redirigía al tipo de ransomware más adecuado.
Ahora el ransomware puede propagarse a través de cualquier
plataforma. En Android, se usan técnicas de redirección que
provocan la descarga de Android.Lockdroid.G; en Internet Explorer,
se infecta a la víctima con el troyano Trojan.Ransomlock.G
mediante el kit de ataque Angler50; y otros navegadores para
Windows, Linux o Mac redirigen a los usuarios a Browlock51, otra
forma de ransomware que utiliza las herramientas del propio
navegador para bloquear el equipo y exigir un rescate.
En junio de 2014, se descubrió el primer ransomware para Android
capaz de cifrar archivos: Android.Simplocker52. Aunque la versión
original estaba en ruso, un mes después ya circulaba otra en inglés
(Android.Simplocker.B53) que se servía de la ingeniería social
para hacerse pasar por el FBI. En octubre de 2014, salió a la luz
Android.Lockdroid.E54 (Porndroid), que también solicitaba dinero
a la víctima en nombre del FBI y, además, le enviaba una foto suya
tomada con cámara del dispositivo. Posteriormente, surgieron otras
variantes de Android.Lockdroid tipo gusano que se propagaban
enviando mensajes SMS a los contactos de la libreta de direcciones
del dispositivo infectado con el objeto de engañarlos mediante la
ingeniería social.
No contentos con los dispositivos móviles y decididos a encontrar
otras fuentes de ingresos, los creadores de ransomware dieron con
otro objetivo: los sistemas de almacenamiento conectado a red
(NAS), en los que se almacena un gran número de archivos.
Trojan.Synolocker55 (o Synolocker a secas) les permitió atacarlos
aprovechando un defecto del software DiskStation Manager
de Synology. Gracias a esta vulnerabilidad, hasta entonces
desconocida, los delincuentes podían infiltrarse en los dispositivos,
cifrar todos los archivos y pedir un rescate a cambio de desbloquearlos.
Ahora existen soluciones que protegen los sistemas NAS, pero lo
ocurrido demuestra que quienes se valen del ransomware buscan
continuamente nuevos escenarios de ataque.
Ransomware para Android «Porndroid»
Pero ¿por qué cambia el ransomware con tanta rapidez? Los
ciberdelincuentes suelen pedir rescates de entre 100 y 500 dólares
estadounidenses, así que se trata de un negocio lucrativo. Además,
en 2014 los bitcoins se convirtieron en el método de pago estándar
para casi todo el ransomware nuevo, con lo que es fácil escudarse
en el anonimato y blanquear fácilmente las ganancias.
Según lo observado por Symantec, no solo ha aumentado el número
de cepas de ransomware, sino también el ritmo de crecimiento en
general. De 2013 a 2014, la incidencia del ransomware se incrementó
en un 113 %. La aparición de nuevas variedades y los beneficios
económicos hacen pensar que, lejos de desaparecer, esta práctica
será aún más frecuente en el futuro.
http://www.symantec.com/connect/blogs/massive-malvertising-campaign-leads-browser-locking-ransomware
52
53
54
55
50
51
ATAQUES DIRIGIDOS
RESUMEN
1
En 2014 se descubrieron aún más casos de ciberespionaje auspiciado
2
El malware cada vez está mejor diseñado porque los atacantes se están
3
Campañas como Dragonfly, Waterbug y Turla lograron infiltrarse en
por el Estado.
profesionalizando y usan técnicas avanzadas de ingeniería de software.
sistemas industriales, embajadas y otros objetivos importantes.
En 2014, el número de campañas de spear-phishing aumentó en un 8 %,
4
pero hubo menos ataques diarios porque los agresores se han vuelto más
pacientes y dedican más tiempo a recabar información y planificar los
ataques.
INTRODUCCIÓN
En 2014, Symantec analizó varios casos de ciberespionaje y recabó datos sobre las
tácticas utilizadas por los agresores para infiltrarse en miles de empresas de todo el
mundo que se creían a salvo. Las conclusiones son bastante alarmantes, ya que los
ataques cada vez son más complejos.
Imagínese que es responsable de seguridad de la información de un cuerpo diplomático de la Europa del Este.
Corre el año 2014 y hay indicios de que un troyano de
puerta trasera puede haber infectado los equipos de las
embajadas de toda Europa. Ante la duda, decide acudir a
una empresa de seguridad que le confirma sus peores sospechas. Al parecer, los empleados han sido víctimas de una
campaña de spear-phishing, y la infección se ha propagado
a través de mensajes de correo electrónico con troyanos.
Gracias a la pericia de los atacantes y a la variedad de
técnicas empleada (la explotación de vulnerabilidades de
día cero, el envío de mensajes de correo electrónico y los
ataques watering hole), el incidente ha pasado un tiempo
inadvertido, y ahora que se ha descubierto ya hay más de
4500 equipos infectados en más de cien países.56
En realidad, esto no es una situación hipotética como le
hemos hecho creer, sino la descripción del ataque Waterbug,
similar a otros ataques dirigidos como Turla y Regin.
56
57
Por las víctimas elegidas y la complejidad de los métodos de
ataque empleados, Symantec cree que los responsables son
un grupo apoyado por algún Estado.57
Para hacer frente a ataques cada vez más estudiados,
hay que extremar las medidas de seguridad informática y
poner coto a la ciberdelincuencia. No solo hay que lidiar
con quienes cuentan con el respaldo económico de algún
Estado. También hay hackers que actúan movidos por el patriotismo, hacktivistas, extorsionistas, ladrones de datos y
otros atacantes que usan técnicas similares pero con menos
medios y de forma menos sofisticada.
Los ataques realizados por correo electrónico siguen sin
amainar, los perpetrados a través de Internet cada vez son
más complejos y los espías usan más kits de ataque que
combinan varias técnicas en un solo paquete. Aunque los
ciberdelincuentes llevan muchos años usando estos kits,
ahora también se usan como herramientas de ciberespionaje.
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/waterbug-attack-group.pdf
Ibíd.
CIBERESPIONAJE
En 2014, los expertos de seguridad de Symantec estuvieron casi ocho meses estudiando a fondo Regin, uno de los tipos de malware de ciberespionaje más complejos que han existido jamás. Gobiernos, responsables de infraestructuras, negocios,
investigadores y particulares han sufrido su azote y, en el caso de los ataques a
empresas de telecomunicaciones, parece que el objetivo era escuchar las llamadas
derivadas mediante su infraestructura.58
Regin es tan complejo que se instala disimuladamente en
cinco fases y permite añadir o quitar funciones mediante un
diseño estructurado en módulos. Aunque hay otros tipos de
malware que comparten estas características (la carga en
varias fases y la modularidad), Regin es una obra de ingeniería avanzada sumamente profesional. Tiene decenas de
módulos para distintos fines, por ejemplo permitir el acceso remoto, hacer capturas de pantalla, robar contraseñas,
controlar el tráfico de red o recuperar archivos borrados.59
Algo así solo puede ser fruto de meses o quizá años de
desarrollo y de una inversión de recursos considerable.
Además, su complejidad y su extrema eficacia en operaciones de vigilancia a largo plazo hacen pensar que es obra de
un Estado nación.
Turla —otra campaña de ciberespionaje estudiada por
Symantec— demostró una laboriosidad comparable.60 En
este caso, se recurrió al spear-phishing y a los ataques
watering hole (que examinaremos más adelante) para arremeter contra los gobiernos y las embajadas de los países
del antiguo Bloque del Este. Una vez instalado, Turla dio a
los atacantes acceso remoto a los equipos infectados,
permitiéndoles copiar y borrar archivos, conectarse a
servidores y realizar otras actividades dañinas. Por el tipo
de víctimas y la complejidad del malware, Symantec cree
que los ataques también fueron obra de un grupo con apoyo
estatal.61
La gran cantidad de recursos del grupo de ataque «Equation
Group», recientemente descubierto,62 puso de manifiesto
que quizá los ataques de espionaje de años anteriores
(incluido 2014) fueran más especializados de lo que se
pensaba. Además, el avance en las técnicas utilizadas por
los grupos de espionaje ha impulsado un mercado negro en
el que se venden ataques de día cero, código personalizado
y otros métodos de ataque. Por si cabía alguna duda, el
caso de Equation Group demuestra que los espías emplean
los mismos métodos de desarrollo de software que las
empresas legítimas y son igual de profesionales a la hora de
diseñar ataques especializados.
http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance
http://www.symantec.com/en/uk/outbreak/?id=regin
60,61
http://www.symantec.com/connect/blogs/turla-spying-tool-targets-governments-and-diplomats
62
http://www.symantec.com/connect/blogs/equation-advanced-cyberespionage-group-has-all-tricks-book-and-more
58
59
SEGURIDAD CIBERNÉTICA EN ENTORNOS
INDUSTRIALES
El aumento en el número de dispositivos conectados a Internet abre nuevas vías
de ataque y aumenta el riesgo de sabotaje. Los sistemas de control industrial (ICS),
utilizados en procesos de producción y servicios públicos de todo el mundo, son especialmente vulnerables, ya que muchos tienen conexión a Internet para que sean
más fáciles de controlar.
Vulnerabilidades descubiertas en los sistemas ICS/SCADA entre 2012 y 2014
90
80
70
75
13
60
9
50
39
40
35
7
30
14
Vulnerabilidades
12
Vendedores únicos
10
8
6
2
10
2012
2013
2014
En 2014, Symantec observó un aumento en el número de
ataques a sistemas de control industrial. Por ejemplo, la
campaña de ciberespionaje Dragonfly afectó a operadores
de redes de distribución eléctrica, empresas generadoras
de electricidad, operadores de oleoductos y fabricantes de
equipos industriales.63 La mayoría de las víctimas se encontraban en Estados Unidos, España, Francia, Italia, Alemania,
Turquía y Polonia.
Aunque los ataques de Dragonfly a sistemas de control industrial recuerdan a Stuxnet (cuyo objetivo era el programa
nuclear iraní), son menos destructivos; más que perseguir el
sabotaje, se centran en el espionaje y el acceso persistente.
Sin embargo, si el grupo que ideó los ataques tuvo medios
para infiltrarse en importantes sistemas industriales, en
teoría también podría orquestar ataques de mayor envergadura.
El malware diseñado para esta campaña se adquiría en
foros en ruso y se propagaba con una combinación de
mensajes de spear-phishing y ataques watering hole realizados a través de Internet. Los ataques se dirigían primero
a empresas pequeñas y peor protegidas para ir avanzando
por la cadena de suministro hasta llegar a otras víctimas
más importantes.
64
4
20
63
Vulnerabilidades descubiertas
relacionadas con sistemas ICS y
SCADA, y número de fabricantes
afectados cada año
Muchas empresas tienen dificultades para proteger los
sistemas más antiguos, bien porque instalar las revisiones
lleva un tiempo que no pueden permitirse perder, bien
porque utilizan tecnologías internas o poco seguras. Por
ejemplo, muchos sistemas de automatización industriales
utilizan el protocolo OPC (OLE for Process Control),64 un
estándar abierto que, aunque está muy bien documentado,
es vulnerable al software falso porque apenas contempla
la necesidad de mecanismos de cifrado, autenticación y
seguridad en general. Uno de los objetivos de Dragonfly era,
precisamente, recopilar información de los sistemas OPC de
las empresas afectadas.
Dragonfly dio un nuevo giro a los ataques watering hole, ya
que el malware se instalaba a través de las actualizaciones
de software descargadas de los servidores de los fabricantes. En general, los ataques watering hole aprovechan las
vulnerabilidades de sitios web externos frecuentados por
las víctimas para infectarlas con malware cuando los visitan. En el caso de Dragonfly, los atacantes se sirvieron de
los servidores de actualización del software de los sistemas
ICS —algo que no había ocurrido antes— para ir atacando a
distintas empresas de la cadena de suministro.
http://www.symantec.com/connect/blogs/dragonfly-western-energy-companies-under-sabotage-threat
http://en.wikipedia.org/wiki/OLE_for_Process_Control
MÉTODOS DE RECONOCIMIENTO PREVIOS
AL ATAQUE
Las campañas de spear-phishing y los ataques watering hole se basan en la ingeniería
social, pero otros tipos de ataque prescinden del elemento humano y se centran en
buscar puntos débiles en el perímetro de seguridad de las víctimas hasta que logran
penetrar en la red.
Estas «maniobras de reconocimiento» son cada vez más
importantes para quienes quieren infiltrarse en la red de
una empresa. Generalmente, el primer paso es obtener
información sobre los sistemas para averiguar si presentan
puntos débiles que puedan aprovecharse.
Basta echar un vistazo a los principales ataques de día
cero de 2014 para darse cuenta de la importancia de estas
técnicas. La vulnerabilidad de día cero más usada fue, con
diferencia, la CVE-2013-7331, que no permite acceder a
un sistema vulnerable e infectarlo como suele ser habitual,
sino que solo sirve para recabar información sobre una red:
nombres de host, direcciones IP, nombres de rutas internas,
etc. Un atacante que conozca todos estos datos podrá planificar fácilmente su próximo ataque.
Además, la vulnerabilidad en cuestión tardó bastante en
resolverse. En 2013 se le asignó un CVE, pero no se divulgó
hasta febrero de 2014 y hasta septiembre de 2014 no
se hizo pública una solución, lo que dejó a los atacantes
204 días para actuar.
Pero ¿por qué no se corrigió antes? Como la vulnerabilidad
no permitía controlar los equipos afectados, posiblemente
se subestimó su gravedad y se pensó que no urgía tanto
resolverla. Al darse cuenta, los ciberdelincuentes aprove
charon para informarse sobre las redes que pretendían
atacar y conseguir más fácilmente sus objetivos.
Tal vez esto demuestre que el sector de la seguridad
necesita prestar más atención a las amenazas que suponen
un riesgo indirecto. Una vulnerabilidad que solo facilita
información sobre una red, un equipo o un dispositivo suele
considerarse menos grave que otra que tiene como consecuencia la elevación de privilegios. Sin embargo, puede ser
igual de peligrosa si se utiliza para descubrir sistemas vulnerables que, de lo contrario, habrían pasado inadvertidos.
ATAQUES WATERING HOLE REALIZADOS
APROVECHANDO VULNERABILIDADES DE
DÍA CERO
La actividad de los hackers a sueldo apodados «Hidden Lynx» se detectó en septiembre de 2013, pero en 2014 el grupo aprovechó una vulnerabilidad de día cero
bastante grave (CVE-2014-0332)65 para lanzar un ataque watering hole. Mientras el
ataque permaneció activo, en todos los equipos que visitaban el sitio web afectado se
abría una puerta trasera que permitía robar información o hacer ataques posteriores.
El sector aeroespacial francés y varios sitios web japoneses
también sufrieron ataques watering hole debido a otra vulnerabilidad de día cero (CVE-2014-1776), aunque en este
caso no creemos que Hidden Lynx estuviera involucrado.66
Otro ataque watering hole aprovechó una vulnerabilidad
de día cero de Adobe Flash (CVE-2014-0515) para atacar
a quienes usaban otro programa de un fabricante legítimo.
Las víctimas solo sucumbían al ataque si tenían instalados
tanto Flash como el otro programa, lo que indica que habían
sido cuidadosamente elegidas.
En otro caso, el grupo de ciberespionaje Sandworm
aprovechó una vulnerabilidad de Microsoft Windows sin
detectar para instalar malware en organizaciones67 como
la OTAN, en varios gobiernos (el de Ucrania y los de varios
países occidentales) y en empresas energéticas y de telecomunicaciones.
La plataforma Elderwood, identificada en 2012, aún sigue
en activo. A principios de 2014, aprovechó tres nuevas
vulnerabilidades de día cero para atacar.68
En 2014, se descubrieron 24 vulnerabilidades de día cero
(prácticamente las mismas que en 2013, año en el que se
batió una cifra récord). Aunque esto indique una cierta
estabilización en el número de vulnerabilidades detectadas
y explotadas, podría haber muchas más sin descubrir que
solo los atacantes conocen.
Para los atacantes, poder aprovechar una vulnerabilidad es
importante por dos motivos. En primer lugar, las vulnerabilidades que aún no se han hecho públicas tienen muchísimo
valor si pueden emplearse para obtener acceso remoto o
para reconocer el terreno antes de un ataque. En segundo
lugar, una vulnerabilidad puede reportar sustanciosos beneficiosos aunque el fabricante ya sepa que existe. Pueden
pasar días, semanas o meses hasta que se hace pública
una solución, e incluso más tiempo hasta que se adopta de
forma generalizada.
En el caso de las cinco vulnerabilidades de día cero más explotadas que fueron noticia en 2014, el plazo total transcurrido entre la fecha en que el fabricante hizo pública la vulnerabilidad y la publicación de una revisión fue de 295 días,
frente a los 19 de 2013. Las revisiones tardaron una media
de 59 días en aplicarse desde la fecha de publicación,
en comparación con los cuatro que se había tardado en
2013. La vulnerabilidad de día cero más explotada en
2014, CVE-2013-7331, ya se había detectado y clasificado
en 2013, pero no se divulgó hasta el año siguiente y el
fabricante tardó otros 204 días en publicar una revisión.
Las revisiones para la segunda y la tercera vulnerabilidades
de día cero más explotadas también se hicieron esperar
bastante (22 y 53 días, respectivamente; más que la media
del año anterior).
El periodo de exposición es algo que tienen muy en cuenta
los grupos de ataque dedicados al espionaje. Por ejemplo,
un sitio web utilizado para lanzar un ataque watering
hole puede dejar de aprovechar una vulnerabilidad de día
cero en cuanto el fabricante del software afectado la hace
pública (aunque aún no exista una revisión para solucionarla).
Los atacantes tienen tantos recursos a su disposición que,
en lugar de seguir aprovechando una vulnerabilidad ya
conocida, es posible que prefieran explotar otra que aún no
se ha descubierto.
http://www.symantec.com/connect/blogs/emerging-threat-ms-ie-10-zero-day-cve-2014-0322-use-after-free-remote-code-execution-vulnerabi
http://www.symantec.com/connect/blogs/zero-day-internet-vulnerability-let-loose-wild
67
http://www.symantec.com/connect/blogs/sandworm-windows-zero-day-vulnerability-being-actively-exploited-targeted-attacks
68
http://www.symantec.com/connect/blogs/how-elderwood-platform-fueling-2014-s-zero-day-attacks
65
66
Vulnerabilidades de día cero
24
+4 %
2014
23
2013
+64 %
14
2012
Fuente: Symantec I Deepsight, SDAP, Wiki
Datos sobre las cinco principales vulnerabilidades de día cero (tiempo necesario para
publicar una solución y porcentaje de ataques realizados tras añadirse una firma)
19 días
4 días
Tiempo de exposición total 2013
Tiempo medio necesario para
hacer pública una solución 2013
+276 días
+51 días
295 días
55 días
Tiempo de exposición total 2014
Tiempo medio necesario para
hacer pública una solución 2014
En 2014, el 57 % de los ataques realizados aprovechando las cinco principales vulnerabilidades sucedieron
una vez añadida una firma (antes de transcurridos 90 días) pero antes de que el fabricante hiciera pública una
solución.
57 %
2014
Puesto
CVE
Porcentaje en 2014
1
Microsoft ActiveX Control CVE-2013-7331
81 %
2
Microsoft Internet Explorer CVE-2014-0322
9,5 %
3
Adobe Flash Player CVE-2014-0515
7,3 %
4
Adobe Flash Player CVE-2014-0497
2,0 %
5
Microsoft Windows CVE-2014-4114 OLE
<1 %
En el caso de las cinco vulnerabilidades de día cero más explotadas, el periodo entre la fecha en que el fabricante hizo pública la
vulnerabilidad y la publicación de una revisión fue de 295 días (en 2013, había sido de 19 días). La tecnología de protección de
terminales de Symantec logró bloquear el 57 % de los ataques realizados aprovechando estas cinco vulnerabilidades en los primeros
90 días, incluso antes de que se hiciera pública una solución.
Total anual de vulnerabilidades de día cero, 2006 – 2014
25
24
23
20
15
13
15
14
14
12
10
9
8
5
2006
2007
2008
2009
2010
2011
2012
2013
2014
5 principales vulnerabilidades de día cero
Tiempo medio para resolver un vendedor
Tiempo de exposición total para las cinco vulnerabilidades indicadas
4 19
2013
59
2014
295
25
MILES DE ATAQUES DETECTADOS
81 % Microsoft ActiveX Control
CVE-2013-7331
20
81 %
10 % Microsoft Internet Explorer
CVE-2014-0322
15
10
7%
Adobe Flash Player
CVE-2014-0515
2%
Adobe Flash Player
CVE-2014-0497
Microsoft
ActiveX
Control
<1 % Microsoft Windows
CVE-2014-4114 OLE
5
0
25
50
75
100
125
150
175
200
225
250
275
300
N.º DE DÍAS TRANSCURRIDOS TRAS HACERSE PÚBLICA LA VULNERABILIDAD
En 2014, se alargó el periodo de exposición a las vulnerabilidades de día cero más explotadas (el plazo transcurrido entre el momento
en que se hace pública la vulnerabilidad y la fecha en que se facilita una revisión). Las vulnerabilidades CVE-2014-0322, CVE-20140515 y CVE-2014-4114 se aprovecharon para realizar ataques dirigidos, algunos de ellos relacionados con Hidden Lynx y Sandworm.
LA IMPORTANCIA DE CONOCER
LAS AMENAZAS
Una empresa que quiera saber a qué peligros se exponen sus redes deberá hacer lo
posible por informarse sobre las amenazas más recientes.
Ni siquiera basta con invertir en la tecnología adecuada.
Para saber quién corre riesgos, de qué forma y por qué, se
necesita una estrategia que combine las mejores soluciones
técnicas con sistemas de gestión de riesgos y recopilación
de información sobre amenazas. Es fundamental entender
qué riesgos existen porque, tarde o temprano, todas las
empresas sufren ataques.
Los ciberdelincuentes más avezados no solo usan kits para
explotar las vulnerabilidades más antiguas, sino también
las de día cero, así que es necesario poner el mayor número
de barreras posible para malograr sus ataques. Los sistemas de obtención de información sobre amenazas resultan
muy útiles en este sentido porque cotejan datos de toda
la empresa y crean listas de incidentes sospechosos. Los
empleados y sus competencias se someten a un análisis
constante, pero también se evalúan los procedimientos,
lo que permite tenerlos siempre al día, garantizar una
respuesta óptima y evitar que la plantilla pierda aptitudes.
No se convierta en el eslabón más débil de la cadena de
suministro; recuerde que, si las empresas se blindan mejor,
los atacantes tendrán esforzarse más.
TÉCNICAS UTILIZADAS EN LOS ATAQUES
DIRIGIDOS
Tamaño de las empresas que fueron objetivo del spear-phishing, 2011 – 2014
Gandes empresas
>2500 empleados
Medianas empresas
251 a 2500
empleados
Pequeñas empresas
(SMB) 1 a 250
empleados
100 %
50 %
39 %
41 %
31 %
25 %
31 %
30 %
34 %
2012
2013
2014
50 %
19 %
En 2014, el 41 % de los mensajes de
spear-phishing se enviaron a grandes
empresas. Los ataques de 2013 ya
habían demostrado que hasta las
pymes más pequeñas y anónimas
también corren peligro. Los realizados
en 2014 confirman que, muchas veces,
se empieza atacando a pequeñas y
medianas empresas que forman parte
de la cadena de suministro de otras más
grandes, ya que estas últimas suelen
estar más protegidas.
32 %
18 %
0
2011
Riesgo relativo de los ataques de spear-phishing según el tamaño de la empresa
Fuente: Symantec I .cloud, SRL
Riesgo relativo
en 2014
Porcentaje de
riesgo relativo
en 2014
Riesgo relativo
en 2014
Porcentaje de
riesgo relativo en
2013
Grandes empresas
Más de 2500
empleados
1 de cada 1,2
83 %
1 de cada 2,3
43 %
Empresas medianas
251-2500
empleados
1 de cada 1,6
63 %
1 de cada 3,5
33 %
Pequeñas empresas
1-250 empleados
1 de cada 2,2
45 %
1 de cada 5,2
19 %
En 2014, el 83 % de las grandes empresas fueron víctimas de campañas de spear-phishing, frente al 43 % de 2013.
Diez sectores industriales en los que más se centraron los ataques de
spear-phising, 2013 –2014
Producción
Servicios - No tradicional
18
13
11
Servicios - Profesional
Venta al por mayor
15
10
5
Transporte,
comunicaciones, gas, ...
7
6
5
Administración pública
Venta al detalle
20
14
Finanzas, aseguradoras
e inmobilidarias
En general, en 2014 el spearphishing afectó especialmente
a las empresas de fabricación,
que sufrieron uno de cada cinco
ataques, o el 20 %.
20
13
2
Minería
1
1
Construcción
1
1
16
3
2013
5
10
15
2014
20
25 %
Riesgo relativo de los ataques de spear-phishing según el sector
Sector (2014)
Riesgo
relativo
en 2014
Minería
1 de cada 2,3
Venta al por mayor
Porcentaje
de riesgo
relativo
en 2014
Porcentaje
de riesgo
relativo
en 2013
Sector (2013)
Riesgo
relativo
en 2013
43
Minería
1 de cada 2,7
37
1 de cada 2,9
34
1 de cada 3,1
32
Fabricación
1 de cada 3,0
33
Fabricación
1 de cada 3,2
31
Transporte, comunicaciones,
electricidad, gas y servicios
sanitarios
1 de cada 3,4
29
Venta al por mayor
1 de cada 3,4
29
1 de cada 3,4
29
Transporte, comunicaciones,
electricidad, gas y servicios
sanitarios
1 de cada 3,9
26
Finanzas, seguros y
bienes raíces
1 de cada 4,8
21
Finanzas, seguros y
bienes raíces
1 de cada 4,8
21
Venta al detalle
1 de cada 4,8
21
Servicios no tradicionales
1 de cada 6,6
15
Servicios no tradicionales
1 de cada 6,5
15
Construcción
1 de cada 11,3
8
Servicios profesionales
1 de cada 6,9
15
Agricultura, silvicultura
y pesca
1 de cada 12,0
8
Fuente: Symantec | .cloud, SRL
En 2014, el sector minero sufrió el mayor número de ataques. El 43 % de las empresas mineras (una de cada 2,3) fueron víctimas
de un ataque o más a lo largo del año. La categoría «Minería» incluye empresas de extracción, explotación minera de metales y
explotación de canteras de minerales.
Número diario de mensajes de spear-phishing
73
83
-12 %
2014
-28 %
116
2012
2013
Fuente: STAR Malware Ops
Aunque Symantec detectó un número algo menor de mensajes de spear-phishing, no hay indicios de que la intensidad de los ataques
dirigidos también esté disminuyendo. Hubo más campañas por correo electrónico, y los mensajes emplearon métodos más sutiles para
no ser detectados (por ejemplo, malware escrito para la ocasión o técnicas de ingeniería social).
Campañas de spear-phishing
2014
Diferencia
2013
Diferencia
2012
Campañas
841
+8 %
779
+91 %
408
N.º de
destinatarios
18
-20 %
23
-81 %
111
Ataques por
campaña
25
-14 %
29
-76 %
122
Duración media
de la campaña
9 días
+13 %
8 días
+173 %
3 días
En 2014 hubo un 8 % más de ataques dirigidos relacionados con campañas de spear-phishing, aunque el número de mensajes diarios
fue un 12 % más bajo. En general, los ataques de este tipo ya no son tan indiscriminados ni se envían a tantos destinatarios. Ahora
los atacantes dedican más tiempo a planificar y coordinar los ataques (lo que se conoce como «reconocimiento»). Symantec también
ha observado varios ataques dirigidos distribuidos en los que, aparentemente, han intervenido varios grupos. Aunque el número de
mensajes sea bastante alto, no se reconoce como spam por las técnicas de distribución y planificación utilizadas.
Nube de palabras de Spear-Phishing
Palabras más usadas en los ataques de Spear-Phishing
Riesgo relativo de los ataques de spear-phishing según el departamento
2014
Riesgo relativo en 2014
Porcentaje de riesgo relativo en 2014
Ventas y marketing
1 de cada 2,9
35 %
Operaciones
1 de cada 3,8
27 %
Finanzas
1 de cada 3,3
30 %
I+D
1 de cada 4,4
23 %
Informática
1 de cada 5,4
19 %
Ingeniería
1 de cada 6,4
16 %
Recursos humanos
1 de cada 7,2
14 %
Otro
1 de cada 9,3
11 %
Los empleados de ventas y marketing fueron los peor parados en 2014. Uno de cada 2,9 fue víctima del spear-phishing (o, lo que es
mismo, alrededor del 35 % del personal de ambos departamentos).
Riesgo relativo de los ataques de spear-phishing según el cargo
2014
Riesgo relativo en 2014
Porcentaje de riesgo relativo
Jefe de equipo
1 de cada 3,8
26 %
Empleado fijo
1 de cada 3,7
27 %
Empleado en prácticas
1 de cada 3,9
26 %
Directivo
1 de cada 5,4
19 %
Empleado del departamento de
asistencia
1 de cada 7,6
13 %
Otro
1 de cada 9,3
11 %
En 2014, los directivos fueron víctimas del spear-phishing con más frecuencia que otros cargos. Uno de cada 3,8 (el 26 %) lo fue al
menos una vez.
Media de ataques de Spear-Phishing al día, 2012-2014
250
225
200
175
150
125
100
75
50
25
0
E
M
M
J
S
N
E
M
M
2012
J
S
N
E
M
2013
M
J
S
N
2014
Análisis de los mensajes de spear-phishing utilizados en ataques dirigidos (2013-2014)
Puesto
Tipo de archivo adjunto
Porcentaje en 2014
Tipo de archivo adjunto
Porcentaje en 2013
1
.doc
41,2 %
.exe
31,3 %
2
.exe
24,0 %
.scr
18,4 %
3
.scr
9,7 %
.doc
7,9 %
4
.au3
8,7 %
.pdf
5,3 %
5
.jpg
4,9 %
.class
4,7 %
6
.class
3,6 %
.jpg
3,8 %
7
.pdf
3,3 %
.dmp
2,7 %
8
.bin
2,0 %
.dll
1,8 %
9
.txt
1,5 %
.au3
1,7 %
10
.dmp
1,1 %
.xls
1,2 %
En 2014, el 41 % de los archivos adjuntos utilizados en ataques de spear-phishing fueron archivos de Microsoft Office (un
porcentaje que, por primera vez, superó el de ejecutables). Al menos el 35 % de los ataques de spear-phishing podrían
evitarse si los adjuntos ejecutables y los salvapantallas se bloquearan en la pasarela de correo electrónico empresarial. Los
archivos adjuntos con malware también podrían neutralizarse antes de llegar a la pasarela mediante un sistema de filtrado
en la nube que identifique y elimine los ataques de spear-phishing antes de que lleguen a la red de la empresa.
PROTECCIÓN DE SISTEMAS INDUSTRIALES
Preeti Agarwal
Los ataques dirigidos ya no son intentos de intrusión realizados por novatos, sino
un arma de ciberespionaje esencial. Los sistemas de control industrial (ICS) se han
vuelto un blanco muy apetecible, e incluso hay quien los ataca con la intención
de desestabilizar la seguridad nacional. En vista de estos riesgos, los países están
dándose cuenta de la necesidad de proteger mejor los sistemas ICS con la inversión
y las medidas adecuadas.
Los sistemas de control industrial controlan, supervisan y
gestionan la infraestructura esencial de sectores relacionados con el suministro de energía eléctrica, el abastecimiento de agua y la gestión de aguas residuales, el petróleo y el
gas natural, el transporte y otras actividades industriales.
Algunos incluyen otros componentes, como sistemas de
supervisión, control y adquisición de datos (SCADA), controladores lógicos programables (PLC) o sistemas de control
distribuido (DCS).
Últimamente, los ataques a sistemas ICS se han vuelto muy
habituales. Según sus objetivos, que van desde el ciberespionaje hasta la inutilización del sistema, las repercusiones
sociales y económicas pueden ser graves. Sin embargo,
muchos no llegan a hacerse públicos para que no peligre
la reputación de la víctima, lo que lleva a subestimar la
gravedad del problema.
En 2010, salió a la luz Stuxnet, una amenaza diseñada para
atacar determinados sistemas SCADA y las instalaciones del
programa nuclear iraní. Desde entonces, todos los años han
surgido muchísimos tipos de malware de ataque, y 2014 no
ha sido una excepción. Los responsables de Dragonfly, una
campaña de ciberespionaje con distintos objetivos (sobre
todo en el sector energético), consiguieron atacar varios
sistemas ICS de gran importancia estratégica. Aunque no
llegaron a realizar operaciones de sabotaje, hubieran podido hacerlo, lo cual habría alterado el suministro eléctrico
de los países afectados.
Más recientemente, Sandworm atacó la interfaz hombremáquina (HMI) de varios fabricantes conocidos con una
campaña de malware de gran complejidad. Como estas
interfaces están conectadas a Internet, los atacantes se
sirvieron de ellas para explotar las vulnerabilidades del
software ICS y, posiblemente, para reconocer el terreno y
preparar otros ataques.
El último incidente de 2014 fue el ataque a una fábrica de
acero alemana cuyos altos hornos sufrieron graves daños a
raíz de un ataque cibernético.14
Los ataques a sistemas ICS han evolucionado y se han vuelto
más frecuentes, por lo que urge mejorar las medidas de
protección.
Una vez instalados, estos dispositivos tienden a utilizarse
durante años y se aíslan o se protegen con protocolos internos y hardware especializado cuya verdadera seguridad se
desconoce. Muchos de estos sistemas se crearon antes de
que las empresas usaran tecnologías basadas en Internet, y
en su diseño se tuvieron en cuenta aspectos como la fiabilidad, el mantenimiento y la disponibilidad, pero no tanto la
seguridad. Sin embargo, hoy en día es necesario que estén
conectados a la red de la empresa y que sean accesibles de
forma remota, lo que deja al descubierto sus vulnerabilidades
y cambia radicalmente la superficie de ataque.
La mayoría de los ataques a sistemas ICS se producen porque
en la infraestructura hay dispositivos clave con acceso a Internet que no están bien protegidos. Para permitir el acceso
remoto, algunos elementos de los sistemas SCADA (con los
que se supervisan plantas y equipos) utilizan la red empresarial para conectarse a Internet. Esto deja al descubierto
la red de control y aumenta los riesgos de que alguien sin
autorización acceda a los dispositivos o realice inspecciones,
análisis o ataques de fuerza bruta.
Algunos atacantes se sirven de las interfaces HMI para
hacerse con el control de los dispositivos, ya que por lo
general son accesibles desde la red empresarial. Alguien que
aproveche una vulnerabilidad de día cero para atacar los
hosts de una empresa podrá averiguar cuáles tienen acceso a
la red de control y utilizar esta información para infiltrarse en
los sistemas ICS.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile
69
Otra opción es buscar una interfaz HMI con conexión directa
a Internet, algo muy sencillo con cualquier motor de búsqueda. Una vez localizados los dispositivos de control, bastará
con que estén mal configurados o presenten vulnerabilidades
para lanzar un ataque. Ni siquiera hacen falta conocimientos
especializados.
Además de los puntos de entrada que acabamos de mencionar, los sistemas ICS y el software que utilizan tienen
vulnerabilidades que dejan la puerta abierta a quien quiera
aprovecharlas. Muchas aplicaciones web patentadas presentan problemas de seguridad que permiten realizar ataques
de desbordamiento de búfer, inyección SQL o secuencias de
comandos entre sitios. Además, si los métodos de autenticación y autorización son poco elaborados, el agresor podrá
acceder a las funciones más importantes del sistema ICS. Por
ejemplo, una autenticación descuidada en los protocolos ICS
podría permitir realizar ataques de interposición «Man-inthe-Middle» como el reenvío o la suplantación de paquetes.
También cabe la posibilidad de que el atacante envíe comandos no autorizados a controladores lógicos programables o
información de estado falsa a las interfaces HMI.
La lógica en escalera con la que se programan los PLC es un
elemento esencial de los entornos ICS. Alguien que consiga
infiltrarse en una estación de trabajo utilizada para crear y
cargar dicha lógica podrá diseñar ataques con técnicas de
ingeniería inversa.
Para proteger los entornos ICS, se necesita un plan de
seguridad exhaustivo en el que se definan los objetivos de
seguridad de la empresa (qué estándares se usarán, qué
leyes hay que cumplir, cuáles son los factores de riesgo y
su repercusión en la empresa, y qué medidas paliativas se
adoptarán si se produce un ataque). La seguridad debe estar
integrada en todas las fases de los procesos industriales,
desde la planificación hasta las operaciones cotidianas.
También deberían separarse la red de control y la de la empresa, ya que así habrá menos probabilidades de que alguien
use esta última para atacar. Sin embargo, muchos sistemas
ICS tienen que estar conectados a la red empresarial por
cuestiones prácticas. Si es así, habrá que limitar el número
de puntos de acceso, protegerlos con un firewall y usar canales de comunicación seguros como una red privada virtual.
Los entornos ICS están evolucionando, y está empezando
a ser habitual que los fabricantes ofrezcan asistencia para
el software de seguridad de los dispositivos de control en
servidores SCADA y en estaciones de trabajo de ingeniería
de uso general. Sin embargo, los controladores lógicos
programables y los sistemas de control distribuido siguen
usando sistemas operativos personalizados de determinados
fabricantes. Una vez instalados, no toleran las interrupciones
y tienen recursos limitados y código dependiente del tiempo,
lo que limita su compatibilidad con las típicas soluciones
de seguridad para sistemas informáticos empresariales. En
realidad, no hay ninguna solución milagrosa que garantice
plenamente la seguridad de los sistemas ICS. Lo mejor es
ir protegiendo cada capa de forma integral: el perímetro de
la red, los puntos de acceso a la red externa y a la red de la
empresa, el nivel de la red y los niveles de las aplicaciones y
los basados en hosts.
Además, los dispositivos de control tendrían que estar diseñados para ser seguros y los fabricantes deberían verificar
que lo sean antes de enviárselos al comprador.
Todo apunta a que, a partir de ahora, se usarán más las
tecnologías móviles, lo que permitirá acceder a las interfaces
HMI y controlarlas a distancia. Aunque los dispositivos móviles ayudarán a mejorar la eficiencia administrativa, también
crearán una nueva superficie de ataque.
También es posible que surjan otras técnicas de infiltración
en sistemas ICS y que se generalicen los kits de ataque, lo
que aumentaría el número de incidentes.
Como ya ocurrió con Stuxnet y sus derivados, las variantes
de las primeras amenazas dirigidas a sistemas ICS usaban
vectores y artefactos de ataque similares a sus antecesoras,
protocolos ICS estándar y troyanos de uso general. Es muy
probable que ya haya sistemas ICS que tengan instaladas
amenazas ocultas que, pese a estar aletargadas ahora mismo, podrían activarse cuando los atacantes así lo decidan.
Y también es posible que empiecen a descubrirse vulnerabilidades aún más graves en las infraestructuras y que haya
quien las aproveche con fines dañinos.
FUGAS DE DATOS
RESUMEN
1
En comparación con el año anterior, en 2014 hubo menos
«megafugas» (incidentes que dejan al descubierto más de diez
millones de identidades).
2
El total de fugas de datos aumentó.
3
En el 49 % de los casos, quienes roban los datos son atacantes
externos.
4
Los ataques a sistemas de puntos de venta se han vuelto más frecuentes y complejos.
5
El 57 % de quienes respondieron a una encuesta de Symantec
declararon que les preocupa que sus datos corran peligro.
INTRODUCCIÓN
En 2014 se siguieron robando cantidades ingentes de información privada. En
algunos casos, se atacó directamente a entidades bancarias u otras instituciones;
en otros, los datos se obtuvieron de los sistemas utilizados en los puntos de venta
de establecimientos comerciales.
El banco estadounidense JPMorgan Chase reconoció haber
sufrido uno de los mayores robos de datos de la historia,
que afectó a 83 millones de cuentas (76 millones de hogares y siete millones de pequeñas empresas).70
En septiembre de 2014, Home Depot fue víctima del robo
de 56 millones de números de tarjeta de crédito. Los sistemas utilizados en los puntos de venta de establecimientos
comerciales siguieron siendo objeto de ataque. Staples, por
ejemplo, sufrió el robo de un millón de registros de pago
con tarjeta de crédito.71 Sin embargo, muchos de estos
incidentes (tal vez la mayoría) no se detectan o no se hacen
públicos.72,73
En agosto de 2014, casi doscientas fotos de famosos aparecieron publicadas en el sitio web 4chan. La gran difusión
mediática de este incidente hizo cundir la alarma entre
los consumidores, preocupados por la confidencialidad de
sus datos. Apple aseguró que se habían realizado ataques
dirigidos a determinadas cuentas y que el robo no podía
atribuirse a un fallo de seguridad suyo.74
En 2014 hubo menos «megafugas» que en 2013, pero el
total de robos de datos fue un 23 % más alto. Los datos
personales y financieros siguen cotizándose a muy buen
precio en el mercado negro, por lo que cabe esperar que
los ciberdelincuentes sigan atacando a empresas de todos
los tamaños para hacerse con botines de mayor o menor
cuantía. La mayoría de estos robos no sucederían si las
víctimas tuvieran una normativa de seguridad sólida, formaran a sus empleados y contaran con sistemas de cifrado,
prevención de pérdidas de datos y detección de intrusiones.
Total de incidentes
312
Fuente: Symantec I CCI
+23 %
2014
253
+62 %
2012
2013
Fugas de datos que afectaron a más de diez millones de identidades
4
2014
-50 %
8
156
+700 %
2013
1
2012
Aunque en 2014 hubo menos «megafugas» (incidentes que dejan al descubierto más de diez millones de identidades), el total de fugas
en general permaneció en los niveles récord de 2013, lo que podría indicar el comienzo de una fase de gran actividad en este sentido.
http://www.reuters.com/article/2014/10/03/us-jpmorgan-cybersecurity-idUSKCN0HR23T20141003
http://staples.newshq.businesswire.com/press-release/corporate/staples-provides-update-data-security-incident
http://www.insurancejournal.com/news/west/2014/03/07/322748.htm
73
http://www.ponemon.org/news-2/7
Symantec
74
https://www.apple.com/uk/pr/library/2014/09/02Apple-Media-Advisory.html
70
71
72
Website Security Solutions I 55
Principales causas de la fuga de datos, 2013 – 2014
80
2014
70
2013
Porcentaje
60
50
49
40
30
34
29
20
27
22
21
10
8
6
0
Hackers
Hechos públicos
accidentalmente
Robo o pérdida
del ordenador
o el disco
Robo interno
Fuente: Symantec | CCI
La mayoría de los robos (el 49 %, frente al 34 % de 2013) fueron consecuencia de un ataque. Sin embargo, otro 22 % se clasificó con
la categoría «Divulgación accidental», y el 21 % se debió al robo o la pérdida de un ordenador o unidad. En estos dos últimos casos, si
los datos se hubieran cifrado nadie habría podido robar los datos. Lo positivo es que el porcentaje de robos debidos a estas dos causas
en 2014 fue inferior al 56 % de 2013.
Filtraciones de datos a lo largo del año, 2013 – 2014
40
180
159
35
147
140
130
120
30
113
25
100
20
78
80
60
15
59
53
INCIDENTES
IDENTIDADES EXPUESTAS (MILLONES)
160
43
10
40
32
23
20
12
3
6
8
J
J
0
E
F
2013
M
A
M
8
0,3 0,8
A
S
O
N
D
5
10
3
2
E
F
2014
M
1
1
A
M
J
J
A
S
O
6,5
N
0,4
0
D
El número de identidades expuestas a raíz de un robo de datos disminuyó de forma considerable en 2014. La cifra de 2013 (552 millones)
se redujo a 348 millones.
Total de identidades afectadas
384
-37 %
millones
552
93
+493 %
millones
millones
2013
2012
2014
Número de identidades afectadas a consecuencia de cada incidente
1 116 767
2 181 891
604 826
2014
2013
2012
-49 %
+261 %
Promedio de identidades afectadas a consecuencia de cada incidente
7000
+3 %
6777
2014
2013
-19 %
8350
2012
A primera vista, parece que se ha reducido el número de
identidades expuestas. El descenso se debe en parte a que
hubo menos «megafugas» que dejaran al descubierto más
de diez millones de identidades. También es posible que, en
vista de la gravedad de los incidentes producidos a finales
de 2013, las grandes empresas hayan aprendido la lección y
hayan tomado medidas de seguridad que reduzcan el riesgo
de fuga (por ejemplo, adoptar soluciones de prevención de
pérdida de datos que hagan muy difícil robarlos por más
que un intruso logre infiltrarse en la red).
Aunque la importancia de estos factores es innegable, los
datos recabados por Symantec dejan entrever otra posibilidad: un aumento en el número de empresas que no revelan
la cantidad de identidades expuestas. En 2013, esta información no se divulgó en 34 de cada 253 fugas registradas
(el 13 %), mientras que en 2014 la proporción fue de 61 de
cada 312 (el 20 %). Dicho de otro modo, la magnitud de
una de cada cinco fugas no llega a conocerse.
No es fácil explicar de forma categórica por qué esta información no se hace pública. En algunos casos, es posible que
las empresas afectadas no sean capaces de determinar el
número de identidades expuestas. En otros, lo más probable es que se callen por miedo a dañar su imagen pública.
Lo más preocupante es que esta tendencia podría indicar
que muchos robos de datos no llegan a ponerse en conoci
miento del gran público. Aunque algunos organismos públicos y sectores como el médico deben divulgar por ley estos
incidentes, en la mayoría de los sectores no existe esta
obligación. Algunas de las empresas que son víctima de un
robo tal vez prefieran mantenerlo en secreto y proteger su
reputación, y no se arriesgan a recibir sanciones por ello.
Muchos gobiernos de distintos lugares del mundo ya están
preparando leyes que regulen la divulgación de los robos de
datos, así que esto podría cambiar en los próximos años.
Sectores en los que se produjeron más incidentes
Puesto
Sector
1
Sanidad
116
37,2
2
Venta al detalle
34
10,9
3
Educación
31
9,9
4
Gobierno y sector público
26
8,3
5
Finanzas
19
6,1
6
Programas informáticos
13
4,2
7
Hostelería
12
3,8
8
Seguros
11
3,5
9
Transporte
9
2,9
10
Arte y medios de comunicación
6
1,9
Número de incidentes
Porcentaje de incidentes
Principales tipos de información robada
Puesto
Tipo (2014)
1
Nombres de personas
68,9
Nombres de personas
71,5
2
Números de identificación de
carácter administrativo (p. ej., n.os de
la seguridad social)
44,9
Fechas de nacimiento
43,1
3
Domicilios
42,9
Números de identificación de
carácter administrativo (p. ej., n.os de
la seguridad social)
39,5
4
Información financiera
35,5
Domicilios
37,5
5
Fechas de nacimiento
34,9
Historiales médicos
33,6
6
Historiales médicos
33,7
Números de teléfono
19,0
7
Números de teléfono
21,2
Información financiera
17,8
8
Direcciones de correo electrónico
19,6
Direcciones de correo electrónico
15,4
9
Nombres de usuario y contraseñas
12,8
Nombres de usuario y contraseñas
11,9
10
Información relacionada con planes
de seguros
11,2
Información relacionada con planes
de seguros
5,9
2014 %
Tipo (2013)
2013 %
Los nombres de personas, números de la seguridad social y domicilios fueron los tres principales tipos de información robada en 2014.
Los robos de información financiera, que en 2013 constituían el 17,8 % del total de fugas, pasaron a representar el 35,5 % (el mayor
incremento dentro de los diez principales tipos de información robada).
LOS COMERCIANTES, EN EL PUNTO
DE MIRA
Los comercios interesan muchísimo a los atacantes y sufren cada vez más robos de
información financiera. En 2014, el número de identidades expuestas fue mayor en
el sector minorista que en ningún otro (el 60 % del total, frente al 30 % de 2013), un
honor que es más bien todo lo contrario. La información financiera se ha convertido
en el cuarto tipo de información robada con más frecuencia. En 2013, el 17,8 % de
los datos robados la contenían, pero en 2014 esta cifra se elevó al 35,5 %.
Sectores en los que se dejaron al descubierto más identidades
Puesto
Sector
Número de identidades
afectadas
1
Venta al detalle
205 446 276
59,0 %
2
Finanzas
79 465 597
22,8 %
3
Programas informáticos
35 068 405
10,1 %
4
Sanidad
7 230 517
2,1 %
5
Gobierno y sector público
7 127 263
2,0 %
6
Redes sociales
4 600 000
1,3 %
7
Telecomunicaciones
2 124 021
0,6 %
8
Hostelería
1 818 600
0,5 %
9
Educación
1 359 190
0,4 %
10
Arte y medios de comunicación
1 082 690
0,3 %
Principalmente, se roban datos de tarjetas de crédito o de
débito, aunque también otros tipos de información financiera, como datos de cuentas bancarias o documentos con
información fiscal. La venta por Internet está relacionada
con bastantes incidentes, pero últimamente están multiplicándose los ataques a sistemas de puntos de venta.
Los primeros ataques de este tipo comenzaron en 2005,
pero en 2014 Symantec observó que había muchos más.
Ahora son el principal método de robo de datos de tarjeta
de crédito75 y, en 2013 y 2014, fueron la causa de algunas
de las mayores fugas.
Porcentaje de identidades
afectadas
Los sistemas de los puntos de venta son inseguros por
varios motivos. No cifran los datos o usan un cifrado
ineficaz, el software presenta vulnerabilidades y utilizan
sistemas operativos obsoletos como Microsoft Windows XP,
para el que se dejó de ofrecer asistencia en 2014. Además,
fuera de Europa, el ritmo de adopción de las tarjetas de chip
con PIN es muy lento. Se espera que la seguridad mejore en
los próximos años gracias a nuevos métodos de pago como
Apple Pay y a la generalización de las tarjetas con chip en
países como Estados Unidos. Sin embargo, a corto plazo los
ataques seguirán siendo habituales.
Las empresas de pagos con tarjeta de crédito suelen detectar con rapidez los patrones de pago anómalos, y entre los
propietarios de las tarjetas también hay personas atentas
a ellos. Por esta razón, los delincuentes se abastecen continuamente de nuevos números de tarjeta que adquieren en
los mercados de compraventa por Internet.76
75
76
http://securityresponse.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/attacks_on_point_of_sale_systems.pdf
http://www.symantec.com/connect/blogs/demystifying-point-sale-malware-and-attacks
LA IMPORTANCIA DE PROTEGER LOS
DATOS CONFIDENCIALES
Debido al aumento de los robos de datos en los últimos años, ahora los consumidores se preocupan más por su información privada. En nuestro informe sobre
el estado de la privacidad en 2015 (State of Privacy Report 2015) publicamos los
resultados de una encuesta realizada en la Unión Europea77 según la cual el 59 %
de los participantes había vivido en carne propia algún incidente relacionado con la
protección de los datos.
Con «incidente» no solo nos referimos a aquellos casos en
los que una empresa avisa a sus clientes de que ha sufrido
un robo de datos, sino también a contratiempos como el
pirateo de cuentas de correo electrónico, el robo de datos
bancarios, el robo de identidades por Internet, los virus
informáticos, la suplantación de identidades en las redes
sociales o la respuesta a mensajes falsos o a estafas difundidas a través de Internet.
El 57 % de quienes respondieron a la encuesta declararon
que les preocupaba que sus datos corrieran peligro. Este
dato pone de manifiesto la importancia de la seguridad de
los datos para los consumidores. El 88 % la considera un
factor decisivo para decantarse por una empresa —más
que la calidad de un producto (que antepone el 86 %) o la
atención al cliente (más valorada por el 82 %).
Además, solo el 14 % de los encuestados no mostraron
ningún tipo de reticencia a compartir sus datos con terceros. Al 47 % le disgusta hacerlo, y el 35 % exige que se le
comunique de algún modo qué datos se comparten.
Por otro lado, los atacantes se han vuelto más pacientes.
Una vez que logran infiltrarse en una empresa, no actúan
de inmediato, sino que dedican un tiempo a analizar la
actividad de la red y los patrones y hábitos de conducta de
los usuarios para elegir a las víctimas y hacerse pasar por
ellas. Los ataques repentinos han dado paso a la paciencia
y al robo progresivo de datos legítimos. Además, al pasarse
un tiempo estudiando los ciclos de comportamiento, los atacantes tienen más facilidad para camuflar sus actividades y
hacer que parezcan normales.
Hoy en día, los límites del perímetro empresarial ya no
están tan claros como antes, y los dispositivos móviles no
hacen sino dificultar la situación. Además, cada vez más
gente accede desde un dispositivo móvil a datos almacenados en la nube, lo cual es peligroso porque estos aparatos
tienden a guardar las contraseñas en caché y, en caso de
robo, el riesgo de que no estén cifradas es mayor que en un
ordenador portátil.
Las respuestas también indican que los encuestados están
cambiando de hábitos y optando por la automoderación.
Según las investigaciones realizadas por Symantec, más
de la mitad (el 57 %) ya hace lo posible por no publicar
datos personales en Internet. Pero hay otro dato que podría
resultar fatídico para las empresas: uno de cada tres
consumidores reconoció haber facilitado información falsa
para protegerse.
77
http://www.symantec.com/content/en/us/about/presskits/b-state-of-privacy-report-2015.pdf
ROBOS DE DATOS EN EL SECTOR MÉDICO
Axel Wirth
Los proveedores de servicios sanitarios están viéndose obligados a adoptar sistemas clínicos digitales y a usar registros electrónicos. El mercado así se lo exige y,
además, dar el paso les permite prestar un mejor servicio, reducir los costes y asegurarse de cumplir la normativa. A esto hay que sumar el rápido aumento del volumen de datos, consecuencia del envejecimiento de la población (con el que muchas
enfermedades se convierten en crónicas), los nuevos métodos de diagnóstico (que
mejoran la calidad de los resultados) y el aumento del número de pacientes con
derecho a recibir atención médica.
Las infraestructuras informáticas cada vez son más
complejas, ya que deben permitir incorporar toda la información que va acumulándose, facilitar su intercambio y ser
compatibles con la prestación de nuevos servicios médicos
y modelos de reembolso. Todo esto ha hecho que el sector
médico sea más atractivo para los atacantes y corra un
mayor riesgo de sufrir robos de datos, accidentales o no.
En 2014, los robos de datos médicos aumentaron en un
23 %. La mayoría de ellos (a diferencia de otras fugas de
datos) se deben a errores humanos o a robos de dispositivos que no siempre están relacionados con los datos que
contienen. En el sector médico, la pérdida y el robo de
dispositivos son la razón por la que suceden más incidentes
de este tipo. Según el informe sobre el crimen cibernético
de Norton, el 45 % de las fugas de datos que afectaron al
sector médico obedecieron a estas causas (un 10 % más
que el año anterior). Los casos de divulgación accidental de
identidades debido a un error aumentaron en un 11 % con
respecto a 2013.
Sin embargo, el robo de historiales para la suplantación de
identidades médicas, el fraude financiero o el uso ilegítimo
de planes de seguros también es un problema cada vez
mayor. Los ladrones están tan interesados en obtener datos
personales e información médica confidencial que no dudan
en infiltrarse en empresas del sector médico o en ofrecer
dinero al personal interno a cambio de obtener copias
electrónicas o impresas de historiales médicos. En 2014, el
número de robos de datos perpetrados por personal interno
fue más del doble que el año anterior, y los debidos al hacking
aumentaron en un 82 %.
78
En la actualidad, los ataques más avanzados suelen
dirigirse a sectores como el minorista (en el que es mas
fácil robar grandes cantidades de registros electrónicos), y
algunos atacantes recurren a actividades delictivas como
la extorsión, el chantaje o el espionaje de famosos. Sin
embargo, los ataques a todo tipo de empresas del sector
médico —desde grandes centros de investigación universitarias hasta hospitales pequeños— se han disparado en
todo el mundo y superan en número a los sufridos en otros
sectores. Ni siquiera los centros médicos más pequeños y
aislados están a salvo. En Estados Unidos, un hospital del
sur de Illinois con tan solo 22 camas recibió un mensaje
de correo electrónico con datos de pacientes robados. El
remitente amenazaba con divulgar la información si no se
pagaba un rescate.78
Aunque hay hospitales que tienen programas de ciberseguridad ya consolidados, muchos siguen viéndoselas
y deseándolas para solucionar cuestiones básicas (por
ejemplo, cómo cifrar los datos para que estén protegidos si
alguien roba un dispositivo móvil, un ordenador portátil u
otros soportes). Es frecuente que no se invierta lo suficiente
en seguridad cibernética, algo que puede salir muy caro
porque ahora los delincuentes usan ataques más elaborados y suelen poner más cuidado en elegir a sus víctimas.
Por desgracia, en el sector médico casi nadie está preparado para afrontar los riesgos, ya se trate de hospitales,
empresas farmacéuticas o de biotecnología, fabricantes de
dispositivos médicos, aseguradoras médicas, organismos de
salud nacionales u otras empresas con personal médico.
Illinois hospital reports data blackmail (Un hospital de Illinois denuncia un chantaje relacionado con el robo de datos). PC World, 15 de diciembre de 2014:
http://www.pcworld.com/article/2859952/illinois-hospital-reports-data-blackmail.html
En Estados Unidos, el Instituto SANS, el Departamento de
Seguridad Nacional, el FBI, y la FDA han dado la voz de
alarma, pero el problema afecta a muchos otros países
donde también se han producido incidentes. La información
médica es un bien muy preciado en el mercado negro, y los
delincuentes la usan para lucrarse de muchas maneras y
por motivos muy diversos.
Mientras que los números de tarjeta de crédito se venden
a un precio de entre medio dólar y un dólar en el mercado
negro, los datos personales y la información sobre seguros
básica oscila entre los 10 y los 50 dólares81, 82 según lo
completa que esté. A veces, el pack incluye tarjetas médicas
de aseguradoras listas para usar, carnés de conducir y
tarjetas de crédito.
Los datos comercializados, mucho más detallados que
los obtenidos por otras vías, suelen incluir información
demográfica, documentos de identidad oficiales, cuentas
bancarias, datos de tarjetas de crédito, datos de acceso
a planes de seguros e información sobre la progresión de
enfermedades y las características físicas del titular. Toda
esta información puede servir para cometer delitos como la
suplantación de identidad, el fraude financiero, la falsificación de recetas, la obtención de servicios médicos o la
reventa de datos en el mercado negro. Además, alguien que
conozca las características físicas de los pacientes podría
tratar utilizarlas para obtener pasaportes, visados u otros
documentos de identidad.79 La exhaustividad y variedad de
los datos es un imán para los delincuentes.
En el sector médico, el número de robos de datos es elevado
y, además, está aumentando. Hasta hace poco, las empresas médicas lidiaban sobre todo con la pérdida o el robo de
dispositivos, pero ahora sufren más ataques dirigidos. En
los casos en los que llega a producirse un robo de datos, las
consecuencias tanto para ellas como para sus pacientes son
considerables. Lo habitual sigue siendo que la información
se divulgue de forma accidental o porque alguien pierda
un dispositivo, pero los robos realizados por atacantes
externos y personal interno están aumentando con rapidez.
Ante esta situación, el sector médico en su conjunto debe
establecer normas y protocolos de actuación que cubran
tanto el robo o la pérdida de dispositivos como los intentos
de apropiación de datos para sacarles provecho económico.
Para las víctimas del robo de identidades médicas, las
consecuencias no son solo económicas. Los errores en los
datos de un historial pueden influir en los diagnósticos y
tratamientos o retrasarlos, suelen ser difíciles de corregir
y, en algunas circunstancias, incluso pueden empeorar las
perspectivas laborales de la persona afectada. Además, en
los casos de fraude financiero la responsabilidad de la víctima es limitada, pero la protección frente al fraude médico
y sus consecuencias a largo plazo es mucho menor.80
Medical identity theft proves lucrative in myriad ways (El robo de identidades médicas ofrece innumerables maneras de lucrarse). Fierce Health IT, 21 de octubre
de 2014: http://www.fiercehealthit.com/story/medical-identify-theft-proves-lucrative-myriad-ways/2014-10-21?utm_medium=nl&utm_source=internal
The Growing Threat of Medical Identity Fraud: A Call to Action (La suplantación de identidades médicas, un riesgo cada vez mayor ante al que hay reaccionar).
Medical Identity Fraud Alliance (MIFA), julio de 2013: http://medidfraud.org/wp-content/uploads/2013/07/MIFA-Growing-Threat-07232013.pdf
81
Your medical record is worth more to hackers than your credit card (Para los hackers, su historial médico vale más que su tarjeta de crédito). Reuters, 24 de
septiembre de 2014: http://www.reuters.com/article/2014/09/24/us-cybersecurity-hospitals-idUSKCN0HJ21I20140924
82
Stolen EHR Charts Sell for $50 Each on Black Market (Los gráficos robados basados en historias clínicas electrónicas se venden a 50 dólares en el mercado negro).
MedScape, 18 de abril de 2014: http://www.medscape.com/viewarticle/824192
79
80
ENGAÑOS EN LAS
REDES SOCIALES
RESUMEN
1
Quienes tientan a los usuarios de las redes sociales con falsas
promesas (por ejemplo, ofreciéndoles productos para perder peso,
sexo o dinero) lo hacen porque, con los programas de afiliación,
cada clic y cada inscripción les reporta un beneficio.
2
Si, como sucede a menudo, la víctima utiliza la misma contraseña en
varias redes, bastará con conseguir los datos de acceso a una para
enviar mensajes no deseados desde todas ellas.
3
Los estafadores se han dado cuenta de la importancia de la «prueba
social» y ahora se sirven de personas reales para difundir sus engaños, en lugar de utilizar redes de bots.
4
En muchos casos, el phishing explota el temor al hacking y a situaciones de alarma sanitaria, o bien utiliza como señuelo noticias
escandalosas sobre famosos, ya sean verdaderas o falsas.
INTRODUCCIÓN
En 2014, los delincuentes hicieron suya la ley de la «prueba social», según la cual
valoramos más aquello que otras personas aprueban o comparten. Por poner un
ejemplo, si le damos a elegir a alguien entre un restaurante vacío y otro con una
gran cola, lo normal es que prefiera esperar porque pensará que el que tiene más
gente es mejor.
Los hackers que se apropian de cuentas en plataformas
como Snapchat lo hacen apoyándose en esta teoría,
ya que la gente se fía más de los enlaces que publican
las personas que conoce o de los productos que
recomiendan, lo que hace que no adviertan el engaño del
que están siendo objeto.
Aunque en 2014 los estafadores mejoraron sus tácticas
y empezaron a utilizar otras plataformas, gran parte
de su éxito siguió debiéndose a la credulidad de sus
víctimas, que cayeron en trampas muy simples y fáciles
de evitar.
En 2014, los consumidores tampoco fueron conscientes
del valor de sus datos, y no se molestaron en comprobar
si los sitios web en los que facilitaban su dirección
de correo electrónico y otros datos de acceso eran de
verdad legítimos.
LAS REDES SOCIALES, TODO UN FILÓN PARA
LOS ESTAFADORES
A los delincuentes les gustan las multitudes, así que es lógico que frecuenten las
redes sociales más conocidas en busca de víctimas a las que engañar. Últimamente,
también han advertido el auge de las aplicaciones de citas y mensajería y han
empezado a actuar en estas plataformas.
Por ejemplo, el fallecimiento de Robin Williams hizo que
mucha gente compartiera un supuesto vídeo de despedida que era, en realidad, una estafa encubierta. Para
ver el vídeo (que nunca llegaba a mostrarse porque en
realidad no existía), los usuarios tenían que compartirlo
con sus amigos y rellenar una encuesta, descargar un
programa o visitar un sitio web de noticias falso.83
Facebook, Twitter y Pinterest
En 2014, los usuarios de las redes sociales compartieron
más contenidos dañinos de forma manual sin sospechar
que eran cómplices de los estafadores y que los vídeos,
historias e imágenes publicados contenían enlaces a
sitios web afiliados o infectados. El agravamiento de este
problema fue uno de los grandes cambios del año.
Cuadro de diálogo de Facebook en el que se invita a
compartir un vídeo. El número de comentarios y las veces
que se ha compartido son falsos.
En el sitio web al que conduce el enlace se pide al usuario
que instale un complemento de Facebook falso.
Medios sociales, 2012-2014
Porcentaje
80
2012
81
70
2013
60
2014
50
56
40
30
20
23
10
18
10
0
Ofertas falsas
Fuente: Symantec | Safe Web
83
70
7
5
Secuestro
del botón
«me gusta»
0
0
1
Secuestro de
comentarios
3
2
1
Aplicaciones
falsas
2
Contenidos
compartidos de
forma manual
http://www.symantec.com/connect/blogs/robin-williams-goodbye-video-used-lure-social-media-scams
En 2014, el 70 % de
las amenazas que
se propagaron en
las redes sociales lo
hicieron sirviéndose de
los propios usuarios.
El año anterior, este
porcentaje había sido
de un escaso 2 %.
Cuando se comparten contenidos de forma manual, los
delincuentes tienen el trabajo hecho porque las personas y sus redes se convierten en sus títeres sin saberlo.
En otros casos, hace falta algo más de esfuerzo y dominar ciertas técnicas de hacking o secuestro. Por ejemplo, el likejacking y el comment jacking (literalmente,
secuestro de «Me gusta» y de comentarios) incitan a la
víctima a hacer clic en un botón para ver algo que le interesa. Aunque el texto del botón diga «Continuar» o «Confirmar», en realidad el usuario está comentando una
publicación o indicando que le gusta, lo que aumenta la
popularidad y el alcance.
Por lo general, las víctimas dan la información sin pensárselo dos veces. El 68 % de los encuestados para un
informe sobre aplicaciones móviles realizado por Norton
se declararon dispuestos a facilitar distintos tipos de información personal a cambio de una aplicación gratis.86
En el caso que se ilustra en la imagen de abajo, hubo
quien accedió a enviar 0,99 USD a cambio de recibir el
dinero que ofrecían los supuestos ganadores de la lotería
(que, desde luego, no llegaba nunca). Una cantidad tan
pequeña no despierta sospechas, pero los estafadores
no solo van juntando calderilla, sino que también consiguen datos personales.87
Instagram
Estos engaños son muy frecuentes en Instagram, en
parte porque la plataforma no dispone de un sistema de
verificación de cuentas. En cuanto un usuario cae en la
trampa, sus seguidores ven la imagen publicada y corren
la misma suerte.
La plataforma de publicación de imágenes Instagram
tiene más usuarios activos que Twitter y es un importante canal de marketing para las marcas.84,85 En 2014,
el afán de lucro de los delincuentes les llevó a crear
cuentas falsas y a hacerse pasar por empresas para
publicar ofertas en su nombre.
En un caso, se crearon cuentas falsas de personas que,
supuestamente, habían ganado la lotería y estaban
dispuestas a compartir el premio con quien empezara
a seguirlas. En otra ocasión, los estafadores se hicieron
pasar por marcas conocidas que ofrecían vales-regalo a
los usuarios a cambio de seguir la cuenta falsa y facilitar
sus datos personales en los comentarios (p. ej., una
dirección de correo electrónico).
Una vez que una cuenta falsa tiene suficientes seguidores, sus creadores le cambian el nombre, la foto y la
biografía para que, cuando se descubra el engaño, la
gente no pueda identificarla y denunciarla. A continuación, la cuenta modificada con todos sus seguidores se
vende al mejor postor. Lo habitual es que poco después
aparezca un nuevo perfil similar al primero y el propietario diga que su cuenta original había sido «pirateada»
y, de este modo, el proceso vuelve a comenzar.
Cuentas de usuarios de Instagram
que se hacían pasar por ganadores
de la lotería88
http://blog.instagram.com/post/104847837897/141210-300million
https://investor.twitterinc.com/releasedetail.cfm?ReleaseID=878170
86
Image from: http://www.symantec.com/connect/blogs/instagram-scam-lottery-winners-impersonated-offer-money-followers
87
http://www.slideshare.net/symantec/norton-mobile-apps-survey-report
88
http://www.symantec.com/connect/blogs/instagram-scam-lottery-winners-impersonated-offer-money-followers
84
85
Plataformas de mensajería
2014 golpeó con dureza a Snapchat, la aplicación social
en la que las imágenes y los vídeos enviados se autodestruyen a los diez segundos de recibirse.
En octubre, varias cuentas fueron pirateadas y algunos
usuarios recibieron un mensaje de amigos suyos que
contenía un enlace relacionado con pastillas adelgazantes. Según Snapchat, los atacantes habían robado los
datos de acceso a otro sitio web, y solo habían logrado
infiltrarse en Snapchat porque los propietarios de las
cuentas afectadas usaban la misma contraseña para
distintos servicios.89
una aplicación externa no aprobada que resultó ser la
causa del problema.
Por lo general, las redes sociales más nuevas cuentan
con políticas de seguridad y confidencialidad imperfectas, y los usuarios empeoran la situación al usar la
misma contraseña en varias plataformas y al buscar aplicaciones sin verificar que ofrezcan funciones complementarias.
A menos que los usuarios extremen las precauciones,
seguirán siendo víctimas del secuestro de cuentas de las
plataformas más populares del 2015.
Los servicios de simplificación de direcciones URL son
muy útiles para los usuarios de las redes sociales, pero
también para los spammers, ya que camuflan el nombre
de dominio del sitio web. En el caso de bit.ly, con tan
solo añadir el signo «+» al final del enlace, tanto los
spammers como sus afiliados tienen acceso a estadísticas sobre clics y otros datos demográficos.
Los enlaces abreviados no solo se envían por correo
electrónico; también es frecuente incluirlos en mensajes
SMS. Y algunos tipos de spam modernos se propagan a
través de las redes sociales.
En octubre, Symantec fue testigo de un incidente
conocido en Internet como «the snappening», a raíz del
cual empezaron a publicarse en Internet imágenes de
Snapchat que deberían haberse borrado. Al parecer,
algunos usuarios archivaban sus fotos de Snapchat con
Cuenta de usuario legítima utilizada para enviar spam a los
amigos de la víctima. Snapchat reaccionó con rapidez y avisó a
los afectados poco después.
3
2
1
19 enero, 2015
24 enero, 2015 29 enero, 2015
Clics obtenidos con la dirección URL incluida en el mensaje de spam de Snapchat del ejemplo anterior
89
http://www.symantec.com/connect/blogs/hacked-snapchat-accounts-use-native-chat-feature-spread-diet-pill-spam
Estafas en sitios web pornográficos o de contactos
El contenido sexual siempre ha estado muy ligado a la
ciberdelincuencia, y 2014 no fue ninguna excepción.
En 2014, las estafas relacionadas con material de esta
índole empezaron a afectar a aplicaciones de citas como
Tinder y servicios de mensajería como Snapchat y Kik
Messenger. En todos estos casos, los estafadores eran
miembros de un programa de afiliación que les reportaba una comisión cada vez que alguien hacía clic en un
enlace y se inscribía en un sitio web externo.90
El contenido sexual suele ser un reclamo eficaz. En
menos de cuatro meses, una campaña relacionada con el
sitio web blamcams.com se tradujo en casi medio millón
de clics en siete direcciones URL, una cifra muy jugosa
que benefició a dos tipos de estafadores: los que cobraban comisiones de programas de afiliación y los que
usaban enlaces a sitios de webcams falsos para robar
datos de tarjetas de crédito.92
Unos programas de afiliación remuneran cada clic, mientras que otros exigen que la víctima se inscriba en un
sitio web y facilite los datos de su tarjeta de crédito.
Algunos sitios web pagan seis dólares por cada inscripción y hasta sesenta si alguien se suscribe a un servicio
premium91, lo que permite a los ciberdelincuentes
obtener pingües beneficios (profundizaremos en este
tema más adelante, en el apartado «Los programas de
afiliación, el verdadero motor del engaño en las redes
sociales»).
Normalmente, se empieza mostrando un perfil de una
joven atractiva que propone a la víctima un encuentro
sexual, la invita a ver grabaciones íntimas en vivo o se
ofrece a enviarle mensajes de texto o imágenes de naturaleza sexual (lo que se conoce como sexting). En Tinder,
algunas fotos de perfil ofrecían servicios de prostitución
superponiendo texto a la propia imagen, para así evitar
los filtros de correo no deseado.
Los interesados tenían que hacer clic en las imágenes o
visitar un sitio web afiliado, pero ni una ni otra opción
servía de nada porque, en realidad, las supuestas chicas
eran bots, y las fotos insinuantes un señuelo para promocionar un servicio inexistente.
Mensajes de falsas “cam-girls” que aparecen como chats
nuevos en Kik Messenger
Perfiles falsos
de Tinder en los
que se ofrecían
falsos servicios de
prostitución93
http://www.symantec.com/connect/blogs/adult-webcam-spam-all-roads-lead-kik-messenger
http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app
92
93
90
91
Código dañino en las redes sociales
Aunque la mayoría de las estafas están relacionadas con
programas de afiliación que pagan por conseguir clics e
inscripciones, una de las que afectó a Facebook en 2014
fue diferente. En este caso, el objetivo de los atacantes
era redirigir a los usuarios al kit Nuclear para hacerse
con el control de los equipos y, seguidamente, utilizarlos
para enviar spam y descargar archivos dañinos.94
Por precaución, todo el mundo debería sospechar de los
enlaces sensacionalistas que publican sus amigos y, en
lugar de hacer clic, informarse directamente en medios
más fiables.
El avance de las redes «antisociales»
Hoy en día, muchos ven con malos ojos los programas de
vigilancia gubernamentales o la cantidad de información
que se comparte con los proveedores de servicios de
Internet. Quizá por eso haya surgido un nuevo tipo de red
social basado en el secretismo, la confidencialidad y el
anonimato. Aplicaciones como Secret, Cloaq, Whisper,
ind.ie y Post Secret son un hervidero de chismes, confidencias y, a veces, otras manifestaciones de la cara
más oscura del ser humano. Hay quien piensa que, en
la próxima fase de la evolución de las redes sociales, el
secretismo desempeñará un papel fundamental.95, 96 Sin
embargo, para los más críticos, 4chan y otros foros anónimos son un refugio de trolls, acosadores y delincuentes.97
Decididas a salvarse de la quema, las redes sociales
tradicionales, como Twitter y Facebook, se han vuelto
más transparentes y han pulido sus políticas de confidencialidad. Por ejemplo, Facebook ha empezado a hacer
público el número de solicitudes de datos gubernamentales que recibe,98 Twitter está planteándose introducir
un «modo susurro» para enviar mensajes privados;99 y
Google ha mejorado el cifrado de Gmail.100
Aunque el anonimato tiene sus atractivos para algunas
personas, no hay que olvidar los riesgos que plantea.
Algunas empresas tienen regulado al milímetro lo que
pueden y no pueden hacer los empleados en Internet,
pero muchas aún están adaptándose a estos nuevos entornos en los que cualquiera puede expresarse como le
plazca con impunidad. La normativa sobre comunicación
electrónica tiene que cubrir estos usos, y deben adoptarse tecnologías que detecten posibles infracciones. La
solución no tiene por qué ser prohibir el acceso a estas
redes, pero es importante controlar cómo se utilizan.
http://www.symantec.com/connect/blogs/facebook-scam-leads-nuclear-exploit-kit
http://www.wired.com/2014/02/can-anonymous-apps-give-rise-authentic-internet/
96
http://www.technologyreview.com/review/531211/confessional-in-the-palm-of-your-hand/
97
Algunas de estas críticas se analizan en http://es.wikipedia.org/wiki/4chan (y, de forma más detallada, en la versión en inglés del artículo:
http://en.wikipedia.org/wiki/4chan).
98
https://www.facebook.com/about/government_requests
99
http://thenextweb.com/twitter/2014/04/30/twitter-ceo-dick-costolo-whisper-mode-encourage-friends-privately-discuss-public-conversations/
100
http://techcrunch.com/2014/03/20/gmail-traffic-between-google-servers-now-encrypted-to-thwart-nsa-snooping/
94
95
PHISHING
Mensajes de correo electrónico que son intentos de phishing
(sin incluir los casos de spear-phishing)
1 de cada
1000
965
750
500
250
414
392
2012
2013
2014
En 2014, uno de cada 965 mensajes de correo electrónico fueron intentos de phishing (aunque la proporción
fue menor de junio a septiembre). El año anterior, lo
habían sido uno de cada 392. Hacia finales de año, el
número de ataques de phishing aumentó tras conocerse
que se habían robado y publicado varias fotos de
famosos desnudos. Los phishers siempre se han
interesado por los ID de Apple, pero justo después de
este incidente tan mediático enviaron más mensajes
relacionados con la seguridad de las cuentas de iCloud,
ya que sabían que en ese momento se les prestaría más
atención.
Tasa de phishing, 2012–2014
200
400
600
1 de cada
800
1000
1200
1400
1600
1800
2000
2200
E
M
M
J
2012
S
N
E
M
M
J
2013
S
N
E
M
M
J
S
N
2014
La botnet Kelihos también aprovechó la situación para
enviar mensajes en los que se informaba al destinatario
de una compra realizada con su cuenta de iCloud, pero
desde un dispositivo y una dirección IP inusuales. Acto
seguido, se instaba a la víctima a verificar urgentemente
su ID de Apple haciendo clic en un enlace. La página de
destino, que se hacía pasar por el sitio web de Apple, era
un clon creado para robar ID de Apple y contraseñas que
luego se revendían o utilizaban con fines ilegítimos.101
A lo largo de 2014, los delincuentes emplearon variaciones de esta técnica para intentar apropiarse de datos
de acceso a las redes sociales, al correo electrónico y a
servicios bancarios.
Los orígenes del sitio web suelen camuflarse para que
los navegadores no muestren advertencias de seguridad.
En 2014 los ciberdelincuentes fueron aún más lejos
y utilizaron el estándar de cifrado avanzado AES, que
dificulta el análisis del sitio web porque el contenido utilizado para el phishing forma parte del texto cifrado ilegible. Así es más fácil engañar a las víctimas y actuar sin
dejar rastro, ya que es menos probable que el software
de seguridad y los navegadores muestren advertencias
que alerten de la peligrosidad del sitio.103
En la mayoría de los casos, se sirvieron de mensajes
de correo electrónico o direcciones URL publicadas en
las redes sociales. En estas últimas, los enlaces suelen
estar relacionados con noticias de actualidad (el virus
del ébola, famosos envueltos en algún escándalo u otros
sucesos llamativos), y se pide al usuario que vuelva a
facilitar sus datos de acceso para leer un artículo o ver
un vídeo.
Las noticias también se usan como señuelo en mensajes
de correo electrónico, pero quienes usan este método
tiene un objetivo distinto: obtener los datos de acceso
a cuentas bancarias de empresas, perfiles de LinkedIn,
cuentas de correo empresariales o servicios de almacenamiento de archivos en la nube.102 Algunos correos se
disfrazan de avisos sobre actualizaciones de seguridad y
redirigen al destinatario a un sitio web con un formulario
diseñado para robar sus datos y enviárselos de inmediato al phisher.
Ejemplo de mensaje que en realidad es un intento de phishing104
Número de enlaces de phishing en los medios sociales 2009–2014
60
50
Miles
40
30
20
10
0
2010
2011
2012
2013
2014
101
http://www.symantec.com/connect/blogs/apple-ids-targeted-kelihos-botnet-phishing-campaign
102
http://www.symantec.com/connect/blogs/fresh-phish-served-helping-aes
103
Imagen tomada de http://www.symantec.com/connect/blogs/apple-ids-targeted-kelihos-botnet-phishing-campaign
LinkedIn: http://www.symantec.com/connect/blogs/linkedin-alert-scammers-use-security-update-phish-credentials
Google Docs: http://www.symantec.com/connect/blogs/google-docs-users-targeted-sophisticated-phishing-scam
Dropbox: http://www.symantec.com/connect/blogs/dropbox-users-targeted-phishing-scam-hosted-dropbox
104
LOS PELIGROS DEL CORREO ELECTRÓNICO:
LAS ESTAFAS Y EL SPAM
No solo ha disminuido el número de mensajes de correo que son intentos de
phishing, sino que el porcentaje de spam global también es menor.
Este tipo de engaño cada vez es más frecuente porque,
aunque los sistemas de seguridad corporativos podrían
filtrar fácilmente los archivos adjuntos, muchas empresas siguen sin tomar esta medida básica pese al peligro
que corren.
En los últimos tres años, el porcentaje de spam enviado
ha ido reduciéndose hasta llegar al 60 % en 2014 (en
2012 y 2013, fue del 69 % y el 66 %, respectivamente).
Aunque es una buena noticia, las estafas por correo
electrónico aún son muy habituales, y los delincuentes
siguen lucrándose gracias a ellas.
En octubre, Symantec advirtió un aumento en el número
de mensajes enviados a empresas (o más concretamente,
al departamento financiero) en los que se solicitaba
una transferencia o un pago con tarjeta de crédito. El
remitente utilizaba un nombre falso o se hacía pasar
por el director general u otros directivos de la empresa,
y para obtener los datos de pago se pedía a la víctima
que abriera un archivo adjunto o que los solicitara
respondiendo al mensaje.105
A finales de año, los spammers cambiaron de tácticas y
recurrieron más a la ingeniería social, lo que les llevó a
incluir más enlaces dañinos en sus mensajes y menos
archivos adjuntos.
Mensajes de correo electrónico que son spam
60 %
2014
66 %
-6 %
2013
69 %
-3 %
2012
Fuente: Symantec I Brightmail
Volumen estimado de spam diario en todo el mundo
2014
2013
2012
28 millones
29 millones
30 millones
-1 %
-1 %
Fuente: Symantec I Brightmail
http://www.symantec.com/connect/blogs/scammers-pose-company-execs-wiretransfer-spam-campaign
105
LOS PROGRAMAS DE AFILIACIÓN, EL
VERDADERO MOTOR DEL ENGAÑO EN LAS
REDES SOCIALES
Satnam Narang
Si ha usado alguna red social en la última década, seguro que alguna vez se habrá
encontrado con contenido de este tipo:
•promociones en las que se regalan smartphones,
billetes de avión o vales de compra;
•noticias inusuales sobre personajes famosos (p ej.,
vídeos sexuales o falsos fallecimientos);
•noticias impactantes, a menudo relacionadas con
catástrofes naturales;
•proposiciones de supuestos profesionales del sexo o
invitaciones a desnudarse frente a una webcam.
En cuanto una red gana adeptos, los estafadores empiezan a tenerla en el punto de mira. Y aunque las estafas
se adaptan a las peculiaridades de cada plataforma, las
redes de afiliación siempre están detrás.
El marketing de afiliación permite a las empresas aumentar sus beneficios en Internet, ya que los afiliados
les ayudan a promocionar y vender sus productos.
Se trata de una práctica muy habitual. Por ejemplo,
un afiliado que promocione un libro en su sitio web e
incluya un enlace a la página de compra de otra empresa
recibirá una pequeña comisión por cada venta.
Entre quienes usan las redes de afiliados hay empresas
legítimas e ilegítimas, y a veces son los propios afiliados
los que usan métodos reprobables para lucrarse.
Las empresas saben de dónde viene cada clic y pueden
ir calculando las comisiones porque, cuando alguien
hace clic en el anuncio de un afiliado, los enlaces
terminan con un código que lo identifica.
En las redes sociales, los estafadores han sabido
convertir los programas de afiliación en una fuente de
ingresos. Cada vez que un usuario rellena una encuesta
o se inscribe en un servicio premium detrás del cual hay
un programa de este tipo, quien publica el enlace recibe
dinero.
Aunque haya empresas y redes de afiliación que condenen estas prácticas y traten de evitarlas, seguirán
dándose mientras los delincuentes puedan sacarles
provecho. Si su empresa utiliza estos programas, es
importante que conozca a sus afiliados y se asegure de
que actúan dentro de la legalidad.
La legitimidad de estos afiliados no está clara, y tampoco es fácil saber cuánto cobran porque muchos prefieren
mantenerlo en secreto. Sin embargo, la mayoría de las
redes de afiliados utilizan un sistema de pujas en el que
se especifica qué acción constituye una conversión.
En el ejemplo de la imagen (un anuncio de una tarjetaregalo Visa por valor de 1500 USD), se considera que
se ha realizado una conversión si la persona «referida»
facilita su dirección de correo electrónico. En este caso,
los afiliados reciben 1,40 USD por conversión.
Los usuarios de las redes sociales, por su parte, deberían desconfiar de los regalos que se ofrecen en estas
plataformas (billetes de avión, aparatos electrónicos
o vales) y de las invitaciones a visitar sitios web de
contactos sexuales o webcams. Si alguien nos pide que
rellenemos una cuesta o nos suscribamos a un servicio
con tarjeta de crédito, lo más probable es que nos esté
estafando. Lo que parece demasiado bueno para ser
verdad normalmente no lo es.
En Tinder, la conocida aplicación de citas, Symantec
encontró enlaces afiliados a servicios de contactos
sexuales y sitios de webcams cuyas comisiones no son
ningún secreto. Un sitio web paga a los afiliados hasta
seis dólares por cada cuenta abierta, y sesenta por el
pago de una suscripción a un servicio premium con
tarjeta de crédito—un poderoso aliciente para buscar
suscriptores, por los medios que sean—.
Sin embargo, los estafadores son capaces de generar
tanto tráfico que los seis dólares que reciben por cada
cuenta abierta les bastan para obtener un sustancioso
beneficio. Las suscripciones al servicio premium son
solo la guinda del pastel.
EL PHISHING, UN FENÓMENO QUE EXISTE
HASTA EN LOS PAÍSES MENOS PENSADOS
Nicholas Johnston
Gran parte del tráfico de correo electrónico pasa por manos de Symantec.
Recientemente, nos han sorprendido los ataques a instituciones de lugares en
los que el phishing no había sido un problema hasta ahora.
Angola y Mozambique, dos países en lados opuestos del
África Austral, no son lugares en los que uno se imagine
que el robo de información confidencial sea un negocio.
Mozambique, cuya renta per cápita es de unos 600 USD,
está en vías de desarrollo y, pese a la abundancia de
recursos naturales, depende en gran medida de la ayuda
internacional. Angola, con una renta per cápita próxima
a los 6000 USD, está en una situación mejor, pero ambos
países son estadísticamente pobres. A título comparativo, la renta media por cápita en todo el mundo es de
10 400 USD.
Todo parece indicar que los ataques de phishing sufridos
en Angola y Mozambique tuvieron su origen dentro de
sus propias fronteras o en los países vecinos. Robar
datos de cuentas de Angola o Mozambique no tiene sentido para los phishers de países desarrollados porque los
beneficios son más bajos que los obtenidos en el mundo
occidental. Sin embargo, para alguien que viva en
Angola, Mozambique u otros países con rentas similares, el atractivo económico es mayor. Además, para los
phishers angoleños o mozambiqueños es más fácil usar
los datos robados sin tener que venderlos.
Recientemente, una importante institución financiera
africana fue víctima de una campaña de phishing. Los
mensajes, que simulaban proceder de un banco mozambiqueño, tenían el siguiente asunto: «Mensagens & alertas: 1 nova mensagem!» (Mensajes y alertas: ¡1 nuevo
mensaje!) y el cuerpo del mensaje contenía una dirección URL que conducía a una versión falsa del sitio web
de la entidad. En cuanto la víctima facilitaba sus datos
bancarios, el atacante se adueñaba de su cuenta.
Los consumidores cada vez usan más Internet para interactuar con las empresas y utilizar sus servicios. Por lo
tanto, es de esperar que los casos de phishing sigan aumentando y que, con el tiempo, los delincuentes tengan
aún más facilidades para atacar. Hasta las instituciones
de un país tan pequeño y aislado como Bután, enclavado
en pleno Himalaya, han sufrido ataques de phishing, lo
que demuestra que nadie está a salvo.
¿Por qué se está atacando a las instituciones financieras
de estos países? No podemos saberlo a ciencia cierta,
pero una de las razones por las que el phishing es tan
peligroso es lo fácil que es crear sitios web falsos para
robar los datos de los visitantes. En 2014, Symantec encontró un buen número de phish kits (archivos comprimidos que contienen sitios web de phishing, listos para
descomprimirse en un servidor web recién atacado).
Alguien que adquiera uno de estos kits no necesitará
conocimientos especializados y, si solo ataca a instituciones pequeñas o de un tipo determinado, ni siquiera
tendrá que competir con otros phishers. Por otro lado,
es probable que los países en vías de desarrollo no sean
tan conscientes de la peligrosidad del phishing como
Estados Unidos o Europa.
¿QUÉ NOS DEPARA
EL FUTURO?
ANALIZAR EL PASADO Y ENTENDER EL PRESENTE
ES LA CLAVE PARA AFRONTAR EL FUTURO
¿QUÉ NOS DEPARA EL FUTURO?
La ludificación de la seguridad
En el siglo XV, Nicolás Maquiavelo, todo un experto en
seguridad, observó lo siguiente: «Los hombres son tan
simples y se someten hasta tal punto a las necesidades
presentes, que quien engaña encontrará siempre quien
se deje engañar».
En Internet, la seguridad no solo depende de la tecnología, sino también de las personas, que correrían menos
riesgos si tuvieran más cuidado. Los consumidores
deben estar siempre alerta, y los funcionarios del Estado
tienen que saber cómo evitar las técnicas de ingeniería
social que se utilizan en los ataques dirigidos.
En este contexto, la llamada «ludificación» puede servir
para convertir «las necesidades del momento» en hábitos
de conducta, ya que proporciona la misma gratificación
instantánea que los juegos sencillos de ordenador.106 Por
ejemplo, podrían usarse mecánicas de juego que ayuden
a distinguir si un mensaje es un intento de phishing o
enseñen a crear, recordar y utilizar contraseñas seguras.
En nuestra opinión, esta formación será muy necesaria
en los próximos años y representa una gran oportunidad
comercial.
Uso de las simulaciones de seguridad
Las simulaciones y los llamados «juegos de guerra» son
un buen ejercicio para que una empresa se prepare ante
posibles incidentes de seguridad y comprenda qué defensas necesita. Si, tras las pruebas de intrusión convencionales, se simulan las fases de respuesta y solución
de problemas, los empleados estarán más formados y
sabrán que hacer en caso de ataque. Esto es algo que ya
saben los gobiernos. En enero de 2015, el primer ministro
británico David Cameron y Barack Obama, presidente de
los Estados Unidos, acordaron la puesta en marcha de
un programa de «ejercicios de guerra cibernética» en el
que ambos países llevarán a cabo ataques simulados entre sí.107 En 2015, las empresas deberían hacer lo mismo.
Quien prepara un ataque casi siempre lo consuma
En la batalla frente a los ciberdelincuentes, los departamentos de seguridad informática empresariales llevan
siempre las de perder. Mientras que ellos no pueden
fallar nunca, los atacantes solo necesitan tener suerte
una vez, así que tanto los responsables informáticos
como los usuarios tienen que estar preparados para lo
peor. No hay tecnologías milagrosas que garanticen una
protección total frente a la ciberdelincuencia, sobre todo
si alguien prepara un ataque dirigido a una víctima en
concreto. Lo más sensato es pensar que, tarde o temprano, su empresa sucumbirá al hacking, si es que no lo ha
hecho ya. Hay que adoptar un enfoque «clínico» y más
Opinión sobre la ludificación sacada de la entrevista a Efraín Ortiz
http://www.bbc.co.uk/news/uk-politics-30842669
Extracto de la entrevista a Efraín Ortiz
109
Efrain Ortiz
110
http://www.informationweek.com/software/operating-systems/
windows-xp-stayin-alive/d/d-id/1279065
111
Entrevista a Candid Wueest
112
Entrevista a Vaughn Eisler
106
107
108
rico en matices que, en lugar de limitarse a determinar
si algo es seguro o no, analice síntomas y tendencias,
prevenga comportamientos y permita hacer diagnósticos
y determinar los mejores tratamientos.
Desde el punto de vista técnico, se necesitan programas
que protejan todos los terminales, la pasarela y el
servidor de correo electrónico para evitar filtraciones.
También habrá que optimizar los sistemas copia de
seguridad y recuperación en caso de desastre, así como
los métodos de detección y planificación de respuestas.
Aunque los ataques sean inevitables, la clave es no
resignarse y poner a los atacantes el mayor número de
trabas posible, ya que es mejor prevenir que lamentar.108
Las empresas deben abandonar el secretismo y
compartir información entre sí
Aunque intercambiar información entre empresas es
esencial para la seguridad,109 hasta ahora era algo infrecuente. Por miedo a exponerse demasiado, cada empresa
acababa librando su propia batalla y se limitaba a utilizar
sus recursos internos. En nuestra opinión, todo sería más
fácil si las empresas compartieran entre sí información
sobre las amenazas y los métodos para combatir la
ciberdelincuencia. Las herramientas que hagan posible
este cambio sin poner en peligro la propiedad intelectual
serán cada vez más importantes. Por ejemplo, el intercambio electrónico de datos podría usarse para compartir funciones hash, atributos binarios, síntomas y otros
elementos sin necesidad de divulgar secretos comerciales o información que pueda ser útil a los atacantes.
Uso de sistemas operativos que no son seguros
En julio de 2014, un cuarto de los usuarios de PC seguían
usando Windows XP y Office 2003,110 pese a que Microsoft ya no ofrecía asistencia ni actualizaciones para estas
versiones. Mucha gente sigue resistiéndose a aceptar este
cambio111 sin darse cuenta del riesgo que supone carecer
de protección frente a las amenazas que surgen constantemente. El año próximo, el peligro irá en aumento, y las
empresas que utilicen dispositivos con sistemas operativos obsoletos tendrán que encontrar formas de protegerlos hasta que decidan reemplazarlos o actualizarlos.
La Internet de las cosas
En el futuro, los consumidores comprarán cada vez más
accesorios tecnológicos: relojes inteligentes, monitores de
actividad, cascos holográficos y todo tipo de dispositivos
«ponibles» ideados en Silicon Valley y Shenzén. Aunque
mejorar la seguridad de estos dispositivos es fundamental, todo cambia tan rápidamente que muchas veces se
descuida la confidencialidad en aras de la innovación. A
menos que los gobiernos decidan legislar estas cuestiones, que se produzca algún incidente de gran repercusión
mediática o que los consumidores se den cuenta del peligro que corren, es poco probable que se preste la debida
atención a la seguridad y la confidencialidad.112
CONSEJOS Y PRÁCTICAS
RECOMENDADAS
Pese a las vulnerabilidades detectadas este año, los protocolos SSL y TLS siguen siendo la
mejor forma de proteger a quienes visitan su sitio web y de garantizar la seguridad de los
datos que facilitan. De hecho, tras la alarma desatada por Heartbleed, muchas empresas
han empezado a contratar a desarrolladores especializados en SSL para mejorar el código
y solucionar posibles errores. Así que ahora las bibliotecas SSL están más controladas que
nunca y, además, se han establecido prácticas recomendadas comunes para utilizarlas.
En 2014, los algoritmos de los certificados SSL se volvieron más seguros porque Symantec y
otras autoridades de certificación abandonaron las claves de 1024 bits y empezaron a utilizar
certificados SHA-2 de forma predeterminada.i
La impor
tancia de
utilizar
tecnologías
SSL más
seguras
Microsoft y Google anunciaron que pronto dejarían de aceptar certificados SHA-1 que caducaran
después del 31 de diciembre de 2015.ii Si aún no ha migrado a SHA-2, Chrome mostrará una
advertencia de seguridad a quienes visiten su sitio web, y los certificados dejarán de funcionar
en Internet Explorer a partir del 1 de enero de 2017.
Symantec también está potenciando el uso del algoritmo ECC, mucho más seguro que el
cifrado RSA. En este momento, los navegadores más importantes para equipos de escritorio y
dispositivos móviles ya admiten los certificados ECC, que ofrecen tres ventajas principales:
1.Mayor seguridad. Las claves ECC de 256 bits son 64 000 veces más difíciles de descifrar que
las claves RSA de 2048 bits de uso estándar en el sector.iii Para descifrar el algoritmo mediante
un ataque de fuerza bruta, se necesitaría mucho más tiempo y una potencia de procesamiento
mucho mayor.
2.Mejor rendimiento. Anteriormente, muchas empresas tenían miedo a que los certificados
SSL ralentizaran el funcionamiento del sitio web y optaban por una adopción parcial que ofrecía
una protección muy deficiente. Un sitio web protegido con un certificado ECC requiere menos
potencia de procesamiento que otro que utilice un certificado RSA, lo que permite atender más
conexiones y usuarios al mismo tiempo. En este momento, adoptar la tecnología Always-On SSL
no solo es recomendable, sino que está al alcance de cualquier empresa
3.Perfect Forward Secrecy (PFS). Aunque la tecnología PFS es compatible con certificados
basados en RSA y con los basados en el algoritmo ECC, su rendimiento es mejor con estos
últimos. Pero ¿qué importancia tiene esto? Si un sitio web carece de protección PFS, un hacker
que se apropie de sus claves privadas podría descifrar todos los datos intercambiados en el
pasado. Esto es lo que permitía la vulnerabilidad Heartbleed en los sitios web afectados, lo que
dejó clara la gravedad de este problema. Con la tecnología PFS, alguien que robe o descifre las
claves privadas de los certificados SSL solo podrá descifrar la información protegida con ellas
desde el momento del ataque, pero no la intercambiada con anterioridad.
En 2014 quedó claro que la tecnología SSL solo es segura si se adopta y mantiene como es debido.
Por tanto, es necesario:
• Utilizar la tecnología Always-On SSL. Proteja con certificados SSL todas las páginas de su sitio
web para que todas las interacciones entre el sitio web y el visitante se cifren y autentiquen.
Uso
adecuado
de la
tecnología
SSL
• Mantener actualizados los servidores. No basta con mantener al día las bibliotecas SSL del
servidor; toda actualización o revisión debe instalarse cuanto antes para reducir o eliminar las
vulnerabilidades que pretende corregir.
• Mostrar distintivos de confianza conocidos (como el sello Norton Secured) en zonas bien
visibles de su sitio web para demostrar a los clientes que se toma en serio su seguridad.
•
Hacer análisis periódicos. Vigile sus servidores web para detectar posibles vulnerabilidades o
infecciones con malware.
•
Asegurarse de que la configuración del servidor esté actualizada. Las versiones antiguas del
protocolo SSL (SSL2 y SSL3) no son seguras. Cerciórese de que el sitio web no las admita y dé
prioridad a las versiones más recientes del protocolo TLS (TLS1.1 y TLS1.2). Compruebe si el
servidor está bien configurado con herramientas como SSL Toolbox de Symantec.iv
http://www.symantec.com/page.jsp?id=1024-bit-certificate-support
http://www.symantec.com/es/es/page.jsp?id=sha2-transition
http://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsa
iv
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
i
ii
iii
Para que sus sitios web y servidores estén más protegidos este año, guíese por el sentido
común y adopte los hábitos de seguridad que le recomendamos a continuación.
• Asegúrese de que los empleados no abran archivos adjuntos de gente que no conozcan.
Conciencie
a sus
empleados
•Ayúdeles a reconocer los peligros que acechan en las redes sociales. Explíqueles que,
si una oferta parece falsa, seguramente lo sea; que la mayoría de las estafas están
relacionadas con noticias de actualidad; y que las páginas de inicio de sesión a las que
conducen algunos enlaces pueden ser una trampa.
•Si un sitio web o aplicación ofrecen autenticación de dos factores, dígales que elijan
siempre esta opción.
•Pídales que usen contraseñas distintas para cada cuenta de correo electrónico,
aplicación, sitio web o servicio (sobre todo si están relacionados con el trabajo).
•Recuérdeles que usen el sentido común. No por tener un antivirus es menos grave visitar
sitios web dañinos o de naturaleza dudosa.
Los atacantes utilizan técnicas cada vez más agresivas, avanzadas e implacables para
lucrarse en Internet, pero las empresas y los particulares tienen muchísimas maneras de
protegerse.
Tiene dos
opciones: la
seguridad
o la
vergüenza
v
Hoy en día, una empresa que no utilice la tecnología SSL o descuide la seguridad de su
sitio web se expone al escarnio público. Incluso puede acabar saliendo en HTTP Shaming,
una página creada por el ingeniero de software Tony Webster en la que se señala a los
culpables.v
Proteger su sitio web con procedimientos y sistemas de seguridad eficaces es la clave para
evitar el descrédito y la ruina financiera. Tome nota y, en 2015, protéjase con Symantec.
http://arstechnica.com/security/2014/08/new-website-aims-to-shame-apps-with-lax-security/
PERFIL DE SYMANTEC
Symantec Corporation (NASDAQ: SYMC) es una empresa especializada en protección
de la información cuyo objetivo es ayudar a particulares, empresas e instituciones
gubernamentales a aprovechar libremente las oportunidades que les brinda la
tecnología, en cualquier momento y lugar. Symantec, fundada en abril de 1982, figura
en la lista Fortune 500, controla una de las mayores redes de inteligencia de datos del
mundo y comercializa soluciones líderes en materia de seguridad, copia de seguridad
y disponibilidad que facilitan el almacenamiento de información, su consulta y su uso
compartido. Cuenta con más de 20 000 empleados en más de 50 países, y el 99 % de las
empresas de la lista Fortune 500 son clientes suyos. En el ejercicio fiscal de 2013, registró
una facturación de 6900 millones de dólares estadounidenses.
Visite www.symantec.es para obtener más información o go.symantec.com/socialmedia
para conectarse con nosotros en las redes sociales.
Más información
• Sitio web global de Symantec: http://www.symantec.com/
•Informe sobre las amenazas para la seguridad en Internet (ISTR) y otros recursos útiles de Symantec:
http://www.symantec.com/threatreport/
• Symantec Security Response: http://www.symantec.com/security_response/
• Buscador de amenazas de Norton: http://us.norton.com/security_response/threatexplorer/
• Índice de cibercrimen de Norton: http://us.norton.com/cybercrimeindex/
Si desea los números de teléfono de algún país en concreto, consulte nuestro
sitio web. Para obtener información sobre productos, llame al
900 931 298 o al (+41) 26 429 77 27
Symantec España
Symantec Spain S.L.
Parque Empresarial La Finca – Somosaguas
Paseo del Club Deportivo, Edificio 13, oficina D1, 28223
Pozuelo de Alarcón, Madrid, España
www.symantec.es/ssl
© 2015 Symantec Corporation. Reservados todos los derechos. Symantec, el logotipo de Symantec, el logotipo de la marca de
comprobación, Norton Secured y el logotipo de Norton Secured son marcas comerciales o marcas comerciales registradas en
los Estados Unidos y en otros países por Symantec Corporation o sus filiales. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios.

Informe de Symantec sobre las amenazas para la seguridad de los

Transcripción

Documentos relacionados

SOS Symantec Seguridad Grupo Sorom Asesores, SA de CV

Firma!del!Manifiesto! - ASI: Alianza por la Seguridad en Internet