Mapa de sitios web maliciosos

Comentarios

Transcripción

Mapa de sitios web maliciosos
Mapa de sitios web maliciosos
Los dominios más peligrosos del mundo
Mapa de sitios web maliciosos
1
Mapa de sitios web maliciosos
Los dominios más peligrosos del mundo
Escrito por:
Barbara Kay, CISSP, Secure by Design Group
Paula Greve, Director of Research, McAfee Labs™
ÍNDICE
Introducción 3
Resultados clave: Mapa de sitios web maliciosos IV 4
Por qué es importante la realización de este mapa
6
Cómo se aprovechan los delincuentes de los
dominios de nivel superior
7
Metodología
9
Algunas advertencias acerca de las clasificaciones
11
Desglose de las clasificaciones
12
El cambiante espectro de amenazas 21
Testimonios de las entidades de registro y
de los operadores de dominios de nivel superior
23
Conclusión
26
Introducción
¿Bonanza o botnet? La próxima vez que busques la foto de un personaje famosos o
instrucciones para realizar alguna actividad, presta especial atención a los dominios
de nivel superior (TLD), los caracteres que se encuentran al final de las URL en los
resultados de búsqueda. En el estudio Mapa de sitios web maliciosos de este año,
McAfee encontró que el riesgo en la red escaló a un nivel récord de 6,2% entre más
de 27 millones de dominios evaluados en este informe. Si los usuarios no hacen
clic en los enlaces con cuidado, el simple hecho de ver una página puede llegar a
costarles muy caro. Este año, ha aumentado el número de sitios web que contienen
códigos maliciosos que roban contraseñas e información de identificación, que
se aprovechan de las brechas de seguridad en los navegadores, o que instalan en
silencio los ingredientes que convierten a los ordenadores en zombis.
Si supieras de antemano que tres de cada cinco sitios
en determinados TLD son peligrosos, probablemente
elegirías otro lugar desde donde descargar esa
fotografía que estás buscando. Por ejemplo, a pesar
del creciente atractivo de Vietnam como destino
de vacaciones, quienes visiten sitios registrados en
Amenazas a la seguridad evaluadas por McAfee® Global Threat Intelligence™
Vietnam (.VN) deberían considerarlo una zona para
no visitar. Este año, .VN apareció en nuestra lista entre
los cinco TLD más peligrosos de Internet, después
de que registráramos que un 58% de los sitios web
que rastreamos presentaban contenidos y actividades
dañinos, tanto real como potencialmente, incluidos:
• Software malicioso (Malware). Código que
puede dañar el sistema, robar información o llevar
a cabo actividades maliciosas en otro ordenador
(incluyendo registradores de pulsaciones, ladrones
de contraseñas y kits de zombis).
• Exploits de navegadores. Ataques y malware
que se aprovechan del software vulnerable.
Exploits de navegadores
Reputación peligrosa (motores de archivo,
de red, de Internet y de correo electrónico)
• Phishing (robo de identidad). Proveniente de la
palabra inglesa “fish” (pescar), son sitios falsos que
parecen legítimos pero que están diseñados para
“pescar” información o instalar códigos maliciosos.
Software publicitario/software
espía/Troyanos/virus
Marketing agresivo con
ventanas emergentes
• Grado de spam. Formularios de registro
que luego generan enormes cantidades de
correos electrónicos comerciales, o correo no
deseado (spam).
Alto volumen de correos electrónicos
comerciales (“spam”)
Asociación con otros
sitios de riesgo
• Asociaciones que entrañan riesgos : Sitios
con enlaces que llevan al usuario a sitios
web maliciosos, y sitios que tienen relaciones
sospechosas, tales como de propiedad, de
registro o de servicio de hosting.
Determinamos el nivel de riesgo basándonos en los modos en que diferentes características se relacionan con cada sitio.
Los TLD .INFO y .CM tienen
casi la misma cantidad de
sitios peligrosos que de
sitios seguros, mientras
que el TLD .VN tiene más
cantidad de sitios peligrosos
que de sitios seguros.
Mapa de sitios web maliciosos
3
Resultados clave: Mapa de sitios web maliciosos IV
En este cuarto análisis anual del riesgo relativo de los TLD, McAfee ha descubierto
que el riesgo total en la red se ha incrementado con respecto al año pasado.
Hemos visto que el riesgo ha aumentado en algunas partes de la red que ya
eran peligrosas, tales como .INFO; que en algunos casos ha habido reducciones
significativas en el riesgo de algunos de los TLD con más riesgo del año pasado,
especialmente Singapur (.SG) y Venezuela (.VE); y que han surgido algunas nuevas
áreas de preocupación, tales como Vietnam (.VN), Armenia (.AM) y Polonia (.PL).
Nota: Salvo que se indique lo contrario, todas las estadísticas de riesgo se refieren al riesgo ponderado.
• Riesgo en aumento. La media total ponderada
de sitios web peligrosos aumentó de 5,8%
(2009) a 6,2% (2010). En 2007 y 2008,
encontramos que un 4,1% de sitios web estaban
clasificados con los colores rojo (evitar) y amarillo
(precaución). Si bien utilizamos una metodología
diferente durante los dos primeros años, la línea
de tendencia hacia arriba y hacia la derecha
parece mantenerse. Navegar por la red en modo
seguro se está volviendo cada vez más difícil.
Porcentaje de sitios peligrosos en la red
7
6
5
4
3
2
1
2010
2009
2008
2007
0
• Los cinco TLD más peligrosos. Con un riesgo
ponderado del 31,3%, .COM (Comercial, el TLD
con más tráfico), es el TLD más peligroso, y le
quitó así el título a .CM (Camerún), que cayó al
cuarto puesto este año, mientras que .INFO logró
hacerse con una posición que indica mayor riesgo,
colocándose en el segundo lugar desde el quinto
que ocupaba el año pasado. Los cinco TLD con
mayor porcentaje de registros peligrosos fueron:
-- .COM (Comercial)
31.3%
-- .INFO (Información) 30.7%
-- .VN (Vietnam)
29.4%
-- .CM (Camerún) 22.2%
-- .AM (Armenia) 12.1%
• Distribución global. La región de Europa, Oriente
Medio y África (EMEA por sus siglas en inglés) se
ha ganado nuevamente la distinción de tener los
TLD más peligrosos entre los top 20, con siete
participantes, incluyendo los nuevos ingresantes a
la top 20, Armenia (.AM) y Polonia (.PL) Le siguió la
región Asia Pacífico (APAC), con seis TLD, mientras
que los dominios genéricos, como Network (.NET),
se quedaron con el quinto lugar entre los 20 más
peligrosos. El único participante de América fue
Estados Unidos (.US) en el puesto 14.
• Liderazgo de los genéricos. Como contrapartida
del riesgo por región, los TLD genéricos y
patrocinados presentaban el promedio de
riesgo más elevado. Con un 7,9%, estos TLD
superaron el promedio total, mientras que los
tres grupos regionales presentaron un promedio
de 6,2%. APAC pasó de un promedio del 13%
a un promedio del 4,9%; América presentó un
promedio de 2,7%; EMEA sólo el 1,9%.
Mapa de sitios web maliciosos
4
• Algunas mejorías importantes: Singapur
(.SG) se merece un reconocimiento por haber
disminuido el nivel de peligro y haber pasado así
del puesto número 10 el año pasado al puesto
número 81 este año; Venezuela (.VE) pasó del
puesto 21 al 88 este año; y Filipinas (.PH), del
número 6 en 2009 al 25 este año.
• Algunos TLD a los que prestar atención.
Sólo evaluamos los TLD de los que obtuvimos
resultados en 2000 o más sitios activos. No
obstante, dos TLD de bajo tráfico hubieran
escalado hasta los primeros cinco lugares si
hubiéramos incluido todos los TLD.
-- Con un 33% de riesgo, Senegal (.SN) estaría
en el puesto número uno, tal vez porque no
impone restricciones de registro
(http://en.wikipedia.org/wiki/.sn).
-- El Territorio Británico del Océano Índico (.IO)
hubiera ocupado el quinto lugar (11,5% de
riesgo).
-- Tal vez este sea un TLD popular porque no
tiene restricciones de registro de segundo
nivel que limite los nombres que pueden
aparecer antes del TLD, por lo que ofrece
ingeniosas posibilidades de reutilización: “.IO
se utiliza en piratería de dominios, como
eugen.io, moustach.io, o pistacch.io, así
como también en servicios para hospedar
archivos, como drop.io”.
(http://en.wikipedia.org/wiki/.io).
• Perfectamente limpios. Los cinco TLD que
registraron la menor cantidad de registros
peligrosos, con un 0,1% o menos de dominios
clasificados como peligrosos, fueron:
-- .TRAVEL (Sector de viajes y turismo)
.02%
-- .EDU (Educativo)
.05%
-- .JP (Japón)
.08%
-- .CAT (Cataluña) .09%
-- .GG (Guemesey)
.10%
Nota: Estas clasificaciones se basan en evaluaciones del
sitio web en su conjunto, y no en clasificaciones de las
páginas individuales. Los usuarios deben saber que existen
riesgos dentro de las URL individuales que se encuentran
en dominios que son generalmente seguros. Encontramos,
por ejemplo, muchas URL peligrosas a nivel de página en
los sitios .EDU (Educativo).
• Los sitios gubernamentales pierden su
liderazgo. El TLD más seguro en el 2009, el
Gubernamental (.GOV), quedó atrás en el puesto
número veintitrés entre los menos peligrosos
este año. No obstante, mantuvo el mismo grado
de riesgo, un mero 0,3%. Todos los sitios web
peligrosos que encontramos allí fueron clasificados
con el color rojo.
Mapa de sitios web maliciosos
5
Por qué es importante la realización de este mapa
McAfee publica el informe Mapa de sitios web maliciosos para tres comunidades
diferentes, con tres objetivos principales:
• Para la entidad de registro de dominios y la
comunidad de registros, esperamos que este
informe ofrezca un reconocimiento a quienes se
esfuerzan por reducir el número de registros de
estafadores y por cerrar sitios web maliciosos, y
que motive a otros a acercarse a estos líderes para
adoptar los mejores procedimientos para estos
desafíos. Una de las recompensas es la reducción
del riesgo. En el pasado, hemos trabajado para
ayudar a los entes de registro con la lista de los
“peores agresores”, proporcionando investigaciones
sobre los riesgos. Como consecuencia, hemos
observado una importante reducción de la cantidad
de sitios peligrosos en sus TLD.
• Para los propietarios de sitios web, esperamos
que el informe pueda ser una guía de consulta
útil a la hora de decidir sobre la “ubicación” de
cara al público para sus registros.
• Para los consumidores y los directores de
empresas de TI, esperamos que el informe
actúe como una revisión de la realidad, una
advertencia de que el riesgo está ampliamente
distribuido por toda la Red, que los riesgos
van en aumento y se están volviendo cada
vez más ingeniosos, y que incluso los usuarios
más experimentados necesitan la ayuda de un
software de seguridad integral y actualizado,
con funcionalidad de búsqueda segura.
Mapa de sitios web maliciosos
6
Cómo se aprovechan los delincuentes
de los dominios de nivel superior
Un TLD es uno de los organizadores de la red, el código de letras que se
encuentra al final de un sitio web y que dice dónde se encuentra registrado el
sitio. Si bien es probable que todos reconozcan .COM y .GOV, muchos TLD son
más difíciles de interpretar, como .AM para Armenia o .CM para Camerún. Los
estafadores se aprovechan de este desconocimiento, así como de la realidad
de que muchos consumidores simplemente no prestan atención al sufijo TLD
cuando buscan en la red. Muchos consumidores hacen clic en el primer resultado
que suena interesante, y se convierten así en víctimas de los delincuentes que
dedican tiempo a optimizar sus sitios web para los motores de búsqueda.
Algunos TLD son más peligrosos que otros para visitar.
Los estafadores y los hackers registran sus operaciones
en los lugares donde es más sencillo hacer negocios
o donde advierten posibilidades financieras debido
a errores de escritura o a asociaciones lógicas.
Por ejemplo, dado que es fácil omitir la “O” en
una dirección .COM, podría registrar la dirección
www.mcafee.cm en Camerún (.CM) esperando
obtener tráfico de cualquiera que se preocupe
por la seguridad. Por ejemplo, este podría ser un
sitio elegible para colocar un programa antivirus
no autorizado, a la espera de que un consumidor
responda a un mensaje de alerta que diga: “tiene un
virus, instale este software”.
Las entidades de registro trabajan duro para erradicar
esta actividad, conocida como “typosquatting” o
redireccionamiento intencionado (con la creación de
un sitio falso en una dirección web que suele escribirse
mal). El redireccionamiento intencionado obtiene
resultados desde los sitios que generan ganancias
publicitarias a partir de los errores de escritura hasta
de los sitios que buscan vender esa dirección a sitios
web de phishing que pretenden obtener información
personal o instalar software malicioso.
El software más peligroso (llamado a veces
“software de descarga inadvertida”) es invisible
a los ojos de los usuarios, ya que no es necesario
que estos hagan clic ni acepten de forma
consciente la descarga para que su ordenador sea
infectado o atacado. La mayoría de los software
maliciosos y de los ataques hacen todo lo posible
para no ser detectados. Los consumidores pueden
no darse cuenta durante días o incluso semanas
de que hay un problema, mientras que los
delincuentes vacían cuentas bancarias, acceden a
cuentas de juegos online, infectan a los “amigos”
de las redes sociales, o aprovechan ciclos del
procesador para sus botnets.
Del mismo modo, el usuario normalmente no sabe
si un .COM está alojado en Estados Unidos o en
China. A menos que utilice una herramienta de
asesoramiento de clasificaciones de seguridad,
el visitante necesita buscar información adicional
para determinar si un sitio es de confianza para
visitar. ¿.VN es para Vietnam o para Venezuela? La
respuesta puede ser determinante para establecer
el riesgo.
Mapa de sitios web maliciosos
7
Mientras que los buenos trabajan para mejorar
el control y la supervisión de los registros1, los
delincuentes invierten en software hábiles e
infraestructuras resistentes (ver la nota sobre zombis
en el recuadro). Cuando un TLD comienza a ser
controlado, los delincuentes mudan rápidamente
sus puertas de entrada en Internet a hogares más
compasivos y flexibles, sin que necesariamente
reubiquen servidores físicos ni alteren contenido.
Cuidado con los zombis
Los zombis son ordenadores infectados ubicados en hogares y empresas. Los
delincuentes los conectan entre sí para lanzar diferentes clases de ataques:
envío de correo no deseado, phishing y robo de información. Las botnets son
grupos de zombis que distribuyen la actividad, y ayudan así a que los dueños
de las redes de bots se mantengan “fuera del radar” y a que, por lo tanto,
eviten ser detectados y controlados mediante, por ejemplo, bloqueos en las
instalaciones de ISP. Obtienen así una infraestructura para la ciberdelincuencia
de primera clase a un coste insignificante.
Además de tener bajos costes de operación, los zombis ayudan a los
administradores de las redes de bots a mantener su anonimato. El éxito de esta
estrategia podría explicar la diferencia de impacto entre el bloqueo de McColo, que
redujo drásticamente los volúmenes de correo no deseado a nivel global en 20082,
y el bloqueo de la botnet Zeus en marzo de 2010, que duró sólo algunas horas.3
El TLD nos dice dónde se encuentra registrado
un sitio. El sitio web en sí mismo, incluido su
contenido, sus servidores, sus dueños, puede estar
ubicado en otra parte. Es una tendencia entre los
delincuentes ubicar el contenido dentro de servicios
de compartición de archivos gratuitos y luego
propocionar el contenido a otros TLD cuando fuera
necesario. Debido a que los archivos almacenados
en servicios tales como BitTorrent, YouTube y
RapidShare cambian constantemente, vigilar este
contenido se ha vuelto muy difícil.
Son varios los factores que inciden en que los
delincuentes elijan determinados TLD:
• Precio más bajo. En igualdad de condiciones,
los estafadores prefieren entidades de registro
que ofrezcan cuotas baratas, descuentos por
volumen y políticas de devolución generosas.
• Falta de regulación. En igualdad de condiciones,
los estafadores prefieren entidades de registro “que
no hagan preguntas”. Cuanta menos información
tenga que dar un estafador, mejor. Asimismo, los
estafadores prefieren entidades de registro que
actúen de forma lenta, si lo hacen, cuando se les
avise de la existencia de dominios maliciosos.
• Facilidad de registro. En igualdad de
condiciones, los estafadores prefieren entidades
de registro que les permitan registrarse en
masa. Esto es especialmente cierto para los
suplantadores (phishers) y los spammers
(quienes envían correo electrónico no deseado)
que necesitan grandes volúmenes de sitios
web para compensar el alto índice de bloqueos
efectuados por los administradores de TLD.
1
McAfee 2010 Threat Predictions [Predicción de amenazas 2010 de McAfee], p. 9, disponible para descargar en varios idiomas en http://www.mcafee.com/us/threat_center/white_paper.html
2
http://arstechnica.com/security/news/2009/01/two-months-after-mccolo-takedown-spam-levels-yet-to-recover.ars
3
http://www.thetechherald.com/article.php/201010/5363/ISP-takedown-deals-smashes-Zeus-botnet-%E2%80%93-for-a-few-hours
Mapa de sitios web maliciosos
8
Metodología
No hubo cambios en la metodología de este año. Como en el informe del año
pasado, este informe utiliza la base de datos McAfee Global Threat Intelligence,
que recoge información de más de 150 millones de sensores ubicados en más
de 120 países. Estos sensores (equipos individuales, dispositivos de entrada
a redes, software con puntos terminales, servicios hospedados en la nube)
provienen de consumidores, de pequeñas y medianas empresas, de clientes
corporativos, de instituciones educativas y de agencias gubernamentales.
Nuestra metodología tiene como objetivo identificar
el riesgo analizando patrones de tráfico en Internet,
comportamiento del sitio web, contenido alojado
y enlaces. Evaluamos los sitios web individuales
buscando contenido y comportamiento malicioso
o peligroso y también analizamos lo que podría
llamarse el contexto del sitio, es decir, cómo se
encuentra registrado, cómo se hace referencia a él,
cómo es utilizado y cómo se accede a él.
•Los sitios web son comprobados para
determinar si se aprovechan de las
vulnerabilidades del explorador, si se
detectan prácticas de phishing y si proliferan
excesivamente los elementos emergentes. El
aprovechamiento de las vulnerabilidades del
navegador, que a menudo se identifica también
con descargas inadvertidas, permite que se
instalen virus, capturadores de pulsaciones del
teclado o spyware, en el equipo de un usuario
sin su consentimiento y, a menudo, sin que lo
sepa. También examinamos enlaces salientes
para ver si dirigen a los visitantes a otros sitios
web clasificados como peligrosos por McAfee.
•Se analizan las descargas mediante la
instalación de software en nuestros equipos de
pruebas y se comprueba la existencia de virus,
software publicitario integrado, spyware u otros
programas potencialmente no deseados. McAfee
no comprueba archivos individuales ofrecidos
a través de programas de uso compartido
P2P ni programas para compartir archivos
BitTorrent o plataformas de contenidos como
iTunes o Rhapsody. Comprobamos archivos
listos para descargar desde numerosos sitios de
software gratuito y software para compartir y
evaluamos software P2P y software BitTorrent.
La misma clase de servicios que se utiliza para
compartición de archivos gratuita funciona
también para la distribución de malware.
• Los formularios de registro se rellenan
utilizando una dirección de correo electrónico de
un solo uso para que pueda rastrearse el volumen
y el “grado de spam” de cualquier correo
electrónico posterior. El grado de spam se refiere
a las características del contenido comercial del
correo electrónico, así como al uso de tácticas
para engañar a los programas que actúan como
filtro del correo electrónico no deseado.
Además, McAfee Global Threat Intelligence
establece una correlación entre la información
disponible de otros vectores de amenazas, incluidos
el tráfico de correo electrónico, el tráfico intrusivo
de red y análisis de malware, para llegar a una
puntuación de reputación integral de un sitio web.
Mapa de sitios web maliciosos
9
Se clasifica con rojo a los sitios web que contienen
código malicioso (como los Troyanos, los virus y
los spyware) o a exploits de navegadores que se
han ganado una reputación peligrosa debido a su
relación con determinados archivos, con el correo
electrónico, con Internet y con las redes. Se clasifica
con amarillo a los sitios web que merecen precaución
antes de ser utilizados, generalmente debido
al grado de spam, a la presencia de elementos
emergentes agresivos o a enlaces que llevan a sitios
peligrosos. Casi todos los TLD tienen una mezcla de
sitios clasificados en rojo y en amarillo.
Cuanto más creativos se vuelven los delincuentes,
más sofisticadas deben ser las contramedidas
A medida que los delincuentes se vuelven más
artesanales, también nosotros nos volvemos más
artesanales. McAfee cuenta con más de 400
investigadores que se dedican al análisis de las
amenazas. El equipo mundial desarrolla nuevas
herramientas para detectar cambios en la red,
analiza datos de estos sensores e identifica el
comportamiento y las “huellas digitales” que son
signo de peligro. Cada nuevo hallazgo se introduce en
la Global Threat Intelligence Network para proceder a
un análisis más exhaustivo. Así, mientras que nuestra
metodología sigue siendo la misma, constantemente
introducimos cambios para asegurarnos de poder
obtener una evaluación precisa del riesgo real que hoy
en día enfrentan los usuarios de la red.
Riesgo ponderado
Las clasificaciones
Ejemplo: Un TLD con 100 sitios de riesgo sobre 10
000, donde esos 100 sitios de riesgo son parte de 200
sitios de riesgo en total en todos los TLD [(50%*100/10
000)+(50%*100/200)=25.5%] se clasificaría como más
riesgoso que un TLD que cuenta con 10 sitios de riesgo
sobre 100 [(50%*(10/100)+(50%*(10/200)=7.5%].
TLD N.º 1
Todos los sitios
No establecemos un tiempo para este estudio
ni promediamos los resultados utilizando varias
muestras. Además, no anunciamos la fecha. Al tomar
muestras al azar en forma no programada, podemos
asegurarnos de no haya trampas en el proceso.
Método ponderado
TLD N.º 2
TLD N.º 1
TLD N.º 2
10
100
10
100
100
10.000
100
10.000
No relevante
No relevante
200
200
10,0%
1,0%
7,5%
25,5%
de riesgo
Clasificación
de riesgo
Hemos incluido sólo los dominios activos, aquellos
que se encontraban activos en el momento de la
medición: 27 304 797 dominios. La información
activa es una instantánea neutral que captura
el estado del sistema TLD durante el día en que
obtenemos nuestra información. Existe una
variación en el riesgo que es natural, de modo que
una medición realizada una semana más tarde
podría arrojar resultados diferentes.
No programada y sin aviso
Método no ponderado
Total de sitios
Todos los dominios frente a los dominios activos
Cada año, los delincuentes desarrollan técnicas
cada vez más complicadas e innovadoras para
ocultar sus actividades. Este año, por ejemplo,
las botnets han dado un gran salto en nuevas
categorías de sitios maliciosos, una de nuestras
clasificaciones de análisis que incluye virus,
Troyanos y botnets.
AL igual que en años anteriores, hemos restringido
nuestro análisis a los TLD de los que hemos
monitoreado al menos 2000 sitios web. Para este
Sitios de riesgo
informe, hemos incluido 106 TLD de los 271 que
hemos monitoreado, representando dos dominios
más con respecto al 2009.
Al igual que en el informe del año pasado, el riesgo
se pondera: 50% de la clasificación proviene de la
proporción de los sitios de riesgo de un TLD con
respecto a sus sitios totales, y un 50% proviene de
la proporción se los sitios de riesgo de un TLD con
respecto a todos los sitios de riesgo. Consideramos
que esta metodología de clasificación refleja el
nivel de riesgo al que se enfrenta un usuario típico
cuando navega por toda la red. En otras palabras,
consideramos que un usuario de la red debería
ser más reticente a visitar un TLD sabiendo que
contiene un 50% de todos los sitios de riesgo de la
red, incluso si esos sitios de riesgo representan sólo
el 1% de los dominios totales de ese TLD.
Esta metodología implica que, en algunos casos,
un TLD con muchos sitios de riesgo pero con
una clasificación de riesgo total menor puede
ser clasificado como más riesgoso que un TLD
pequeño que presenta un proporción de sitios de
riesgo relativamente más alta.
Example: El 6,1% de los 15,5 millones de sitios .COM
(Comercial) que analizamos fueron clasificados como
riesgosos, un poco menos que nuestro promedio total
de 6,2%. Sin embargo, cuando ponderamos el riesgo de
.COM por la cantidad total de sitios de riesgo en todo el
mundo, este índice aumentó al 31,3%, lo que lo convirtió
en el TLD de más riesgo. Por el contrario, el 58% de los
24 988 sitios web .VN (Vietnam) que evaluamos eran de
riesgo, pero cuando ponderamos ese riesgo de acuerdo
con su parte de sitios riesgosos en todo el mundo, el
índice descendió a un 29,4%, lo que lo colocó detrás de
.COM en términos de riesgo.
Mapa de sitios web maliciosos
10
Algunas advertencias acerca de las clasificaciones
No ponderamos de acuerdo con el tráfico
No ponderamos por tamaño del TLD
Nuestras clasificaciones de riesgo no se ponderan
de acuerdo con el tráfico que recibe un TLD. No
hacemos distinciones entre un TLD muy popular
que recibe una gran cantidad de tráfico dirigida a
sus sitios web de riesgo y un TLD menos popular
que recibe menos tráfico. Esta metodología se
corrobora en la realidad de que los sitios web
maliciosos en general escalan rápidamente a la
lista del millón de sitios de Internet más visitados
(de acuerdo con las mediciones de tráfico), y se
mantienen allí durante algunas semanas mientras
infectan a los usuarios. Un usuario que sólo evita los
sitios web populares, o los primeros en las listas de
resultados de búsqueda, sigue estando en peligro.
McAfee no tiene acceso a cada uno de los
“archivos de zona” de las entidades de registros,
ni a la lista de todos los dominios públicos
registrados. Por lo tanto, en determinados
casos no podemos evaluar el porcentaje de
sitios web públicos de un TLD del que tenemos
clasificaciones. No obstante, al limitarnos a
clasificar sólo aquellos TLD de los que tenemos una
muestra importante, consideramos que nuestras
evaluaciones de riesgo total y, por lo tanto,
nuestras clasificaciones, resultan significativas
desde el punto de vista estadístico.
No ponderamos de acuerdo con el tipo de riesgo
Nuestros análisis no distinguen entre amenazas
menores, moderadas, e insignificantes. En otras
palabras, un dominio que ha sido clasificado como
amarillo debido a una descarga levemente peligrosa
cuenta igual que uno que ha sido clasificado en rojo
por alojar código exploit de descarga inadvertida. El
registro de un sitio web que luego genera correo no
deseado se pondera igual que un sitio que presenta
una descarga infectada con un virus.
Ejemplo: Tomamos los 297 946 dominios .PL (Polonia). De
estos, encontramos que 17 398 eran de riesgo, o bien 5,8%
del total. Suponiendo que la población total de los dominios
.PL sea 2 970 000, el tamaño de nuestra muestra es de
apenas un 10%. Con un nivel de confianza de 95%, nuestro
intervalo de confianza es +/- 0.08%. En otras palabras,
podemos tener un 95% de confianza en que el porcentaje
real de sitios de riesgo es de entre 5,72% y 5,88%.
Dominios en lugar de URL
Este estudio incorpora sólo clasificaciones a nivel
de dominio, no URLs individuales dentro de un
dominio. Esto es importante porque McAfee ha
encontrado muchos ejemplos de URLs individuales
maliciosas dentro de dominios seguros, tales como
.HR (Croacia) y .EDU (Educativo).
No realizamos ajustes por bajas de sitios de riesgo
Sabemos que los operadores de TLD a veces se
encuentran bajo obligaciones contractuales que
no les permiten dar de baja a ciertos tipos de
dominios que McAfee puede considerar de riesgo.
Además, el comportamiento de los sitios web que
puede llevar a la baja en algunas entidades de
registro podría no ser considerado inapropiado
en otra entidad. McAfee no hace distinción entre
estas reglas diferentes.
Otros
Por último, nuestras clasificaciones no tienen en
cuenta dominios que no rastreamos.
Mapa de sitios web maliciosos
11
Desglose de las clasificaciones
Clasificaciones totales
ALTO RIESGO
BAJO RIESGO
País o Nombre
Región
TLD
Clasificación
de riesgo en
el mundo
(2010)
Índice de
riesgo
ponderado
Índice de
riesgo no
ponderado
(2010)
Clasificación Índice de
de riesgo
riesgo
mundial
ponderado
(2009)
(2009)
Cambios
por año
en el riesgo
ponderado
Total de
dominios
evaluados
Total de
dominios
peligrosos
Comercial
Genérico
COM
1
31.3%
6.1%
2
32.2%
-2.8% ↓
15,530,183
948,995
Información
Genérico
INFO
2
30.7%
46.6%
5
15.8%
94.5% ↑
533,711
248,806
Vietnam
APAC (Asia Pacífico)
VN
3
29.4%
58.0%
39
0.9%
3.107,9% ↑
24,988
14,492
Camerún
EMEA (Europa, Oriente
medio y África)
CM
4
22.2%
44.2%
1
36.7%
-39.5% ↓
3,947
1,746
Armenia
EMEA (Europa, Oriente
medio y África)
AM
5
12.1%
24.2%
23
2.0%
512.9% ↑
3,145
760
Islas Cocos
(Keeling)
APAC (Asia Pacífico)
CC
6
10.5%
20.2%
14
3.3%
215.4% ↑
58,713
11,869
Asia Pacífico
Genérico
ASIA
7
10.3%
20.6%
N/A
N/A
N/A
3,122
642
Red
Genérico
NET
8
10.1%
10.5%
7
5.8%
73.7% ↑
1,556,813
163,466
Rusia
EMEA (Europa, Oriente
medio y África)
RU
9
10.1%
16.8%
9
4.6%
116.7% ↑
329,136
55,373
Samoa Occidental
APAC (Asia Pacífico)
WS
10
8.6%
16.9%
4
17.8%
-51.8% ↓
22,070
3,734
Tokelau
APAC (Asia Pacífico)
TK
11
8.4%
15.9%
19
2.3%
262.0% ↑
91,876
14,630
Organización
Genérico
ORG
12
6.4%
7.4%
11
4.2%
50.3% ↑
1,224,870
90,290
Negocios
Genérico
BIZ
13
6.3%
11.8%
13
3.6%
74.3% ↑
121,622
14,350
Estados Unidos
América
US
14
6.0%
11.2%
17
3.1%
95.7% ↑
119,861
13,365
República Popular
de China
APAC (Asia Pacífico)
CN
15
4.8%
8.3%
3
23.4%
-79.5% ↓
261,298
21,711
Antigua Unión
Soviética
EMEA (Europa, Oriente
medio y África)
SU
16
4.6%
9.2%
8
5.2%
-9.8% ↓
8,478
784
Santo Tomé y
Príncipe
EMEA (Europa, Oriente
medio y África)
ST
17
3.7%
7.3%
12
3.8%
-1.6% ↓
11,997
880
Rumanía
EMEA (Europa, Oriente
medio y África)
RO
18
3.7%
7.1%
20
2.2%
63.5% ↑
56,312
3,982
Georgia
EMEA (Europa, Oriente
medio y África)
GE
19
3.5%
7.0%
N/A
N/A
N/A
2,311
162
Polonia
EMEA (Europa, Oriente
medio y África)
PL
20
3.4%
5.8%
60
0.5%
574.2% ↑
297,946
17,398
India
APAC (Asia Pacífico)
IN
21
3.4%
6.5%
22
2.0%
67.8% ↑
49,368
3,218
Montserrat
EMEA (Europa, Oriente
medio y África)
MS
22
3.2%
6.3%
N/A
N/A
N/A
3,382
213
Pakistán
APAC (Asia Pacífico)
PK
23
2.8%
5.5%
18
2.8%
0.5% ↑
4,947
273
Niue
APAC (Asia Pacífico)
NU
24
2.5%
5.0%
24
1.9%
32.3% ↑
27,420
1,362
Filipinas
APAC (Asia Pacífico)
PH
25
2.2%
4.3%
6
13.1%
-83.4% ↓
9,625
418
Montenegro
EMEA (Europa, Oriente
medio y África)
me
26
2.1%
4.3%
N/A
N/A
N/A
5,465
233
Tonga
APAC (Asia Pacífico)
TO
27
2.1%
4.2%
33
1.1%
94.5% ↑
13,150
550
Trinidad y Tobago
América
TT
28
1.9%
3.8%
51
0.6%
217.6% ↑
4,287
165
Familias e
individuos
Genérico
NAME
29
1.7%
3.3%
16
3.1%
-45.9% ↓
6,726
223
Tuvalu
APAC (Asia Pacífico)
TV
30
1.7%
3.2%
38
0.9%
80.1% ↑
40,770
1,316
Kazajstán
EMEA (Europa, Oriente
medio y África)
KZ
31
1.5%
3.1%
15
3.1%
-50.2% ↓
4,708
144
Islas Turcas
y Caicos
América
TC
32
1.5%
3.0%
40
0.9%
74.8% ↑
11,187
338
Dispositivos
móviles
Genérico
MOBI
33
1.5%
3.0%
25
1.7%
-14.4% ↓
6,861
204
Marruecos
EMEA (Europa, Oriente
medio y África)
MA
34
1.5%
3.0%
N/A
N/A
N/A
2,024
60
Laos
APAC (Asia Pacífico)
LA
35
1.5%
2.9%
26
1.6%
-8.7% ↓
4,143
122
Colombia
América
CO
36
1.5%
2.9%
68
0.4%
249.0% ↑
3,618
106
Belice
América
BZ
37
1.3%
2.5%
30
1.2%
2.2% ↑
3,472
88
Mapa de sitios web maliciosos
12
Clasificaciones totales (cont.)
ALTO RIESGO
BAJO RIESGO
País o Nombre
Región
TLD
Clasificación Índice de Índice de
de riesgo en
riesgo
riesgo no
el mundo ponderado ponderado
(2010)
(2010)
Clasificación
de riesgo
mundial
(2009)
Índice de
Cambios
Total de
Total de
riesgo
por año
dominios dominios
ponderado en el riesgo evaluados peligrosos
(2009)
ponderado
Corea del Sur
APAC (Asia Pacífico)
KR
38
1.1%
2.2%
28
1.5%
-26.7% ↓
70,261
1,530
Isla de
Christmas
APAC (Asia Pacífico)
CX
39
1.1%
2.2%
74
0.4%
195.6% ↑
6,084
136
Latvia
EMEA (Europa, Oriente medio y África)
LV
40
1.1%
2.1%
71
0.4%
163.1% ↑
10,015
210
Canadá
América
CA
41
0.9%
1.6%
64
0.5%
90.5% ↑
169,543
2,777
Eslovaquia
EMEA (Europa, Oriente medio y África)
SK
42
0.9%
1.7%
45
0.8%
11.4% ↑
37,643
649
Serbia
EMEA (Europa, Oriente medio y África)
RS
43
0.9%
1.7%
N/A
N/A
N/A
2,031
35
Unión Europea
EMEA (Europa, Oriente medio y África)
EU
44
0.8%
1.6%
59
0.5%
60.3% ↑
80,278
1,288
Ucrania
EMEA (Europa, Oriente medio y África)
UA
45
0.8%
1.6%
36
1.0%
-19.7% ↓
38,619
615
Estados
Federados de
Micronesia
APAC (Asia Pacífico)
FM
46
0.7%
1.5%
66
0.4%
69.7% ↑
4,075
60
Malasia
APAC (Asia Pacífico)
MY
47
0.7%
1.5%
80
0.3%
122.1% ↑
15,200
221
Tailandia
APAC (Asia Pacífico)
TH
48
0.7%
1.5%
32
1.1%
-34.8% ↓
8,912
130
8,503
Reino Unido
EMEA (Europa, Oriente medio y África)
UK
49
0.7%
0.9%
55
0.6%
30.3% ↑
898,229
Moldavia
EMEA (Europa, Oriente medio y África)
MD
50
0.7%
1.4%
N/A
N/A
N/A
2,644
38
Belarús
EMEA (Europa, Oriente medio y África)
BY
51
0.7%
1.4%
29
1.3%
-44.8% ↓
4,372
62
Islas Georgia
y Sándwich
del Sur
EMEA (Europa, Oriente medio y África)
GS
52
0.6%
1.2%
48
0.6%
-7.1% ↓
4,578
55
Perú
América
PE
53
0.6%
1.2%
41
0.9%
-32.9% ↓
5,176
60
República
Checa
EMEA (Europa, Oriente medio y África)
CZ
54
0.6%
1.0%
54
0.6%
-4.7% ↓
101,781
1,068
Irán
EMEA (Europa, Oriente medio y África)
IR
55
0.5%
1.1%
37
0.9%
-42.5% ↓
17,874
191
Lituania
EMEA (Europa, Oriente medio y África)
LT
56
0.5%
1.1%
44
0.8%
-36.9% ↓
11,517
121
Ecuador
América
EC
57
0.5%
1.0%
49
0.6%
-18.8% ↓
2,496
26
Emiratos Árabes
Unidos
EMEA (Europa, Oriente medio y África)
AE
58
0.5%
1.0%
65
0.5%
7.9% ↑
4,123
42
Uruguay
América
UY
59
0.5%
1.0%
75
0.4%
35.0% ↑
3,277
33
Hong Kong
APAC (Asia Pacífico)
HK
60
0.5%
1.0%
34
1.1%
-53.8% ↓
17,960
176
República de
China (Taiwán)
APAC (Asia Pacífico)
TW
61
0.5%
1.0%
52
0.6%
-16.3% ↓
56,000
534
Bélgica
EMEA (Europa, Oriente medio y África)
BE
62
0.5%
0.9%
81
0.3%
49.2% ↑
123,606
1,124
Liechtenstein
EMEA (Europa, Oriente medio y África)
LI
63
0.5%
1.0%
90
0.2%
110.3% ↑
3,000
29
Timor Oriental
APAC (Asia Pacífico)
TL
64
0.5%
1.0%
58
0.5%
-11.6% ↓
5,309
51
Hungría
EMEA (Europa, Oriente medio y África)
HU
65
0.4%
0.9%
53
0.6%
-23.9% ↓
71,650
614
Alemania
EMEA (Europa, Oriente medio y África)
DE
66
0.4%
0.5%
83
0.3%
43.8% ↑
1,504,163
7,052
Arabia Saudita
EMEA (Europa, Oriente medio y África)
SA
67
0.4%
0.9%
42
0.9%
-48.7% ↓
2,630
23
Bosnia
EMEA (Europa, Oriente medio y África)
BA
68
0.4%
0.9%
46
0.8%
-43.9% ↓
2,671
23
Indonesia
APAC (Asia Pacífico)
ID
69
0.4%
0.8%
56
0.6%
-23.7% ↓
6,138
52
Brasil
América
BR
70
0.4%
0.7%
70
0.4%
5.0% ↑
290,350
2,084
Finlandia
EMEA (Europa, Oriente medio y África)
FI
71
0.4%
0.8%
85
0.3%
41.5% ↑
35,046
283
Argentina
América
AR
72
0.4%
0.8%
50
0.6%
-36.7% ↓
80,324
603
España
EMEA (Europa, Oriente medio y África)
ES
73
0.4%
0.7%
27
1.6%
-75.6% ↓
103,555
749
Nueva Zelanda
APAC (Asia Pacífico)
NZ
74
0.4%
0.7%
94
0.2%
86.8% ↑
56,240
416
Francia
EMEA (Europa, Oriente medio y África)
FR
75
0.4%
0.7%
61
0.5%
-24.8% ↓
244,237
1,626
Austria
EMEA (Europa, Oriente medio y África)
AT
76
0.4%
0.7%
89
0.2%
58.4% ↑
139,244
966
Israel
EMEA (Europa, Oriente medio y África)
IL
77
0.4%
0.7%
31
1.2%
-70.4% ↓
29,113
209
Mapa de sitios web maliciosos
13
Clasificaciones totales (cont.)
ALTO RIESGO
BAJO RIESGO
País o Nombre
Región
TLD
Clasificación
de riesgo en
el mundo
(2010)
Índice de
riesgo
ponderado
Índice de
riesgo no
ponderado
(2010)
Clasificación
de riesgo
mundial
(2009)
Índice de
riesgo
ponderado
(2009)
Cambios
por año
en el riesgo
ponderado
Total de
dominios
evaluados
Total de
dominios
peligrosos
Nauru
APAC (Asia Pacífico)
NR
78
0.4%
0.7%
62
0.5%
-29,9% ↓
8,199
58
Turquía
EMEA (Europa, Oriente TR
medio y África)
79
0.4%
0.7%
47
0.7%
-46,6% ↓
36,466
252
Suecia
EMEA (Europa, Oriente SE
medio y África)
80
0.4%
0.7%
88
0.3%
35,8% ↑
102,870
684
Singapur
APAC (Asia Pacífico)
SG
81
0.3%
0.7%
10
4.6%
-92,6% ↓
15,632
105
Noruega
EMEA (Europa, Oriente NO
medio y África)
82
0.3%
0.6%
77
0.4%
-8,5% ↓
50,089
317
Grecia
EMEA
83
0.3%
0.6%
73
0.4%
-22,7% ↓
41,357
243
Gubernamental
EMEA (Europa, Oriente GOV
medio y África)
84
0.3%
0.6%
104
0.0%
1,188,3%
↑
6,415
38
México
Genérico
MX
85
0.3%
0.6%
69
0.4%
-26,7% ↓
49,601
284
Luxemburgo
América
LU
86
0.3%
0.6%
98
0.1%
102,4% ↑
6,750
38
Italia
EMEA (Europa, Oriente IT
medio y África)
87
0.3%
0.5%
78
0.3%
-17,6% ↓
314,171
1,495
Venezuela
EMEA (Europa, Oriente VE
medio y África)
88
0.3%
0.5%
21
2.1%
-86,7% ↓
5,842
32
Estonia
América
EE
89
0.3%
0.5%
76
0.4%
-30,1% ↓
11,302
58
Sudáfrica
EMEA (Europa, Oriente ZA
medio y África)
90
0.3%
0.5%
96
0.2%
50,6% ↑
72,629
357
Portugal
EMEA (Europa, Oriente PT
medio y África)
91
0.2%
0.5%
86
0.3%
-13,2% ↓
38,869
189
Vanuatu
EMEA (Europa, Oriente VU
medio y África)
92
0.2%
0.5%
97
0.2%
49,1% ↑
15,211
70
Países Bajos
APAC (Asia Pacífico)
NL
93
0.2%
0.3%
84
0.3%
-24,4% ↓
583,943
1,980
Bulgaria
EMEA (Europa, Oriente BG
medio y África)
94
0.2%
0.5%
43
0.8%
-73,1% ↓
17,974
81
Dinamarca
EMEA (Europa, Oriente DK
medio y África)
95
0.2%
0.4%
91
0.2%
0,7% ↑
151,472
627
Islandia
EMEA (Europa, Oriente IS
medio y África)
96
0.2%
0.4%
87
0.3%
-19,8% ↓
6,102
26
Eslovenia
EMEA (Europa, Oriente SI
medio y África)
97
0.2%
0.4%
79
0.3%
-36,6% ↓
11,339
48
Australia
EMEA (Europa, Oriente AU
medio y África)
98
0.2%
0.3%
93
0.2%
-4,3% ↓
256,103
871
Suiza
APAC (Asia Pacífico)
99
0.1%
0.3%
95
0.2%
-13,3% ↓
217,863
572
Irlanda
EMEA (Europa, Oriente IE
medio y África)
100
0.1%
0.2%
101
0.1%
-5,7% ↓
32,120
71
Croacia
EMEA (Europa, Oriente HR
medio y África)
101
0.1%
0.2%
100
0.1%
-11,1% ↓
22,511
50
Guemesey
EMEA (Europa, Oriente GG
medio y África)
102
0.1%
0.2%
57
0.6%
-81,1% ↓
12,092
25
Catalán
EMEA (Europa, Oriente
medio y África)
CAT
103
0.1%
0.2%
99
0.1%
-31,6% ↓
3,936
7
Japón
Patrocinado
JP
104
0.1%
0.1%
103
0.1%
6,6% ↑
464,408
547
Educativo
APAC (Asia Pacífico)
EDU
105
0.1%
0.1%
102
0.1%
-48,6% ↓
14,002
15
Sector de viajes
y turismo
Genérico
TRAVEL
106
0.0%
0.0%
92
0.2%
-88,6% ↓
2,013
1
GR
CH
Nota: Las entradas marcadas como “N/A” eran TLD nuevos en el informe de este año, por lo que no presentan un cambio de año a año.
Mapa de sitios web maliciosos
14
Región de América
ALTO RIESGO
País o Nombre
BAJO RIESGO
TLD
Clasificación
de riesgo en
el mundo
(2010)
Índice de
riesgo
ponderado
Índice de
riesgo no
ponderado
(2010)
Clasificación
de riesgo
mundial
(2009)
Índice de riesgo
ponderado
(2009)
Cambios
por año
en el riesgo
ponderado
Total de
dominios
evaluados
Total de
dominios
peligrosos
Estados Unidos
US
14
6.0%
11.2%
17
3.1%
95,7% ↑
119,861
13,365
Trinidad y Tobago
TT
28
1.9%
3.8%
51
0.6%
217,6% ↑
4,287
165
Islas Turcas y Caicos
TC
32
1.5%
3.0%
40
0.9%
74,8% ↑
11,187
338
Colombia
CO
36
1.5%
2.9%
68
0.4%
249,0% ↑
3,618
106
Belice
BZ
37
1.3%
2.5%
30
1.2%
2,2% ↑
3,472
88
Canadá
CA
41
0.9%
1.6%
64
0.5%
90,5% ↑
169,543
2,777
Perú
PE
53
0.6%
1.2%
41
0.9%
-32,9% ↓
5,176
60
Ecuador
EC
57
0.5%
1.0%
49
0.6%
-18,8% ↓
2,496
26
Uruguay
UY
59
0.5%
1.0%
75
0.4%
35,0% ↑
3,277
33
Brasil
BR
70
0.4%
0.7%
70
0.4%
5,0% ↑
290,350
2,084
Argentina
AR
72
0.4%
0.8%
50
0.6%
-36,7% ↓
80,324
603
México
MX
85
0.3%
0.6%
69
0.4%
-26,7% ↓
49,601
284
Venezuela
VE
88
0.3%
0.5%
21
2.1%
-86,7% ↓
5,842
32
• .CO (Colombia) presentó uno de los mayores crecimientos en el riesgo, pasando del número 68 al número 36 este año.
Hemos hallado que los riesgos principales asociados con .CO se relacionan con actividades maliciosas: las URL funcionan como
intermediarias de otros hosts maliciosos, tales como botnet de sistemas comprometidos y los centros de control que los manejan.
• .VE (Venezuela) fue uno de los TLD que más ha mejorado este año, pasando del número 21 en 2009 a la posición 88 este año.
Mapa de sitios web maliciosos
15
Región Pacífico Asiático (APAC)
ALTO RIESGO
País o Nombre
BAJO RIESGO
TLD
Vietnam
VN
Islas Cocos (Keeling)
Samoa Occidental
Clasificación
de riesgo en
el mundo (2010)
Índice de
riesgo
ponderado
Índice de
riesgo no
ponderado
(2010)
Clasificación
de riesgo
mundial
(2009)
Índice de
riesgo
ponderado
(2009)
Cambios
por año
en el riesgo
ponderado
0.9%
3.107,9% ↑
Total de
dominios
evaluados
Total de
dominios
peligrosos
24,988
14,492
11,869
3
29.4%
58.0%
39
CC
6
10.5%
20.2%
14
3.3%
215,4% ↑
58,713
WS
10
8.6%
16.9%
4
17.8%
-51,8% ↓
22,070
3,734
Tokelau
TK
11
8.4%
15.9%
19
2.3%
262,0% ↑
91,876
14,630
República Popular de
China
CN
15
4.8%
8.3%
3
23.4%
-79,5% ↓
261,298
21,711
India
IN
21
3.4%
6.5%
22
2.0%
67,8% ↑
49,368
3,218
Pakistán
PK
23
2.8%
5.5%
18
2.8%
0,5% ↑
4,947
273
Niue
NU
24
2.5%
5.0%
24
1.9%
32,3% ↑
27,420
1,362
Filipinas
PH
25
2.2%
4.3%
6
13.1%
-83,4% ↓
9,625
418
Tonga
TO
27
2.1%
4.2%
33
1.1%
94,5% ↑
13,150
550
Tuvalu
TV
30
1.7%
3.2%
38
0.9%
80,1% ↑
40,770
1,316
Laos
LA
35
1.5%
2.9%
26
1.6%
-8,7% ↓
4,143
122
Corea del Sur
KR
38
1.1%
2.2%
28
1.5%
-26,7% ↓
70,261
1,530
Isla de Christmas
CX
39
1.1%
2.2%
74
0.4%
195,6% ↑
6,084
136
Estados Federados de
Micronesia
FM
46
0.7%
1.5%
66
0.4%
69,7% ↑
4,075
60
Malasia
MY
47
0.7%
1.5%
80
0.3%
122,1% ↑
15,200
221
Tailandia
TH
48
0.7%
1.5%
32
1.1%
-34,8% ↓
8,912
130
Hong Kong
HK
60
0.5%
1.0%
34
1.1%
-53,8% ↓
17,960
176
República de China
(Taiwán)
TW
61
0.5%
1.0%
52
0.6%
-16,3% ↓
56,000
534
Timor Oriental
TL
64
0.5%
1.0%
58
0.5%
-11,6% ↓
5,309
51
Indonesia
ID
69
0.4%
0.8%
56
0.6%
-23,7% ↓
6,138
52
Nueva Zelanda
NZ
74
0.4%
0.7%
94
0.2%
86,8% ↑
56,240
416
Nauru
NR
78
0.4%
0.7%
62
0.5%
-29,9% ↓
8,199
58
Singapur
SG
81
0.3%
0.7%
10
4.6%
-92,6% ↓
15,632
105
Vanuatu
VU
92
0.2%
0.5%
97
0.2%
49,1% ↑
15,211
70
Australia
AU
98
0.2%
0.3%
93
0.2%
-4,3% ↓
256,103
871
Japón
JP
104
0.1%
0.1%
103
0.1%
6,6% ↑
464,408
547
Nota: Las entradas marcadas como “N/A” eran TLD nuevos en el informe de este año, por lo que no presentan un cambio de año a año.
• En conjunto, la región Asia Pacífico fue la dominante en la categoría de los que más mejoraron, ocupando el cuarto de
cinco puestos, con Singapur (.SG) como líder número uno, seguido por la República Popular de China (.CN), Filipinas
(.PH) y Samoa Oriental (.WS). Este logro es especialmente sorprendente si se tiene en cuenta que estos 4 LTD se
encontraban en la lista de los diez TLD más peligrosos del año pasado.
• No obstante, Vietnam (.VN) pasó del puesto de riesgo número 39 en 2009 al número 3. Al igual que Colombia (.CO), los
riesgos principales asociados a .VN se relacionan con actividades maliciosas, sitios que son utilizados para llegar a otros hosts
maliciosos, así como actividades de comandos y control.
• Japón apareció nuevamente como uno de los TLD menos peligrosos del mundo, y una vez más resultó ser el menos riesgoso
de la región APAC.
Mapa de sitios web maliciosos
16
Región de Europa, Oriente Medio y África (EMEA)
ALTO RIESGO
País o Nombre
BAJO RIESGO
TLD
Clasificación
de riesgo en
el mundo (2010)
Índice de
riesgo
ponderado
Índice de
riesgo no
ponderado
(2010)
Clasificación
de riesgo
mundial
(2009)
Índice de
riesgo
ponderado
(2009)
Cambios
por año
en el riesgo
ponderado
Total de
dominios
evaluados
Total de
dominios
peligrosos
Camerún
CM
4
22.2%
44.2%
1
36.7%
-39,5% ↓
3,947
1,746
Armenia
AM
5
12.1%
24.2%
23
2.0%
512,9% ↑
3,145
760
Rusia
RU
9
10.1%
16.8%
9
4.6%
116,7% ↑
329,136
55,373
Antigua Unión
Soviética
SU
16
4.6%
9.2%
8
5.2%
-9,8% ↓
8,478
784
Santo Tomé y Príncipe
ST
17
3.7%
7.3%
12
3.8%
-1,6% ↓
11,997
880
Rumanía
RO
18
3.7%
7.1%
20
2.2%
63,5% ↑
56,312
3,982
Georgia
GE
19
3.5%
7.0%
N/A
N/A
N/A
2,311
162
Polonia
PL
20
3.4%
5.8%
60
0.5%
574,2% ↑
297,946
17,398
Montserrat
MS
22
3.2%
6.3%
N/A
N/A
N/A
3,382
213
Montenegro
ME
26
2.1%
4.3%
N/A
N/A
N/A
5,465
233
Kazajstán
KZ
31
1.5%
3.1%
15
3.1%
-50,2% ↓
4,708
144
Marruecos
MA
34
1.5%
3.0%
N/A
N/A
N/A
2,024
60
Latvia
LV
40
1.1%
2.1%
71
0.4%
163,1% ↑
10,015
210
Eslovaquia
SK
42
0.9%
1.7%
45
0.8%
11,4% ↑
37,643
649
Serbia
RS
43
0.9%
1.7%
N/A
N/A
N/A
2,031
35
Unión Europea
EU
44
0.8%
1.6%
59
0.5%
60,3% ↑
80,278
1,288
Ucrania
UA
45
0.8%
1.6%
36
1.0%
-19,7% ↓
38,619
615
Reino Unido
UK
49
0.7%
0.9%
55
0.6%
30,3% ↑
898,229
8,503
Moldavia
MD
50
0.7%
1.4%
N/A
N/A
N/A
2,644
38
Belarús
BY
51
0.7%
1.4%
29
1.3%
-44,8% ↓
4,372
62
Islas Georgia y
Sándwich del Sur
GS
52
0.6%
1.2%
48
0.6%
-7,1% ↓
4,578
55
República Checa
CZ
54
0.6%
1.0%
54
0.6%
-4,7% ↓
101,781
1,068
Irán
IR
55
0.5%
1.1%
37
0.9%
-42,5% ↓
17,874
191
Lituania
LT
56
0.5%
1.1%
44
0.8%
-36,9% ↓
11,517
121
Emiratos Árabes Unidos AE
58
0.5%
1.0%
65
0.5%
7,9% ↑
4,123
42
Bélgica
BE
62
0.5%
0.9%
81
0.3%
49,2% ↑
123,606
1,124
Liechtenstein
LI
63
0.5%
1.0%
90
0.2%
110,3% ↑
3,000
29
Hungría
HU
65
0.4%
0.9%
53
0.6%
-23,9% ↓
71,650
614
Alemania
DE
66
0.4%
0.5%
83
0.3%
43,8% ↑
1,504,163
7,052
Arabia Saudita
SA
67
0.4%
0.9%
42
0.9%
-48,7% ↓
2,630
23
Bosnia
BA
68
0.4%
0.9%
46
0.8%
-43,9% ↓
2,671
23
Finlandia
FI
71
0.4%
0.8%
85
0.3%
41,5% ↑
35,046
283
España
ES
73
0.4%
0.7%
27
1.6%
-75,6% ↓
103,555
749
Francia
FR
75
0.4%
0.7%
61
0.5%
-24,8% ↓
244,237
1,626
Austria
AT
76
0.4%
0.7%
89
0.2%
58,4% ↑
139,244
966
Israel
IL
77
0.4%
0.7%
31
1.2%
-70,4% ↓
29,113
209
Turquía
TR
79
0.4%
0.7%
47
0.7%
-46,6% ↓
36,466
252
Suecia
SE
80
0.4%
0.7%
88
0.3%
35,8% ↑
102,870
684
Noruega
NO
82
0.3%
0.6%
77
0.4%
-8,5% ↓
50,089
317
Grecia
GR
83
0.3%
0.6%
73
0.4%
-22,7% ↓
41,357
243
Luxemburgo
LU
86
0.3%
0.6%
98
0.1%
102,4% ↑
6,750
38
Italia
IT
87
0.3%
0.5%
78
0.3%
-17,6% ↓
314,171
1,495
Estonia
EE
89
0.3%
0.5%
76
0.4%
-30,1% ↓
11,302
58
Sudáfrica
ZA
90
0.3%
0.5%
96
0.2%
50,6% ↑
72,629
357
Portugal
PT
91
0.2%
0.5%
86
0.3%
-13,2% ↓
38,869
189
Mapa de sitios web maliciosos
17
Región de Europa, Oriente Medio y África (EMEA) (continuación)
ALTO RIESGO
País o Nombre
BAJO RIESGO
TLD
Clasificación
de riesgo en
el mundo (2010)
Índice de
riesgo
ponderado
Índice de
riesgo no
ponderado
(2010)
Clasificación
de riesgo
mundial
(2009)
Índice de
riesgo
ponderado
(2009)
Cambios
por año
en el riesgo
ponderado
Total de
dominios
evaluados
Total de
dominios
peligrosos
1,980
Países Bajos
NL
93
0.2%
0.3%
84
0.3%
-24,4% ↓
583,943
Bulgaria
BG
94
0.2%
0.5%
43
0.8%
-73,1% ↓
17,974
81
Dinamarca
DK
95
0.2%
0.4%
91
0.2%
0,7% ↑
151,472
627
Islandia
IS
96
0.2%
0.4%
87
0.3%
-19,8% ↓
6,102
26
Eslovenia
SI
97
0.2%
0.4%
79
0.3%
-36,6% ↓
11,339
48
Suiza
CH
99
0.1%
0.3%
95
0.2%
-13,3% ↓
217,863
572
Irlanda
IE
100
0.1%
0.2%
101
0.1%
-5,7% ↓
32,120
71
Croacia
HR
101
0.1%
0.2%
100
0.1%
-11,1% ↓
22,511
50
Guemesey
GG
102
0.1%
0.2%
57
0.6%
-81,1% ↓
12,092
25
Nota: Las entradas marcadas como “N/A” eran TLD nuevos en el informe de este año, por lo que no presentan un cambio de año a año..
• Dos TLD de la zona EMEA han aumentado el riesgo significativamente este año comparando con el 2009: .PL (Polonia) pasó
del puesto 60 al puesto 20 este año, y .AM (Armenia) pasó del número 23 al número 5.
• .PL tiene dominios asociados con todos los riesgos, incluyendo actividad maliciosa, descargas maliciosas y hospedaje de URL
asociadas con ataques y campañas de correo no deseado.
• Los riesgos asociados con .AM están más concentrados, principalmente en actividades maliciosas, incuidas las de comandos
y control y otros servicios de este tipo.
Mapa de sitios web maliciosos
18
LTD genéricos y patrocinados
ALTO RIESGO
Nombre
Comercial
BAJO RIESGO
Region
Genérico
TLD
COM
Clasificación Índice de Índice de riesgo Clasificación
de riesgo
riesgo
no ponderado
de riesgo
mundial
ponderado
(2010)
mundial
(2010)
(2010)
(2009)
1
31.3%
6.1%
Índice de
Cambios por
Total de
riesgo
año en el riesgo dominios
ponderado
ponderado
evaluados
(2009)
(2010)
Total de
dominios
peligrosos
(2010)
2
32.2%
-2.8% ↓
15,530,183
948,995
248,806
Información
Genérico
INFO
2
30.7%
46.6%
5
15.8%
94.5% ↑
533,711
Asia Pacífico
Genérico
ASIA
7
10.3%
20.6%
N/A
N/A
N/A
3,122
642
Red
Genérico
NET
8
10.1%
10.5%
7
5.8%
73.7% ↑
1,556,813
163,466
Organización
Genérico
ORG
12
6.4%
7.4%
11
4.2%
50.3% ↑
1,224,870
90,290
Negocios
Genérico
BIZ
13
6.3%
11.8%
13
3.6%
74.3% ↑
121,622
14,350
Familias e
individuos
Genérico
NAME
29
1.7%
3.3%
16
3.1%
-45.9% ↓
6,726
223
Dispositivos
móviles
Genérico
MOBI
33
1.5%
3.0%
25
1.7%
-14.4% ↓
6,861
204
38
Gubernamental
Genérico
GOV
84
0.3%
0.6%
104
0.0%
1,188.3% ↑
6,415
Catalán
Patrocinado
CAT
103
0.1%
0.2%
99
0.1%
-31.6% ↓
3,936
7
Educativo
Genérico
EDU
105
0.1%
0.1%
102
0.1%
-48.6% ↓
14,002
15
Sector de viajes
y turismo
Genérico
TRAVEL
106
0.0%
0.0%
92
0.2%
-88.6% ↓
2,013
1
• Casi la mirad (47%) de los sitios de información (.INFO) se clasificaron en color rojo o amarillo, con mayoría de sitios en
rojo (43%). Muchos de los riesgos identificados con los TLD .INFO se asociaban con hospedaje de contenido utilizado para
campañas de correos no deseados. Este contenido podía ser tanto de productos como de software malicioso o antivirus
falsos. Además, hubo muchos sitios dentro del TLD .INFO que estaban asociados con otros dominios y servidores maliciosos.
Muchos de estos sitios aparecieron más tarde en campañas de antivirus falsos y en actividades de la botnet Zeus,
• Más del 14% de las URL de Koobface (45 213) se encontraban dentro del TLD Comercial (.COM), sin que tuvieran presencia
significativa en otros TLD.
Mapa de sitios web maliciosos
19
Predominancia de riesgo rojo contra amarillo
Se clasifica con rojo a los sitios web que
contienen código malicioso (como los
Troyanos, los virus y los spyware) o a exploits
de navegadores que se han ganado una
reputación peligrosa debido su relación
con determinados archivos, con el correo
electrónico, con Internet y con las redes.
Se clasifica con amarillo a los sitios que
merecen precaución antes de ser utilizados,
generalmente debido al grado de spam, a la
presencia de elementos emergentes agresivos
o a enlaces que llevan a sitios web peligrosos.
La mayoría de los TLD tiene una mezcla
de sitios clasificados con rojo y con
amarillo. Algunos, sin embargo, tienen una
predominancia de amarillo o de rojo. Por
ejemplo, dentro de los 642 dominios de
riesgo de la región Asia Pacífico (.ASIA),
619 eran amarillos. Como contrapartida, el
100% de los dominios que eran de riesgo
en Gubernamental (.GOV), Islandia (.IS),
Educativo (.EDU) y el Sector de viajes y turismo
(.TRAVEL) eran rojos. De todas maneras, no
hay necesidad de preocuparse demasiado por
estos cuatro TLD. Ninguno de ellos tiene más
de 40 sitios de riesgo en total y, en general,
son seguros. No obstante, Vietnam (.VN)
tuvo 14 492 sitios rojos, que representan
el 99,89% de sus sitios de riesgo, y lo que
ayudó a justificar que se encuentre en el tercer
puesto entre los TLD más peligrosos.
Predominancia de amarillo
País o Nombre
TLD
Total de sitios de riesgo
Porcentaje amarillo
Porcentaje rojo
Pacífico Asiático
ASIA
642
96.4%
3.6%
Armenia
AM
760
94.2%
5.8%
Finlandia
FI
283
89.1%
11.0%
Tokelau
TK
14,630
86.3%
13.7%
Islas Cocos (Keeling)
CC
11,869
85.5%
14.5%
Canadá
CA
2,777
82.0%
18.0%
Reino Unido
UK
8,503
77.8%
22.2%
Tuvalu
TV
1,316
77.7%
22.3%
Dispositivos móviles
MOBI
204
76.0%
24.0%
Malasia
MY
221
74.7%
25.3%
Niue
NU
1,362
73.3%
26.7%
Suecia
SE
684
65.2%
34.8%
Estados Federados de Micronesia
FM
60
65.0%
35.0%
Nueva Zelanda
NZ
416
61.8%
38.2%
Colombia
CO
106
56.6%
43.4%
Samoa Occidental
WS
3,734
55.8%
44.2%
China
CN
21,711
55.5%
44.5%
Rusia
RU
55,373
55.4%
44.6%
Perú
PE
60
51.7%
48.3%
Australia
AU
871
51.7%
48.3%
Biased toward red
País o Nombre
TLD
Total de sitios de riesgo
Porcentaje amarillo
Porcentaje rojo
Gubernamental
GOV
38
0.0%
100.0%
Islandia
IS
26
0.0%
100.0%
Educativo
EDU
15
0.0%
100.0%
Sector de viajes y turismo
TRAVEL
1
0.0%
100.0%
Vietnam
VN
14,492
0.1%
99.9%
Islas Turcas y Caicos
TC
338
3.3%
96.8%
Polonia
PL
17,398
3.5%
96.5%
Trinidad y Tobago
TT
165
4.2%
95.8%
Timor Oriental
TL
51
5.9%
94.1%
Croacia
HR
50
8.0%
92.0%
Serbia
RS
35
8.6%
91.4%
Información
INFO
248,806
8.6%
91.4%
Nauru
NR
58
8.6%
91.4%
Arabia Saudita
SA
23
8.7%
91.3%
Hungría
HU
614
9.1%
90.9%
Emiratos Árabes Unidos
AE
42
9.5%
90.5%
Negocios
BIZ
14,350
9.8%
90.2%
Santo Tomé y Príncipe
ST
880
10.3%
89.7%
Tailandia
TH
130
10.8%
89.2%
Georgia
GE
162
11.1%
88.9%
Turquía
TR
252
11.5%
88.5%
Isla de Christmas
CX
136
11.8%
88.2%
Guemesey
GG
25
12.0%
88.0%
Uruguay
UY
33
12.1%
87.9%
Laos
LA
122
12.3%
87.7%
Montserrat
MS
213
13.6%
86.4%
Mapa de sitios web maliciosos
20
El cambiante espectro de amenazas
Los volúmenes de malware continúan aumentando en 2010: los primeros
seis meses de este año han sido los más activos de todos los tiempos en
términos de producción total de malware .4 Los tipos de software malicioso
están evolucionando, con más software auto-ejecutable (generalmente desde
Un nuevo tipo de zombi:
el software malicioso que
nunca muere
dispositivos USB), con más antivirus falsos (software de alertas falsas), con más
malware de redes sociales y con correos no deseados mucho más personalizados
y creíbles. Las amenazas avanzadas recurrentes (APT por sus siglas en inglés)
Una de las noticias más resonantes a
pueden combinar varias técnicas para tejer sus redes o para ejecutar sus
principios de junio fue acerca de un
ataques, de modo que un sitio web es sólo una parte del rompecabezas.
ataque de inyección SQL masivo. Un
ataque que “salpicó” a decenas de miles
de sitios web y que introducía un iFrame
(marco flotante) que redireccionaba a
los usuarios a una página maliciosa, que
luego descargaba y ejecutaba un archivo.
Estos ataques suceden regularmente: por
lo menos una vez cada tres meses.
Una vez que el dominio malicioso se da de
baja, las noticias y la preocupación acerca
de ese ataque en particular desaparecen
en la nada. Pero de lo que no nos
enteramos es de la cantidad de sitios que
no logran limpiarse después de un ataque
como este. Un mes después del ataque
de junio, conocido como www.robint.us,
hemos contado 51 900 sitios que aún
estaban infectados con esta inyección SQL.
Esta falta de limpieza no es única. El
ataque 1677.in aún redirecciona a usuarios
hacia 26 800 páginas web; yahoosite.ru
aún afecta a 1380 sitios; el exploit killpp.
cn de 2008 todavía se encuentra presente
en 680 páginas; y k.18xn.com al día de
hoy continúa plagando 583 sitios web. Es
probable que estos problemas empeoren a
medida que la naturaleza dinámica y fluida
de la red haga cada vez más sencilla la
inyección y la ocultación de ataques.
—McAfee Threats Report:
Second Quarter 2010
[Informe de amenazas de McAfee:
Segundo trimestre de 2010]
Los sitios de redes sociales hacen que el trabajo
delictivo se vuelva fácil, ya que los enlaces maliciosos
o encubiertos pueden incluirse en publicaciones y
mensajes de amigos que gozan de la “confianza
transitiva”. Confío en ti, por lo que puedo confiar
en tu “amigo”, ¿no es así? Desde 2008, el gusano
Koobface ha estado aprovechándose de estas redes
de confianza para encontrar nuevas víctimas para
sus códigos maliciosos y nuevos bots zombis para
sus botnets.5 Durante 2010, ha habido una gran
actividad por parte del gusano Koobface. Hemos
categorizado 315 415 URL como maliciosas en
relación con Koobface. Más del 14% de estas URL
(45 213) se encontraban dentro de nuestro TLD
más peligroso, .COM, sin que tuvieran presencia
significativa en otros TLD.
Un microcosmos de este torbellino de malware ha
sido el segundo TLD que entraña más riesgo de este
año: .INFO. Hacer clic en un enlace a este dominio
presentaba un 47% de posibilidades de llegar a una
página de riesgo. Cuando investigamos las clases de
amenaza para .INFO, la gran mayoría se señalaban
como de riesgo por el modo en que se registraban
y por la reputación de su dominio, información
obtenida de nuestra base de datos de actividades
sospechosas observadas a lo largo del tiempo.
El otro factor de riesgo de .INFO eran los sitios
web maliciosos. Algunos de estos sitios distribuyen
malware, exploits o una variedad de ambos. Algunos
funcionan como servidores de comandos y control,
como servidores comprometidos o como dominios
en un servidor controlado por un bot. Muchos sitios
contenían descargas de antivirus falsos (también
conocidos como software para amedrentar o
software de alertas falsas) y malware de la botnet
Zeus, y reflejaron sus actividades dominantes en el
espectro de amenazas en conjunto.
Las botnets Zeus utilizan técnicas particularmente
sofisticadas para eludir los sistemas de
autenticación utilizados para transacciones
bancarias online, incluyendo contraseñas de un
solo uso, por lo que implican una seria amenaza
para consumidores y empresas. Por último, los
sitios de phishing representan un porcentaje
importante de los sitios rojos de .INFO.
Cuanto más trabajamos, más trabajo tenemos
A medida que las entidades de registro refuerzan
las restricciones para utilizar sus dominios, los
delincuentes buscan formas alternativas para
aprovecharse de la red. Kits de herramientas de
malware listo para ejecutarse se cuelan a través de
las débiles barreras de seguridad en tecnologías
2.0, como AJAX, XML, Flash, iFrames y JavaScript,
y en navegadores, ordenadores y sitios web mal
configurados o poco mantenidos. Combinaciones
infinitas de herramientas y vulnerabilidades
de software hacen que sea sencillo colocar
contenido de riesgo en dominios que pueden
considerarse legítimos. Este contenido invisible
para el usuario no necesita que el usuario “haga
clic para descargar” para aprovecharse de las
vulnerabilidades del navegador.
Por ejemplo, un hacker puede utilizar un ataque
especial llamado inyección SQL para implantar
un tipo específico de código invisible llamado
iFrame (cuadro flotante). El iFrame, que puede ser
pequeño como un píxel y que puede esconderse
detrás de otras imágenes o de ventanas
emergentes, incluye una URL que, de forma
silenciosa, direcciona a los usuarios a un sitio en el
que recibirán la carga maliciosa.
En un intento de desbaratar la detección de
URLs falsas por parte del navegador, el iFrame
incorporado puede utilizar servicios de abreviación
de URL, como bit.ly o Tinyurl, para ocultar la URL.
Los servicios de abreviación de URL están
intentando hacer mejor su trabajo reconociendo
este abuso, pero sus esfuerzos hasta el momento
han resultado fáciles de eludir. Por ejemplo, los
delincuentes pueden detectar el lugar de origen
de los visitantes y seleccionar sólo el tráfico que
desean conectar al sitio.
4
cAfee Threats Report: Second Quarter 2010 [Informe de amenazas de McAfee: Segundo trimestre de 2010], disponible
M
para descargar en varios idiomas en http://www.mcafee.com/us/threat_center/white_paper.html
5
Craig Schmugar, “Koobface remains active on Facebook” [Koobface se mantiene activo en Facebook], McAfe Labs blog.
www.avertlabs.com/research/blog/index.php/2008/12/03/ koobface-remains-active-on-facebook/
Mapa de sitios web maliciosos
21
Al utilizar redireccionamiento entre sitios web, el
atacante separa el contenido de la línea de ataque
inicial. Así, el contenido puede ser reutilizado en
ataques en serie, y también puede ser cambiado
levemente para eludir las herramientas que
detectan la frecuencia de aparición. ¿Se ha vuelto
demasiado conocido este contenido en Koobface
o en Zeus? Prueba con este otro.
Objetivos cambiantes y actualizados
Es posible introducir material malicioso en sitios que
no cuentan con una protección adecuada, así como
en cualquier contenido generado por un usuario,
ya sea un archivo JPEG, un blog o un fórum. Si
bien algunos sitios poco mantenidos generalmente
alojan malware conocido durante meses o años (ver
margen de la página 21), algunas de las amenazas
más inteligentes aparecen y desaparecen en el
curso de algunas horas. Un centro de comandos
y control de botnet puede estar “despierto” sólo
durante algunos minutos por día.
Para poder protegerse contra estas actividades
fugaces (pero lucrativas), se deben actualizar con
frecuencia las evaluaciones a nivel de URL y a
nivel de ruta. Esta es la razón por la que resulta
beneficioso para los usuarios la inspección de
contenido (escaneos en busca de los últimos
malware) realizada en tiempo real.
Después de colocar malware en un sitio web, los
términos de búsqueda infectados se mantienen
como las formas más populares –e inadvertidas
en que los delincuentes desvían tráfico hacia sus
sitios web. Los delincuentes están atentos a las
catástrofes, a las travesuras de las celebridades, a los
eventos deportivos y a otros temas de interés. Crean
anuncios y fabrican sitios web con términos populares,
hacen que los motores de búsqueda los indexen, y
luego utilizan botnets y motores de clic para hacer
escalar su contenido hasta la primera página de los
resultados de búsqueda. Cuando los usuarios hacen
clic en estos artículos en los resultados de búsqueda,
viajan a sitios en los que recogen descargas maliciosas.
Un sitio malicioso puede ser uno nuevo, creado para
tal fin con contenido de actualidad, o un sitio web
inocente que ha sido pirateado.
Cada una de estas metodologías recompensa con
información personal, información de ingreso
a cuentas, información de cuenta de amigos,
contraseñas y zombis de botnets.
Dispositivos móviles
El puesto de riesgo número 33, Dispositivos móviles
(.MOBI), era uno de los TLD más seguros de la red este
año, pero estamos monitoreándolo de cerca, junto con
el uso de Internet móvil en su conjunto. Por ejemplo,
se están incorporando más ataques a los dispositivos
móviles. La botnet Zeus puede pedir a los usuarios
que proporcionen su número de móvil y un número
de autorización y luego utilizar esa información en
una transacción financiera. Si un mensaje de correo
no deseado o un formulario web obtiene un número
de móvil, ese número puede ser utilizado en otros
ataques sucesivos, enviando más correo no deseado,
señuelos de phishing, o enlaces a sitios que alojan
malware. Los millones de teléfonos inteligentes
(smartphone) con función para navegar en Internet
que están en circulación no hacen más que ampliar las
oportunidades para los delincuentes habilidosos.
“En 2009, el 6% de las URLs
maliciosas que McAfee identificó
y de las que protegió a los
usuarios se encontraban a nivel
de ruta. En 2010, este porcentaje
ya ha aumentado a 16%”.
—McAfee Threats Report:
Second Quarter 2010
[Informe de amenazas de McAfee:
Segundo trimestre de 2010]
Mapa de sitios web maliciosos
22
Comentarios de las entidades de registro y de los
operadores de dominios de nivel superior
Además de nuestras ideas, hemos querido incluir las opiniones de la comunidad TLD
que se encuentra en la línea de combate en la gestión del riesgo. Hemos solicitado
comentarios por parte de los TLD que hemos mencionado en este informe, para que
proporcionaran experiencias, matices y contexto para nuestro análisis.
.INFO (Información)
“Como administrador del registro .INFO, Afilias
se compromete a frenar la actividad abusiva en
el dominio .INFO. Es por esta razón que hemos
establecido en 2008 nuestra Política Anti-abuso
líder en el mercado y hemos estado trabajando de
forma proactiva con nuestras entidades de registro
(quienes venden directamente a los usuarios
finales) para combatir activamente el phishing y
otras clases de abusos.
Desafortunadamente, el crecimiento de .INFO en
términos de popularidad ha atraído la atención
de quienes envían spam, por lo que hemos
comenzado a poner en práctica nuevas tácticas.
Aún hay mucho por hacer. El desafío se ha vuelto
difícil porque, como operador de registro TLD,
Afilias no tiene permiso para decidir quién vende
nombres de dominio .INFO, ni a quién.
.INFO es hogar de millones de sitios web útiles y
legítimos, por lo que bloquear el correo electrónico
basándose simplemente en la dirección TLD es
inadmisible y puede dañar injustamente a más
víctimas inocentes. Tal vez una mejor solución sea
implementar métodos de filtro de los correos más
sofisticados que puedan aliviar estos indeseables
efectos secundarios”.
—Roland LaPlante,
Vicepresidente senior
y Gerente de marketing
de Afilias
.JP (Japón)
“Creo que nuestros esfuerzos continuos por
mejorar la seguridad de los nombres de dominio
.JP han llevado a aumentar la confianza de los
propietarios y los usuarios en el dominio JP.
Para registrar un nombre de dominio JP, debes
cumplir con los requisitos de elegibilidad. En
especial, el nombre de registro del dominio JP
de tipo Organizativo (ej. EXAMPLE.CO.JP) tiene
diferentes requisitos de acuerdo con el tipo de
dominio (ej. sólo empresas incorporadas en Japón
pueden registrar EXAMPLE.CO.JP).
Si resultara que un nombre de dominio registrado JP no
cumple con todos los requisitos, el registro se invalida
siguiendo los procedimientos correspondientes.
En este caso, en el pasado, tanto JPRS como el
registro revisaban el estado y tomaban acciones para
invalidar el nombre, cuando correspondiera, a través
de los entes de registro JP. En junio de 2008, JPRS
reforzó la regla de registro de nombre de dominio
JP cambiándola por CO.JP e hizo posible que el
registro borre los registros falsos en el caso de que la
cancelación por parte de las entidades de registro no
funcione. Además, en noviembre de 2009, extendimos
el alcance de la regla a todos los tipos Organizativos y
Geográficos de los nombres de dominio JP.
Al mejorar estas reglas y mediante una
cooperación continua con las entidades de
registro JP, JPRS se encarga de forma rigurosa y
expeditiva del problema de los registros falsos.
Mapa de sitios web maliciosos
23
También tomamos medidas para combatir
el problema de los nombres de dominio que
se registran y se utilizan para actividades
fraudulentas, como phishing. A través de la
cooperación con JPCERT/CC y otras organizaciones
relacionadas, JPRS examina el grado de
malevolencia de los nombres de dominio que
presentan supuestos abusos. Si se confirma que el
nombre presenta abusos, JPRS solicita a la entidad
de registro JP que invalide el nombre.
Además, JPRS ha implementado de forma continua,
desde 2006, la eliminación de registros de servidor
DNS en los casos en que el nombre del host contiene
un nombre de dominio JP que no existe.
Con respecto a las Domain Name System Security
Extensions (DNSSEC), planeamos comenzar a
firmar de forma digital la zona JP en octubre
de 2010 e introducir DNSSEC a los servicios de
nombre de dominio JP en enero de 2011. Además,
con el objetivo de promover la introducción de
las DNSSEC en toda la comunidad, se habilitó un
fórum llamado “DNSSEC Japón” en noviembre
de 2009. Uno de los miembros de equipo de JPRS
hace las veces de vicepresidente del fórum.
Estos esfuerzos continuos han dado buenos
resultados: por ejemplo, el número de quejas
sobre phishing que recibe JPRS ha sido bajo,
aproximadamente una queja por mes.”
—Yumi Ohashi
Gerente de relaciones internacionales
y gubernamentales
de JPRS
.SG (Singapur)
“El Centro de información de la red Singapur
(SGNIC por sus siglas en inglés) fomenta la
adopción y el uso de nombres de dominio .SG
por parte de empresas y privados. Además de
identificarse mejor con los usuarios y los clientes
de Singapur, podrán también extender su
presencia en el mercado mundial.
SGNIC para asegurar la responsabilidad. Esto se debe
a que alguien que solicita un nombre de dominio .SG
debe presentar documentación apropiada cuando
busca registrar un nombre de dominio bajo las
diferentes categorías de nombres .sg, las que reflejan
su estado. Por ejemplo, alguien que se registra con el
nombre ‘.com.sg’ podría tener que presentar pruebas
de que es una entidad comercial registrada en la
Autoridad normativa y de contabilidad de Singapur
(ACRA) o en cualquier ente profesional, mientras
que alguien que registra el nombre ‘.EDU.SG’ debe
registrarse en el Ministerio de Educación (MOE) o ser
reconocido por otras agencias de relevancia. Para
registros por parte de corporaciones extranjeras,
las solicitudes deben contar con el apoyo de una
dirección de contacto de Singapur.
Cuando SGNIC recibe una devolución negativa acerca
del uso de un nombre de dominio .SG, esta investigará
inmediatamente, trabajará junto con las entidades
de registro y, cuando correspondiera, consultará a las
agencias relevantes para asegurar el cumplimiento de
sus reglas de registro. Cualquier nombre involucrado
en casos de tergiversación o fraude, o que se utilice
para alojar material que infrinja las leyes o las reglas
de las autoridades reguladoras deberá ser rectificado
por el propietario. Si esto no ocurriera, podrá ser
suspendido o eliminado por SGNIC. Debido a que
el contenido de Internet puede alojarse en cualquier
parte, incluso después de que un nombre se haya
registrado en Singapur, SGNIC trabaja de forma activa
con la comunidad de Internet internacional, incluidos
grupos especializados en seguridad y estabilidad
de Internet, para monitorear y prevenir potenciales
abusos de los nombres de dominio .SG.
SGNIC considera que estas medidas han ayudado a
asegurar que los nombres de dominio .SG sigan siendo
seguros y utilizados para propósitos que vayan de
acuerdo con la ley.”
—Sr. Lim Choon Sai
Gerente general
Singapore Network
Information Centre Pte Ltd.
Quienes visitan un sitio web .SG pueden estar
seguros de que cumple con los requisitos de registro
Mapa de sitios web maliciosos
24
.WS (Samoa Occidental)
“A lo largo del último año, nos hemos concentrado
en reducir la cantidad de dominios de riesgo en
nuestro TLD .WS utilizando módulos de verificación
y seguridad en nuestra infraestructura de registro.
El monitoreo proactivo de registros de dominio nos
permite evitar que se publique contenido malicioso.
También nos hemos asociado con empresas
consolidadas de seguridad online para implementar
un sistema optimizado de realimentación que
nos notificará rápidamente acerca de dominios
potencialmente maliciosos que podrían ser
detectados más tarde por los visitantes del sitio web.
A medida que nos damos cuenta del modo en que se
crean y ejecutan las amenazas en Internet, podemos
identificar y neutralizar potenciales problemas
antes de que puedan causar daños. Utilizando
esta información y estrechando nuestros lazos con
nuestros usuarios acreditados .WS, hemos podido
desarrollar un sistema de notificación para avisar a los
usuarios acerca de registros de nombres de dominio
potencialmente maliciosos. Del mismo modo, se
encuentra también activo un servicio para notificar
a las entidades que proporcionan servicios de
hosting para dominios .WS. Para combatir el correo
electrónico no deseado, el monitoreo avanzado de
las actividades del correo electrónico desde nuestros
servidores permite reconocer rápidamente a quienes
envían spam y así bloquear sus estrategias.
Como registro oficial del dominio de nivel superior
.WS, hemos siempre valorado nuestra reputación
en la comunidad online, desde que lanzamos la
zona hace más de una década. Global Domains
International fue una de las primeras empresas en
formar parte del Conficker Working Group a nivel
de registro. Trabajamos a su lado, ayudándolos en
sus esfuerzos por identificar el gusano y mitigar
el daño, y seguimos haciéndolo para asegurar
que nuestro TLD .WS no sea utilizado para hacer
proliferar la amenaza Conficker.
Las modificaciones realizadas en nuestro sistema
de registro se transforman constantemente para
hacer frente a las cambiantes tácticas de abuso.
Como resultado de habernos familiarizado con
los métodos populares empleados por quienes
intentan involucrarse en actividades maliciosas
en Internet, podemos asegurar la integridad y la
seguridad dentro de la zona .WS”.
—Alan Ezeir
Presidente
Global Domains International
Mapa de sitios web maliciosos
25
Conclusión
El nivel de riesgo está aumentando, mientras que los tipos de riesgo en la
red cambian cada vez más rápidamente. A medida que más delincuentes
encuentran modos de ocultar sus actividades, los usuarios de la red deben
encontrar nuevas maneras para mantenerse a salvo de estas amenazas, al
tiempo que preservan la diversión y el valor de navegar en Internet.
Es probable que los consumidores no puedan
recordar todos los lugares de riesgo incluidos en este
informe. Incluso si pudieran, hemos demostrado que
el TLD que entraña más riesgo este año puede ser el
que más mejore el año que viene. Los consumidores
pueden evitar los lugares peligrosos de la red
utilizando software de seguridad actualizados con
función de búsqueda segura, como McAfee Total
Protection™. Este es uno de los casos en que es una
buena idea dejar que la tecnología ayude.
Los operadores de TLD de riesgo deberían encontrar
esperanza en este informe. Es realmente posible
convertir una reputación de riesgo o mantener una
buena reputación. Las empresas que se dedican a la
seguridad, como McAfee, asumen el compromiso
de ayudarte. Con la red de inteligencia de amenaza
mundial más extensa del mundo, podemos
ofrecer información actualizada sobre lo que está
sucediendo e ideas inteligentes acerca de lo que
puedes hacer para reducir tu exposición.
Las empresas hoy en día saben que la red es esencial
para sus operaciones, y que muchos empleados
sienten que tienen derecho a acceder a Internet
mientras trabajan. Esta expectativa crecerá a medida
que el límite entre la vida laboral y la vida personal
se desdibuje con una fuerza de trabajo más móvil y
remota, con el mayor uso de dispositivos personales,
y un cambio incesante hacia la conectividad
constante. La manera más simple de ayudar a los
usuarios a que naveguen a través de los riesgos de
la red es agregar una funcionalidad de reputación
de la red a sus otras defensas. Señales visuales
que se actualizan en tiempo real pueden ayudar
a enseñarles acerca de los riesgos mientras los
protegen de forma activa.
El año próximo, tal vez veamos que las botnets
de zombis han sido suplantandas por una nueva
táctica que se articula en cientos de millones de
dispositivos móviles con función para gestionar
datos en todo el mundo. Esperamos informar
acerca de su progreso –y de las contramedidas de
las entidades de registro de TLD y la comunidad de
seguridad el próximo año.
Mapa de sitios web maliciosos
26
Acerca de McAfee, Inc.
McAfee, Inc., con sede en Santa Clara, California, es la empresa dedicada a la tecnología de seguridad
más importante del mundo. McAfee proporciona servicios y soluciones proactivas y comprobadas
que ayudan a hacer más seguros los sistemas, las redes y los dispositivos móviles en todo el mundo, y
permiten a los usuarios conectarse, navegar y comprar en Internet con mayor seguridad. Respaldada
por el incomparable McAfee Global Threath Intelligence, McAfee crea productos innovadores que
ayudan a los usuarios, las empresas, el sector público y los proveedores de servicios, permitiéndoles
cumplir con las normativas, proteger datos, prevenir interrupciones, identificar vulnerabilidades, así
como controlar y mejorar continuamente la seguridad. McAfee asegura tu mundo digital.
http://www.mcafee.com
McAfee, Inc.
2821 Mission College Blvd
Santa Clara, CA 95054
1.866.622.3911
www.mcafee.com
La información incluida en este documento se proporciona sólo con fines educativos y para la conveniencia de los clientes de McAfee. La información aquí contenida está
sujeta a cambios sin previo aviso y se proporciona “TAL COMO ESTÁ”, sin garantía ni aval en cuanto a la precisión o la aplicabilidad de la información relacionada con
cualquier situación o circunstancia específica.
McAfee, el logotipo de McAfee, McAfee Global Threat Intelligence, McAfee Labs , y McAfee Total Protection son marcas registradas o marcas comerciales de McAfee,
Inc. o sus subsidiarias en los Estados Unidos y en otros países. Otras marcas pueden reclamarse como propiedad de otros. Los planes, especificaciones y descripciones
de los productos aquí mencionados se ofrecen sólo con fines informativos, están sujetos a cambio sin previo aviso y se proporcionan sin garantía de ningún tipo, ya sea
expresa o implícita. Copyright © 2010 McAfee, Inc.
10902rpt_mapping-mal-web_0910
Mapa de sitios web maliciosos
27

Documentos relacionados

Mapping the Mal Web

Mapping the Mal Web más en el caso de phishers y estafadores que necesitan grandes volúmenes de sitios para compensar el alto nivel de bajas realizadas por los administradores de TLD.

Más detalles