el estado actual del cibercrimen en 2013
Transcripción
el estado actual del cibercrimen en 2013
EL ESTADO ACTUAL DEL CIBERCRIMEN EN 2013 Una vista desde el interior del panorama cambiante de amenazas El cibercrimen sigue bifurcándose en diferentes caminos año tras año. En 2013, los cibercriminales están cambiando la manera de organizarse, y se están orientando a nuevos usuarios y nuevas plataformas; se siguen explotando las actividades basadas en transacciones en línea; y los ataques relacionados con el hacktivismo siguen aumentando como una manera de realizar espionaje corporativo, presionar las agendas políticas o dañar la reputación. El centro de control antifraude de RSA ha creado una lista de las principales tendencias de cibercrimen en las que prevé una evolución. Este centro está a la vanguardia de la detección de amenazas y la inteligencia contra el cibercrimen, y protege a organizaciones mundiales; ya detuvo más de 800,000 ataques de cibercrimen y evitó pérdidas por fraude de US$7,500 millones. En este informe técnico, RSA analizará el estado actual del cibercrimen en función de su experiencia y sus conocimientos en el rastreo de actividad cibercriminal, y ofrecerá una serie de predicciones sobre lo que se puede esperar de los cibercriminales en el año próximo. Tendencia n.º 1: A medida que el mundo se vuelva móvil, el cibercrimen seguirá sus pasos Los niveles de cómputo móvil alcanzaron nuevos picos en 2012. Los envíos de teléfonos inteligentes de todo el mundo alcanzaron los 671 millones en todo el año, lo que implica un aumento de casi el 42 % respecto de 20111. La cantidad de aplicaciones disponibles solamente para iOS de Apple alcanzó la cifra de 775,000. Del total de 40,000 millones de aplicaciones que se descargaron de la tienda de aplicaciones de iOS en los cuatro años desde su apertura, más de la mitad se descargaron en 20122. Y esa cifra ni siquiera incluye las aplicaciones para Android y Windows. Desde las transacciones bancarias hasta las compras minoristas y los nuevos comportamientos, como el showrooming de dispositivos móviles, la adopción del usuario del canal móvil ha cambiado la cara del consumidor actual. Dentro del lugar de trabajo, las tendencias móviles impulsadas por el usuario, como “traiga su propio dispositivo” (BYOD), también siguen transformando el panorama del negocio. A medida que nuestra vida laboral y personal se traslada cada vez más al dispositivo móvil, los cibercriminales siguen desarrollando y perfeccionando sus esquemas para explotar las transacciones móviles y las aplicaciones móviles. Objetivo: las transacciones móviles La cantidad de usuarios de servicios bancarios móviles sigue creciendo en todo el mundo. A su vez, las organizaciones están agregando nuevas funcionalidades al canal móvil y observando un aumento en el volumen de transacciones móviles. Según Gartner, se espera que el valor y el volumen de las transacciones móviles mundiales alcancen un crecimiento anual promedio del 42 % entre 2011 y 20163. A medida que los usuarios continúen trasladando una mayor parte de sus vidas diarias a dispositivos móviles, se espera que los cibercriminales hagan lo mismo y dirijan más ataques a este canal en crecimiento. Fuente: Juniper Research, Smartphone Shipments Exceed 200 Million in Q4 2012, enero de 2013 Gigaom.com, Apple App Store Biggest December Ever: 2B iOS Apps Downloaded, enero de 2013 3 Gartner, “Forecast: Mobile Payment, Worldwide, 2009-2016”, mayo de 2012. 1 2 Informe técnico El vishing (robo de identidad por teléfono) y el SMiShing (robo de identidad por SMS/mensaje de texto) constituyen dos de los ataques más comunes que actualmente sacan provecho del dispositivo móvil. Estas alternativas de robo de identidad se están volviendo más populares entre los cibercriminales, como lo evidencian los proveedores de fraude como servicio en los círculos clandestinos que ya ofrecen servicios como aplicaciones de envío masivo de SMS y servicios de suplantación de identidad de SMS. Un ejemplo de servicio de suplantación de identidad de SMS es iSPOOF Europe. Diseñado para enviar mensajes cortos a posibles víctimas y dirigirlas a números telefónicos fraudulentos, este servicio ofrece la capacidad de ocultar el número telefónico verdadero del cibercriminal y reemplazarlo por un nombre alfanumérico, por ejemplo, “SERVICIO AL CLIENTE DEL BANCO ABC”. La suplantación de identidad de SMS también puede ser utilizada por los criminales para tentar a usuarios móviles inocentes a que naveguen a una URL maliciosa mediante un hipervínculo proporcionado para actualizar su cuenta u obtener una tarjeta de regalo. Estos ataques de SMiShing le presentan a la víctima el nombre de una organización legítima en el campo “De” del mensaje de texto. La URL maliciosa está diseñada para parecer convincente cuando solicita las credenciales de cuenta. También están surgiendo formas de fraude más avanzadas en el canal móvil. El troyano Citadel, que es el troyano de servicios bancarios comerciales más avanzado hasta la fecha, se introdujo en enero de 2012. RSA rastreó una nueva variante de Citadel que explota el canal móvil y utiliza técnicas avanzadas para realizar ataques entre canales. La variante, conocida como Citadel-in-the-Mobile (CitMO), se creó para superar el obstáculo de los métodos de autenticación fuera de banda basados en dispositivos móviles (como las contraseñas de un solo uso) que se utilizan cuando los clientes realizan transferencias bancarias en línea. El ataque investigado por RSA se dirigía a los usuarios con la apariencia de software de seguridad para dispositivos móviles (consulte la figura 1). Una vez descargado, el software malicioso contaba con la funcionalidad de rastreo de SMS diseñada para ocultar los mensajes de texto entrantes y desactivar las alertas de audio del teléfono mientras se interceptaban las contraseñas basadas en dispositivo móvil del banco enviadas a los dispositivos móviles de las víctimas. Como resultado, los cibercriminales podían obtener acceso a la cuenta de un usuario, interceptar o manipular las transacciones, y realizar una apropiación de la cuenta. Figura 1: Mensaje que recibieron los usuarios móviles con la apariencia de software de seguridad para dispositivos Android, pero que, en realidad, era un software malicioso diseñado para interceptar los mensajes de texto entrantes. (Fuente: Centro de control antifraude de RSA). Aplicaciones móviles no autorizadas El día de navidad de 2012, se descargó la cifra sin precedentes de 328 millones de aplicaciones móviles, lo cual constituyó un cierre espectacular para un año de cifras récord para las activaciones de teléfonos inteligentes y las descargas de aplicaciones4. Con cifras como estas, y las expectativas de que esta tendencia continuará a lo largo de 2013, no resulta sorprendente que las aplicaciones móviles hayan atraído mucha atención de los cibercriminales. De hecho, las aplicaciones móviles se han convertido en el nuevo vector de amenaza, dado que los cibercriminales aprovechan la oportunidad de realizar ataques de robo de identidad y malware camuflados como aplicaciones legítimas. Android, la plataforma para móviles más utilizada en el mundo, también es el principal blanco de las amenazas móviles debido a la naturaleza de su código abierto. A modo de demostración, la cantidad de muestras de aplicaciones Android de alto riesgo y maliciosas detectadas en 2012 fue de 350,000, lo que implica un aumento significativo de las 1,000 muestras identificadas en 20115. Si bien la atracción del canal móvil y sus aplicaciones para los cibercriminales se origina en los vínculos entre los dispositivos móviles y los pagos y las transacciones financieras, el crimen asociado Flurry Blog, Peter Farago, 2 de enero de 2013 Informe sobre seguridad y amenazas móviles de 2012 de TrendLabs. 4 5 PÁGINA 2 con aplicaciones no autorizadas no se limita a los servicios bancarios, sino que se extiende a los sectores minoristas, de juegos y entretenimiento, y prácticamente a cualquier negocio que ofrezca una aplicación móvil. Desde localizadores de ATM de otros fabricantes no autorizados que se venden a US$1 hasta aplicaciones de entretenimiento que incluyen enlaces maliciosos en anuncios falsos, el fraude de aplicaciones móviles asume muchas formas, lo que dificulta su identificación. Traiga su propio dispositivo (BYOD) Si bien los dispositivos móviles entregados por las empresas son comunes en el lugar de trabajo, resulta evidente que los departamentos de TI se encuentran bajo una presión creciente para permitir el uso de dispositivos móviles personales de los empleados para acceder a aplicaciones y datos corporativos confidenciales. Sin embargo, muchas de estas organizaciones no están preparadas para el impacto de esta tendencia de BYOD impulsada por los usuarios. Según un estudio reciente realizado por SANS Institute6, si bien un número creciente de organizaciones permiten BYOD para acceso remoto a los sistemas corporativos, el 62 % de los encuestados indican que su organización aún utiliza la autenticación basada solo en contraseñas para proteger el acceso desde dispositivos móviles. Aunque el cumplimiento de normas y la protección de datos son los motivos principales por los que las organizaciones implementan seguridad en el acceso móvil para BYOD, el uso inadecuado de metodologías de autenticación sólida, y la falta de rastreo y control central de los dispositivos (por ejemplo, la administración de dispositivos móviles [MDM]) siguen siendo temas de debate. Estos factores dejan a los dispositivos, y a las organizaciones que permiten BYOD, muy vulnerables ante el malware y el robo de datos mediante aplicaciones hostiles, y el acceso no autorizado. En 2013, a medida que las organizaciones continúen avanzando hacia una mayor preparación y aceptación respecto del cambio al ambiente móvil y sus prácticas relacionadas, continuarán enfrentándose a problemas importantes relacionados con la seguridad y las políticas. A medida que crecen las vulnerabilidades de los dispositivos móviles, también lo hacen las oportunidades para el cibercrimen, y, si bien no es tan frecuente como lo es en línea, el fraude continuará intensificándose en el canal móvil mediante ataques de ingeniería social a los usuarios, y las aplicaciones móviles serán cada vez más explotadas como medio para iniciar ataques de troyanos y de robo de identidad. Tendencia n.º 2: La menor divulgación de los troyanos de servicios bancarios financieros y otro malware Lentamente, los cibercriminales están llevando el desarrollo de malware a círculos clandestinos más reducidos, y los troyanos que, en general, se hicieron populares debido a su disponibilidad comercial en el mercado negro abierto, de repente, están menos disponibles para la venta. El miedo de los cibercriminales a la infiltración por parte de agentes encubiertos y al proceso legal subsiguiente de los agentes del orden público, además de los cambios en las leyes internacionales, está limitando el desarrollo de troyanos a grupos más privados. Sin embargo, el desarrollo no se ha desacelerado ni mucho menos. Para los cibercriminales que dependen de ofertas de malware comerciales, el año pasado mostró un aumento en el desarrollo de troyanos superior al de todos los períodos anteriores, que comenzó con la introducción de Citadel y finalizó con el regreso del troyano Carberp al escenario comercial. Si bien el troyano Zeus sigue siendo el malware más prolífico utilizado en los ataques financieros, si se observan otros de los participantes principales, se pueden notar algunos cambios interesantes en el panorama. Zeus y troyanos basados en Zeus Zeus, que ya es el troyano de servicios bancarios más utilizado, se volvió aún más accesible a mediados de 2011 después de que su código fuente quedara expuesto públicamente. Las sospechas de que el codificador original de Zeus, “Slavik”, participó en el desarrollo de Zeus v2.1.0.10 continuaron en 2012. De hecho, los investigadores de seguridad han demostrado que Slavik no se retiró y creen que continúa cumpliendo una función de bajo perfil en la escena del cibercrimen de habla rusa. Durante 2012, se desarrollaron otras variantes de Zeus que incluyen el troyano Ice IX, el cual demostró ser una variante mal programada que obtuvo su impulso en el mercado clandestino debido a la gran demanda de servicios de soporte por parte de los botmasters que administraban Zeus. En febrero de 2012, el desarrollador de Ice IX anunció otra actualización del troyano; después de dos meses, desapareció, lo que dejó a los compradores varados sin soporte ni reparaciones de errores, y la venta de Ice IX a compradores nuevos se suspendió. La variedad de Zeus más exitosa hasta la fecha también salió a la luz en 2012. Citadel, un troyano bancario que fue presentado en el mercado clandestino en enero, ha evolucionado hasta llegar a ser el modelo de negocio de troyano más sofisticado que se ha visto en el mundo del malware comercial. RSA ha realizado informes exhaustivos7 sobre las funciones avanzadas y los nuevos desarrollos 6 Fuente: Encuesta de SANS sobre políticas y prácticas de seguridad de BYOD/movilidad, octubre de 2012. PÁGINA 3 disponibles para Citadel desde enero de 2012. Los desarrollos recientes con Citadel y el equipo que lo respalda han limitado este troyano a círculos clandestinos más reducidos, y, si bien aún se considera malware comercial, está mucho menos disponible y solo lo pueden adquirir compradores nuevos si son “validados” por otros cibercriminales. Probablemente, esta jugada tenga la intención de evitar que la distribución del troyano se extienda demasiado a fin de dificultar la toma de muestras del malware por parte de los investigadores y para evitar que las variedades de Citadel sean detectadas. SpyEye El troyano SpyEye ha ido desapareciendo de manera gradual, particularmente, desde mayo de 2012 cuando su desarrollador (“Gribodemon/Harderman”) se tomó una licencia indefinida en los foros de habla rusa altamente exclusivos donde se publicó: “El autor de Spy ya no está con nosotros. Se encuentra en Malasia. Por ello, pronto habrá un nuevo SpyEye compilado. Para los fanáticos y los aficionados”. SpyEye, que es un importante troyano bancario, automatiza el robo de información confidencial y libra ataques mediante tácticas de navegador intermediario. Bugat v2 Bugat v2 continúa teniendo una presencia consistente en el escenario global de ataques de troyanos, ya que representa un promedio del 14 % de todos los ataques de troyanos financieros que investigó RSA el año pasado. Bugat v2 (también denominado Feodo y Sodast), que es controlado de manera privada, ataca instituciones financieras (principalmente, empresas de corretaje en línea) con el fin de robar credenciales que puedan generar opciones fraudulentas de vaciamiento de cuentas. El descubrimiento de este troyano y la toma de su primera muestra en acción se realizaron en agosto de 2010. Sus variantes envían credenciales robadas a servidores de descarga con base en Rusia. Gozi y Gozi Prinimalka Blitzkrieg A fines de septiembre de 2012, RSA reveló información acerca de una ola de ataques de malware planificados por cibercriminales de habla rusa y especialmente diseñados para atacar 30 bancos con base en Estados Unidos. Una publicación realizada por un participante clandestino que RSA conocía brindó amplios detalles sobre la banda que estaba planeando la ola de ataques y su objetivo de reclutar 100 botmasters para llevar a cabo la operación. Las pistas que dejó el vocero de la banda permitieron que RSA descubriera el malware que se utilizaría en los ataques (una variación del troyano Gozi llamada Gozi Prinimalka), que ya se ha utilizado en ataques anteriores para robar millones de US$ de instituciones financieras. Esta nueva variante incluía diversas características actualizadas, entre ellas, un programa de clonación de máquinas virtuales para duplicar la configuración del equipo de un usuario que permitiría que un botmaster utilice la dirección IP genuina al acceder al sitio web de un banco. Carberp El troyano Carberp, también llamado Syscron, es un malware semiprivado que se ha vendido en el mercado clandestino durante más de dos años. Carberp infecta un equipo con la finalidad de robar credenciales para la apropiación de cuentas bancarias y realizar transferencias electrónicas fraudulentas. En diciembre de 2012, el troyano Carberp regresó a la escena del malware comercial, con ventas en foros clandestinos a compradores nuevos y existentes a precios de hasta US$40,000 por un kit completo. El precio cotizado para Carberp es el cuádruple del precio de venta máximo pagado por kits de Zeus o SpyEye en el mercado negro. La tendencia hacia una menor divulgación La prueba más reciente para demostrar la tendencia hacia la menor divulgación del malware fue el descubrimiento de Zeus v2.0.9.4 Evolution, un malware basado en Zeus con un toque personal. Evolution tiene su propio panel de administración, la mayor parte del cual está escrita en inglés, aunque también contiene gran cantidad de elementos en ruso (por ejemplo, en cuadros, en la página de preguntas frecuentes y en las opciones de vaciamiento de cuentas que utiliza, algunas de las cuales tienen base en Rusia). Además del plug-in captador de tarjetas de crédito, el troyano posee una herramienta DDoS que puede permitir que el botmaster reclute equipos infectados para ataques a objetivos en línea. El uso del botnet de un troyano bancario para ataques de DDoS es una de las maneras en que los botmasters pueden rentabilizar sus botnets, aplicando tarifas por hora para el DDoS mientras trabajan en el desvío de dinero desde las cuentas bancarias de los usuarios infectados. En este momento, es muy probable que Evolution sea mantenido por un desarrollador (o un pequeño grupo de desarrolladores) de malware que lo mantiene en funcionamiento y que ha programado su 7 ara consultar toda la investigación más reciente de RSA sobre troyanos, visite el blog de P RSA FraudAction Research Labs en http://blogs.rsa.com/author/rsafarl/. PÁGINA 4 nueva GUI del panel de administración. Como sucede con la mayoría de las operaciones de troyanos, es muy posible que Zeus Evolution se convierta en malware comercial en el futuro cercano. Si bien el año 2012 finalizó con un aumento en el desarrollo de troyanos y variantes basadas en el código Zeus divulgado, el flujo disponible de malware comercial para operaciones y compras de usuarios nuevos se vio afectado por el hecho de que los desarrolladores más reconocidos comenzaron limitar sus proyectos a círculos clandestinos más reducidos para evitar el riesgo de ser atrapados por los organismos del orden público. RSA prevé que el malware disponible comercialmente continuará el cambio hacia operaciones más privadas, lo que hará más difícil que los organismos del orden público rastreen e impidan operaciones cibercriminales, y que las organizaciones y el sector de seguridad obtengan conocimientos sobre la actividad de los troyanos. Tendencia n.º 3: El hacktivismo y el ataque constante a las empresas El hacktivismo explotó en 2012 y se convirtió en el medio cibernético de desahogo más elegido para la expresión pública de opiniones controversiales, ya sean políticas o económicas, además de un modo de protestar sobre conflictos ideológicos. Los grupos hacktivistas actuales son, predominantemente, equipos no relacionados (o hackers individuales) que atacan entidades (los presuntos “culpables”) en función de sus propias agendas económicas, políticas, religiosas o sociales. En muchos casos, los hacktivistas eligen agrupar su actividad bajo nombres colectivos, especialmente, las más importantes, como “Anonymous”8. Su asociación, generalmente, es arbitraria, sin una conexión legítima y, con frecuencia, es impulsada por la fama de la colectividad. Esto es particularmente cierto para las reclamaciones asociadas con “Anonymous”, dado que este grupo de organización poco estricta es el grupo de hacktivistas más conocido y, definitivamente, el más popular. El grupo autoproclamado de hacktivistas musulmanes al-Qassam Cyber Fighters también está ganando fama por lo que se conoce como Operation Ababil, que ataca docenas de bancos estadounidenses con repetidos ataques de denegación de servicio distribuida (DDoS). Recientemente, el grupo presumió públicamente en una declaración que estima que el “costo aproximado para los bancos estadounidenses por cada minuto de DDoS” es de US$30,000. Otro cambio que está adquiriendo importancia es el impacto cruzado entre cibercriminal motivado financieramente y el hacktivista. Hemos observado el uso de troyanos financieros, como las variantes de Zeus, en ataques de tipo APT y el uso del troyano financiero Citadel, que tiene la capacidad de mapear redes corporativas. Asimismo, los hacktivistas están encontrando una oportunidad de negocio y un flujo de ingresos complementario en el mercado clandestino, dado que los criminales motivados financieramente desean comprar información robada en ataques de hacktivistas y usarla para cometer fraude (consulte la figura 2). Figura 2: Conversación entre cibercriminales después de un ataque importante de hacktivistas que implicó el robo de millones de tarjetas de crédito. (Fuente: Centro de control antifraude de RSA). En muchos casos, “Anonymous” negó cualquier lazo con hacktivistas que dijeron formar parte de este grupo. 8 PÁGINA 5 Entre los métodos de ataque principales con los que cuentan los hacktivistas, se incluyen: –Denegación de servicio distribuida (DDoS): Aprovecha varios sistemas comprometidos (generalmente, infectados con un troyano u otra forma de malware) para bombardear un sistema objetivo (por lo general, uno o varios servidores web de un sitio web) con “tráfico” electrónico sin sentido a fin de lograr que el sitio web se vuelva inaccesible. En enero de 2013, Anonymous solicitó al Gobierno de los Estados Unidos que despenalice los ataques de DDoS y los convierta en una forma legal de protesta. –Doxing: Es la recopilación y exposición de información personal valiosa de figuras públicas, como políticos y celebridades, para el beneficio del hacktivista, por lo general, con el fin de hacer que la persona tome conciencia del problema en cuestión y reaccione o tome medidas que favorezcan la ideología de los hacktivistas. El término proviene de “documentos” o “docx”. Entre las víctimas recientes de doxing, se incluyen la primera dama Michelle Obama y el vicepresidente de los Estados Unidos, Joe Biden. –Hackeo y exposición: Obtención de acceso no autorizado a gran cantidad de datos confidenciales y exposición pública de dichos datos en Internet con el fin de causar daños monetarios y en la reputación a la entidad objetivo. Los ataques de DDoS constituyen el arma de ataque cibernético preferida de los hacktivistas por diversos motivos. En primer lugar, no requiere conocimientos o habilidades reales de hackeo. Hay muchas herramientas “estándares” disponibles en Internet a bajo costo o de manera gratuita. Y, en segundo lugar, estos ataques pueden ser tan dañinos como simples. Al bombardear el sitio web y volverlo inaccesible, los negocios pueden perder ingresos y sufrir daños en la marca o en la reputación. No es de sorprender que el hacktivismo continúe siendo una preocupación principal en 2013. Según las observaciones de RSA, lo que evolucionará será la manera en que estos grupos se organizan, sus métodos de ataque y sus motivaciones. La ola de ataques de DDoS lanzados por los hacktivistas contra muchas de las principales instituciones financieras del mundo a fines de 2012 (y que continúan en la actualidad) es un buen ejemplo. Todavía no se conoce el motivo preciso de los ataques. Sin embargo, algunos apuntan a una represalia política, mientras que otros creen que los ataques intentan camuflar transferencias electrónicas fraudulentas. Más allá de la avalancha continua de ataques de DDoS y otras amenazas de hacktivistas, RSA prevé el uso de una mayor cantidad de troyanos financieros para espionaje cibernético y ataques de hacktivistas, y la venta de más datos robados por hacktivistas disponibles para la venta en foros de fraude globales. Tendencia n.º 4: Apropiación de cuentas y uso creciente de ataques cibernéticos con intervención manual Los ataques de troyanos de intermediario y de navegador intermediario siguen siendo el arma preferida de los cibercriminales para realizar apropiaciones de cuentas. Aite Group estima9 que la apropiación de cuentas generó pérdidas globales que ascienden a US$455 millones en instituciones financieras en 2012 y prevé que dicha cifra aumente a US$794 millones para el año 2016. Un troyano de navegador intermediario está diseñado para interceptar datos a medida que se transfieren mediante una comunicación segura entre un usuario y una aplicación en línea. Un troyano se incorpora a la aplicación de navegador de un usuario y se puede programar para que se active cuando un usuario accede a sitios en línea específicos, como un sitio de servicios bancarios en línea. Una vez activado, el troyano de navegador intermediario puede interceptar y manipular cualquier tipo de información que el usuario envíe en línea en tiempo real. La tecnología y las habilidades que se requieren para iniciar un ataque de navegador intermediario no son particularmente nuevas o avanzadas. No obstante, RSA ha observado un cambio drástico hacia ataques con mayor intervención manual en 2012, como los ataques de intermediario, a medida que las instituciones financieras han comenzado cada vez más a aprovechar la autenticación fuera de banda y herramientas de analítica del comportamiento capaces de detectar ataques automatizados. El ataque de intermediario funciona de manera muy similar al ataque de navegador intermediario, a excepción de que la intercepción no es automatizada, sino que el propio atacante se inserta en la transacción y le envía comunicaciones directamente al usuario final (por ejemplo, páginas de ingeniería social que indican que se está realizando un mantenimiento en el sitio web del banco a fin de permitir que el atacante tenga tiempo para realizar una transacción fraudulenta). Las herramientas de acceso remoto (RAT) son plug-ins estándares disponibles en la mayoría de los troyanos bancarios actuales. Según el troyano financiero, un plug-in suele costar solo unos cientos de US$ en el mercado negro. Un ejemplo de herramienta de acceso remoto investigada por RSA, denominada “World Bank Center”, era una interfaz desarrollada para ser utilizada por varios botmasters y botnets para permitir la interacción en tiempo real con los usuarios infectados y simplificar las transacciones fraudulentas. Los cibercriminales que utilizan World Bank Center realizan apropiaciones de cuentas por medio de un ataque de intermediario. Tan pronto como un usuario Aite Group, “Citadel, Gozi, ZeuS... ¡Dios mío!”. Noviembre de 2012 9 PÁGINA 6 Figura 3: Captura de pantalla de un panel de ataque de intermediario que muestra la información adicional solicitada por el botmaster. (Fuente: Centro de control antifraude de RSA). infectado accede a su cuenta bancaria, un cibercriminal puede mantener a sus víctimas en la interacción de manera fácil y rápida mediante inyecciones interactivas de código HTML, por lo general, para recopilar información adicional (consulte la figura 3) o para retrasar al usuario mientras el botmaster se prepara para realizar una transacción. RSA prevé un aumento continuo en el uso de métodos de ataques con intervención manual, como ataques de intermediario, a fin de evadir su detección. La administración de pérdidas por fraude de apropiación de cuentas continuará siendo uno de los problemas principales que las instituciones financieras se esforzarán por superar. Como resultado, habrá mayores inversiones en la seguridad a nivel de la transacción y en herramientas de analítica del comportamiento capaces de detectar irregularidades como patrones de navegación, inyección de código HTML e inyección de proxy. Tendencia n.º 5: Los cibercriminales aprovecharán los principios de big data para aumentar la efectividad de los ataques De la misma manera en que muchas organizaciones reales han comenzado a aplicar los principios de big data para maximizar el valor del volumen de datos que recopilan, los cibercriminales también han comenzado a moverse en esa dirección. Desde la perspectiva de un cibercriminal, la administración de datos acumulados por botnets de equipos infectados puede crear enormes cantidades de datos inútiles en los servidores de zona de descarga y crear obstáculos en la infraestructura. Los desarrolladores de malware han estado trabajando en diferentes soluciones de análisis e implementando el uso de bases de datos en sus paneles de administración de comando y control a fin de identificar solo los datos más pertinentes. Una herramienta de este tipo incorporada en el panel de administración del troyano Citadel permite el filtrado de datos y la creación de gráficos de estadísticas de la actividad de botnets. Por ejemplo, puede proporcionar datos sobre el software más popular instalado en las máquinas infectadas, además de sistemas antivirus, que proporcionan a los cibercriminales información sobre las herramientas de seguridad que pueden causar problemas en los bots infectados (consulte la figura 4). Figura 4: Ejemplo de un panel de administración de Citadel que permite a los cibercriminales obtener más información sobre el software instalado en los equipos infectados. (Fuente: Centro de control antifraude de RSA). PÁGINA 7 Otro plug-in conocido como IntelegentBot se ofrece a los cibercriminales que administran botnets para ayudarlos a clasificar los datos robados pertinentes. Se puede acceder a la plataforma web mediante un nombre de usuario y una contraseña, y cada usuario nuevo debe conectar sus bases de datos de troyanos a la herramienta. IntelegentBot utiliza expresiones regulares para buscar palabras específicas que generalmente se utilizan para buscar sitios bancarios (URL/nombres). Una pantalla separada permite buscar solo datos de tarjetas de crédito e identificarlos dentro de toda la base de datos. El uso creciente de analítica de datos y analizadores por parte de los cibercriminales y botmasters muestra un nivel nuevo de sofisticación en el desarrollo de malware. Además de obtener ayuda para organizar solo los datos robados relevantes, los cibercriminales ahora también pueden usar esta tecnología para tomar decisiones de negocio sobre dónde invertir su dinero en relación con los kits de explotación u otras herramientas de sombrero negro. RSA prevé que los cibercriminales aumentarán el uso de herramientas capaces de realizar analítica de tipo big data para obtener más información acerca de las víctimas infectadas e incrementar la efectividad de sus ataques de troyanos. Conclusiones No es necesario decir que el cibercrimen se vuelve más sofisticado año tras año. En algunos casos, nos encontramos en las primeras etapas de amenazas futuras, como podemos observar con los dispositivos móviles en los que las defensas aún son incipientes. En otros casos, observamos el resultado de estrategias dinámicas de defensa profunda que frustraron amenazas y obligaron a los cibercriminales a regresar a ataques con mayor intervención manual. Con la avalancha de información acerca de la evolución de las amenazas, se presta muy poca atención al ambiente de TI cambiante en sí mismo. Muchas tecnologías revolucionarias, desde el cómputo en la nube y los medios sociales hasta la administración de dispositivos móviles, están transformando la cara de la seguridad de la información. Pero el movimiento más significativo de la actualidad es la rápida adopción del aprovechamiento de principios de big data para mejorar la detección de las amenazas y el fraude cibernéticos. Estas tecnologías revolucionarias, junto con las nuevas herramientas cibernéticas y las amenazas que salen a la luz cada día, están creando un reto para las organizaciones, no solo respecto de la forma de proteger su infraestructura, sino también de la manera en que aprovechan las nuevas plataformas y la inteligencia para hacerlo. Entre identidades, aplicaciones y redes, tanto en ambientes físicos como de nube, podemos esperar que las organizaciones continúen trabajando para que las herramientas existentes sean más efectivas, para adoptar programas de seguridad basados en inteligencia y para mejorar la manera en que utilizan la analítica del comportamiento a fin de identificar las amenazas cibernéticas emergentes y responder a ellas. Acerca de RSA RSA es el principal proveedor de soluciones de seguridad, riesgo y cumplimiento de normas que ayudan a las organizaciones más importantes del mundo a lograr superar los retos de seguridad más complejos y delicados. Entre estos retos, se incluyen la administración de los riesgos de las organizaciones, la protección de la colaboración y el acceso por medio de dispositivos móviles, la comprobación del cumplimiento de normas, y la protección de ambientes virtuales y de nube. Mediante la combinación de controles críticos para el negocio destinados a la comprobación de identidad, la prevención de pérdida de datos, los procesos de cifrado y Tokenization, la protección contra fraudes y SIEM con servicios de consultoría y funcionalidades de eGRC líderes del sector, RSA brinda confianza y visibilidad respecto de millones de identidades de usuarios, las transacciones que realizan y los datos que se generan. http://mexico.emc.com/rsa (visite el sitio web de su país correspondiente). RSA, el logotipo de RSA, EMC2 y EMC son marcas registradas o marcas comerciales de EMC Corporation en los Estados Unidos y en otros países. Todas las demás marcas comerciales incluidas/utilizadas en este documento pertenecen a sus respectivos propietarios. ©2013 EMC Corporation. Todos los derechos reservados. CYBERTR WP 0413