Ciberdelito en América Latina y el Caribe

Transcripción

CIBERDELITO EN
AMÉRICA LATINA Y EL CARIBE
UNA VISIÓN DESDE LA SOCIEDAD CIVIL
Proyecto Amparo
Sección estudios
Año 2013
Autores:
Patricia Prandini - Consultora
Marcia L. Maggiore - Consultora
Coordinador: Ing. Carlos Martínez - LACNIC
Ciberdelito en América Latina y el Caribe: una visión desde la
sociedad civil
Índice
Resumen .............................................................................................................................. 6
Capítulo I – Presentación del Informe ................................................................................ 8
Introducción .................................................................................................................................8
Presentación del informe.............................................................................................................9
Porqué hablar de cibercrimen ...................................................................................................10
Objetivo del informe ..................................................................................................................12
Principales dificultades ..............................................................................................................12
Etapas del análisis ......................................................................................................................13
Estructura del informe ...............................................................................................................13
Capítulo II – Evolución y Marco Conceptual del Cibercrimen ........................................... 15
La prehistoria .............................................................................................................................15
Evolución de las herramientas y de la instrumentación de los ataques ...................................16
Actualidad de los ciberataques ..................................................................................................17
Quiénes son los cibercriminales ................................................................................................20
Objeto del cibercrimen ..............................................................................................................21
Capítulo III – Las Ciberamenazas en cifras ........................................................................ 23
Introducción ...............................................................................................................................23
Objetivo y alcance del capítulo ..................................................................................................24
Metodología ...............................................................................................................................25
Algunas consideraciones sobre la información analizada .........................................................25
Una aproximación sobre la actividad global en el ciberespacio................................................28
Actividades maliciosas en su conjunto ......................................................................................36
Situación global ...................................................................................................................................36
Situación en Latinoamérica y El Caribe ...............................................................................................43
Código malicioso (malicious code)/malware .............................................................................46
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 2/185
sociedad civil
Código malicioso multiplataforma.............................................................................................54
Falsos antivirus (rogueware)......................................................................................................56
Ransomware ..............................................................................................................................57
Dispositivos móviles ...................................................................................................................58
SPAM ..........................................................................................................................................59
Phishing ......................................................................................................................................65
Botnet ........................................................................................................................................77
Ataque distribuido de denegación de servicio (DdoS – DoS) ....................................................85
Vulnerabilidades ........................................................................................................................87
Ataques originados en la Web/Amenazas en la Web................................................................89
Redes Sociales ............................................................................................................................94
Violación de datos (Fuga de Información) .................................................................................97
Capítulo IV – Misceláneo de las Ciberamenazas ............................................................. 105
Actividad Maliciosa en su Conjunto .........................................................................................105
Código malicioso (malicious code)/malware ...........................................................................106
Ransomware ............................................................................................................................108
Dispositivos móviles .................................................................................................................110
SPAM ........................................................................................................................................112
Phishing ....................................................................................................................................113
Botnet ......................................................................................................................................116
Ataques originados en la Web/Amenazas en la Web y Redes Sociales ..................................116
Julio 2013 – Pág. Nº 3/185
sociedad civil
Ciber Espionaje ........................................................................................................................118
Ciberactivismo .........................................................................................................................123
Cyberskirmishes (Ciber-escaramuzas) .....................................................................................126
Ciberguerra – ciberataque .......................................................................................................127
Tendencias 2013 ......................................................................................................................130
Capítulo V - Impacto Económico ..................................................................................... 131
Introducción .............................................................................................................................131
Porqué medir el impacto económico ......................................................................................132
Dificultades para la estimación ................................................................................................133
Costos asociados a los incidentes informáticos.......................................................................135
Objetivo y alcance del capítulo ................................................................................................139
Informes internacionales .........................................................................................................140
Fuentes de datos y metodología .............................................................................................143
Costos para el sector bancario.................................................................................................143
Estimaciones......................................................................................................................................145
Otros valores de interés ....................................................................................................................146
Fraude en el comercio electrónico ..........................................................................................147
Estimaciones......................................................................................................................................149
Fraudes vinculados al robo de identidad .................................................................................151
Estimaciones......................................................................................................................................152
Otros tipos de incidentes .........................................................................................................154
Los valores de la ciberdelincuencia .........................................................................................157
Capítulo VI – Encuesta sobre Ciberseguridad ................................................................. 160
Introducción .............................................................................................................................160
Objetivo del capítulo ................................................................................................................160
Metodología .............................................................................................................................160
Análisis de las respuestas.........................................................................................................161
Julio 2013 – Pág. Nº 4/185
sociedad civil
Perfil de los encuestados...................................................................................................................161
Utilización de dispositivos para acceder a Internet y redes..............................................................163
Medidas de protección a la información ..........................................................................................164
Mecanismos de seguridad para el acceso a Internet ........................................................................167
Precauciones para el ingreso a las redes sociales .............................................................................168
Exposición a cibercrímenes ...............................................................................................................170
Capítulo VII – Conclusiones ............................................................................................. 173
Capítulo VIII – Recomendaciones .................................................................................... 175
Sector académico .....................................................................................................................175
Sector Privado ..........................................................................................................................175
Usuarios ...................................................................................................................................176
Fuentes Consultadas........................................................................................................ 178
Glosario Técnico .............................................................................................................. 181
Julio 2013 – Pág. Nº 5/185
sociedad civil
Resumen
Las tecnologías de la información y las comunicaciones han sido incorporadas en el día a día de los países de Latinoamérica y El Caribe al ritmo de otras sociedades modernas del planeta. Como inevitable
consecuencia, quienes habitan la región se ven obligados a enfrentar un importante desafío al momento
de proteger la información de las personas y organizaciones, garantizar la disponibilidad de los servicios
prestados a través de Internet y evitar accesos no autorizados a las infraestructuras y sistemas críticos.
El presente informe es el segundo de su tipo elaborado por iniciativa del Registro de Direcciones de Internet para Latinoamérica y el Caribe (LACNIC). Su objetivo es analizar para el período 2011/2012 la
situación de los países latinoamericanos y del Caribe desde la perspectiva del cibercrimen, considerando
la región tanto origen como blanco de ataques. Para su formulación fueron consultadas fuentes de datos públicas producidas por entidades gubernamentales y académicas y empresas proveedores de servicios y productos de seguridad, localizadas en la región y en otros países del mundo. La investigación fue
desarrollada con el fin de contribuir un mayor conocimiento de la incidencia de la actividad maliciosa en
Latinoamérica y El Caribe y de generar un marco para futuras estimaciones y proyecciones del impacto
del cibercrimen en la región, que pueda ser actualizado y mejorado cuando se disponga de información
más precisa y de metodologías más certeras.
Los informes y estudios consultados muestran que tanto globalmente como a partir de casos particulares de ataques, los países de Latinoamérica y El Caribe siempre se encuentran presentes, destacándose
Brasil a nivel global y en los primeros puestos para la mayoría de las cibercrímenes. Dentro de la región,
los principales actores, además de dicho país, son Argentina, Colombia, México y Chile. Cabe mencionar,
dado su impacto económico, que los ataques de phishing han aumentado en la región un 20% más de lo
que han crecido a nivel global, mientras que el crecimiento de los dominios usados para esta actividad
duplicó el del orden mundial. Es de hacer notar también, que a partir de fines de 2009 se registra el
desarrollo de herramientas para la comisión de cibercrímenes desde dentro de la región. Asimismo, se
han detectado botnets desarrolladas en sus países, como son los casos de Volk, SAPZ, BoteAR y AlbaBotnet. En el mismo sentido se tomó conocimiento del primer caso reportado de ciberespionaje a través
de códigos maliciosos orientado específicamente a Latinoamérica y El Caribe. Por otro lado, y en los
primeros meses del año 2013, se registraron casos de hacktivismo a través de los ataques producidos
por Anonymous en Argentina, Honduras y Perú.
En materia de tendencias puede apreciarse que de acuerdo a las fuentes consultadas, crecerán las amenazas multiplataforma, aumentarán los ataques a dispositivos móviles, se incrementará la carrera “ciberarmamentística”, se mantendrán las amenazas provenientes del malware y las redes sociales seguirán
siendo un campo atractivo para los ataques de ingeniería social, especialmente aquellos que involucran
el robo de datos personales y la suplantación de identidad.
En términos económicos, continúan las dificultades expuestas en el primer informe, para encontrar datos confiables y metodologías adecuadas para la determinación cierta de los costos del cibercrimen. En
el año 2012 un grupo de investigadores de varias universidades europeas y estadounidenses realizaron
lo que se considera como la primera revisión sistemática y completa sobre el tema. Sobre la base de
Julio 2013 – Pág. Nº 6/185
sociedad civil
dicho estudio y de otras fuentes analizadas, se estimó que las pérdidas anuales por phishing bancario
para los clientes de la región podrían rondar los 26 millones de dólares estadounidenses y el spear phishing, los 24 millones de la misma moneda. En cuanto a la inversión para evitar el fraude bancario en
Internet en Latinoamérica y El Caribe, dicho valor sería del al menos 81 millones de dólares. Desde otro
ángulo, el fraude en el comercio electrónico originado en reclamos de clientes podría estar alcanzando
los 430 millones y el robo de identidad, los 1.100 millones. El trabajo también incluye otros datos desagregados por país y algunas estimaciones de los valores que se manejan en el mercado de la ciberdelincuencia.
Como parte de la investigación, se realizó una encuesta con el objetivo de profundizar el conocimiento
sobre el estado de la ciberseguridad, destinada a usuarios de Internet de la región. Si bien en esta oportunidad se registró un nivel de respuesta desigual en cuanto a la representatividad por país, lo cual condiciona fuertemente las conclusiones que puedan extraerse, pudo detectarse que un 35% de los encuestados manifestó haber sufrido una infección por códigos maliciosos en su computadora, un 12% indicó
haber percibido algún tipo de actividad inesperada luego de acceder a un enlace desde un correo electrónico o a una página web y un 10% indicó que se enviaron mensajes desde su cuenta de correo electrónico sin su autorización.
El trabajo concluye con una serie de recomendaciones para el sector privado, la academia y los usuarios
y cierra destacando la necesidad de desarrollar estrategias organizacionales, nacionales y regionales
para la implementación de instancias de reporte y el establecimiento de condiciones de franca colaboración entre el sector público y el privado y entre los países, favoreciendo de esta manera el desarrollo
de una cultura de la ciberseguridad a nivel regional y global.
Para cerrar, es dable recalcar que la cuantificación del cibercrimen no es una tarea sencilla. Si bien existe
un número considerable de fuentes diversas, los datos disponibles son todavía insuficientes y fragmentados y muchos de los resultados publicados despiertan sospechas de sobre o sub-dimensionamiento,
según quienes los formulan. Existen además muchas asimetrías en los mecanismos utilizados para contabilizar los casos y las pérdidas que el cibercrimen genera. Sin embargo, a la hora de dimensionar la
magnitud del problema, un ejercicio ineludible es estimar el impacto de la actividad maliciosa que efectiva o potencialmente puede afectar tanto a las organizaciones como a las personas que habitan la región. Urge la necesidad de desarrollar mecanismos de recolección de datos y de métricas representativas que sirvan de base para fundamentar las decisiones que se adopten para combatir el cibercrimen en
la región.
Julio 2013 – Pág. Nº 7/185
sociedad civil
Capítulo I – Presentación del Informe
Introducción
Una amplia gama de tecnologías ha acompañado el desarrollo de las sociedades modernas en el último
medio siglo. En este devenir, la aparición de Internet representó un hito fundamental, al transformarse
en punto de generación y difusión del conocimiento y ámbito de conexión entre personas, organizaciones de todo tipo y gobiernos, herramienta de trabajo, de divertimento, aprendizaje, etc. En este marco,
servicios esenciales para el bienestar de la población y el desarrollo económico también se sustentan
hoy en un empleo creciente de tecnologías, mejorando la calidad de vida y facilitando las labores cotidianas de las personas y las organizaciones.
Es indudable que el alto nivel de penetración de estas tecnologías de la información y las comunicaciones ha traído múltiples beneficios, extendiendo las posibilidades de incorporación de conocimiento,
mejorando la gestión de los gobiernos, agilizando la realización de trámites, facilitando el acceso a servicios bancarios y de comunicaciones, favoreciendo contactos globales y hasta influyendo en las actividades de esparcimiento, sólo por nombrar algunas ventajas. Por otra parte, los menores costos transaccionales y las economías de escala que ha traído el desarrollo tecnológico y particularmente Internet, ha
incrementado la productividad en forma indiscutible.
Como fuera indicado en el informe anterior, Latinoamérica y El Caribe no han sido ajenos a este fenómeno y a fines de junio del año 2012, habitaba su territorio el 10,6% de los usuarios de Internet del
mundo, con un incremento del 0,2% respecto a los valores mostrados en el 2011. En cuanto a la penetración respecto al total de la población, a mediados del año pasado era del 42,9%, frente a un 34,5%
del año 2011 y nuevamente, muy por encima del promedio mundial (34,3%) y del de otras regiones del
planeta. Estos valores provistos por “Internet World Stats” 1 siguen mostrando una tendencia positiva a
partir del ingreso al nuevo milenio, con un crecimiento del 1310,8% entre los años 2001 y 2012, superando también a otras áreas geográficas, como Asia y África. En el mismo sentido, la cantidad de
usuarios de telefonía móvil 3G se multiplicó por diez en el mismo período, convirtiéndose en una de las
regiones con mayor crecimiento del mundo para la telefonía celular 2, delante de Europa y América del
Norte.
Un informe de VISA3 del año 2012 concluía que el comercio electrónico en Latinoamérica y el Caribe se
había duplicado durante el 2010 y el 2011, alcanzando los 43 mil millones de dólares en dicho período.
Sin embargo, estas mismas tecnologías que facilitan la vida cotidiana y potencian el desarrollo económico, continúan presentando importantes desafíos frente a la necesidad de proteger la información de las
1
Internet World Stats – World Internet Users and Population Stats - Consultado el 10/03/2013 http://www.internetworldstats.com/stats.htm - Valores al 30 de junio de 2012
2
Internet World Stats – World Internet Users and Population Stats - Consultado el 10/03/2013 http://www.internetworldstats.com/stats.htm - Valores al 30 de junio de 2012
3
Los años del boom – Artículo de mayo de 2012 – Estudio de comercio electrónico en América Latina – Consultado
el 20 de marzo de 2013 - http://www.ecommerceday.co/2012/wp-content/uploads/2012/08/eCommerce-StudyPart-I-Visa-America-Economia-2012-ESP.pdf
Julio 2013 – Pág. Nº 8/185
sociedad civil
personas y organizaciones, garantizar la disponibilidad de los servicios y evitar accesos no autorizados a
los datos y sistemas. La naturaleza global de Internet implica que los ataques o las fallas puedan impactar en cualquier punto de su estructura y complejiza la posibilidad de identificar a sus autores y determinar su verdadero alcance e impacto.
Como agravante, la tecnología se desarrolla a un ritmo extremadamente rápido y el tiempo que media
entre el descubrimiento de una nueva vulnerabilidad y la aparición de las técnicas que la explotan, es
cada vez menor. En la mayoría de los casos, la tecnología empleada en los ataques es simple, barata y
fácil de conseguir en uno o más sitios de la propia Internet, y los mecanismos utilizados pueden automatizarse por lo que aumentan las posibilidades de replicación del daño, a partir de una única acción.
Nuevamente, los países de Latinoamérica y del Caribe no son ajenos a este fenómeno y como el resto
del mundo, sus organizaciones, gobiernos y población en general, sufren las consecuencias de las actividades ilícitas y de las vulnerabilidades propias de las tecnologías y de Internet. Efectivamente, estos
ataques se presentan bajo las mismas formas que en otros países, ya sean casos de robo de identidad,
“PHISHING” 4, denegación de servicio, robo de información, violaciones a la propiedad intelectual, etc.
Frente a este panorama, aparecen diversos interrogantes a la hora de determinar la verdadera dimensión del problema. Cabe preguntarse cuál es la magnitud real de la situación en Latinoamérica y El Caribe frente a este fenómeno, cuál es el impacto que tienen los ataques cibernéticos sobre sus países y las
personas que los habitan, cuáles son las pérdidas estimadas a consecuencia de la ciberdelincuencia e
inclusive, cómo participa la región en la realización de esos ataques.
Presentación del informe
Durante el año 2011 el Registro de Direcciones de Internet de Latinoamérica y El Caribe, en adelante
LACNIC, patrocinó y publicó una investigación5 buscando conocer y analizar la situación de los países de
la Región desde la perspectiva de la actividad ilícita en Internet, considerando que dichos países podían
ser tanto origen como blanco de incidentes. El informe mostró el comportamiento resultante de las
conductas disvaliosas más comunes y realizó un intento de proyección de los valores económicos estimados para algunos de los cibercrímenes más frecuentes.
Entre las conclusiones del trabajo realizado se destacó que la región mostraba un dinamismo superior al
promedio mundial a la hora de incorporar tecnología en sus sociedades, pero también en su condición
de campo de desarrollo de una activa ciberdelincuencia. En efecto, algunos de los países de la región
aparecían, de acuerdo al informe, en los primeros puestos en las listas internacionales de cantidad de
computadoras infectadas, casos de phishing o número de sitios web maliciosos. Esto lógicamente encontraba su correlato en la existencia de pérdidas económicas que afectaban a los ciudadanos, los negocios y los gobiernos de la región y en una creciente inversión en ciberseguridad para la defensa, frente a
este panorama de riesgos.
4
El formato cursiva y versales identifica a las palabras cuyo significado se encuentra en el Glosario. Cabe señalar
que se ha optado por mantener en el idioma de origen aquellas palabras que no tienen una adecuada traducción al
Castellano.
5
LACNIC - “Panorama del ciberdelito en Latinoamérica” – 2011 – Consultado el 17/03/2013 http://www.proyectoamparo.net/files/LACNIC-PanoramCiberd-VsFinal-20110701.pdf
Julio 2013 – Pág. Nº 9/185
sociedad civil
Nuevamente este año, LACNIC se propuso llevar adelante una investigación de similares características,
con el fin de conocer la situación a la fecha en materia de cibercrimen en Internet. Esta decisión se
adoptó con la certeza de que un mayor conocimiento de las características y la magnitud del impacto
que este tipo de actividad maliciosa tiene sobre las personas, las organizaciones y los países de la región,
contribuirá no solo a dimensionar adecuadamente el problema, sino también a asignar prioridades y a
determinar en forma justificada las acciones que se deben emprender.
Este informe en particular agrega respecto al anterior, la presentación de los resultados de una encuesta
destinada a usuarios de la tecnología y realizada con el fin de conocer algunos aspectos vinculados a la
ciberseguridad y el cibercrimen en la región.
Porqué hablar de cibercrimen
La presente investigación se despliega bajo la denominación “Cibercrimen en Latinoamérica y El Caribe:
una visión desde la sociedad civil”. La selección de este título y en particular, el empleo del término “cibercrimen”, es el producto de una revisión exhaustiva, ya que son numerosos los vocablos y las frases
que se barajan en la bibliografía especializada, cuando se hace referencia a los temas tratados en este
informe.
En efecto, ciberseguridad, ciberamenazas, ciberataques o ciberdelitos, son algunos de los términos que
de una manera u otra, se encuentran reflejados en su texto. Finalmente, se optó por el uso de la palabra
“cibercrimen” sobre la base de las consideraciones que se describen brevemente a continuación. Al
recorrer el texto, los lectores deberán tener en cuenta la justificación que sigue, con el fin de evitar
cualquier interpretación errónea respecto a la información en él contenida.
El diccionario de la Real Academia Española 6 no ha definido la palabra cibercrimen. Para el término
“crimen” presenta como una de las posibles acepciones la de “Acción indebida o reprensible”. La expresión “ciber”, si bien tampoco es un prefijo aceptado por la institución antes mencionada, es de uso habitual y nos lleva automáticamente a términos como cibernauta o ciberespacio, es decir, asociado o vinculado a Internet. En consiguiente, el término “cibercrimen” fue considerado abarcativo de toda acción
indebida o reprensible que ocurre en el ámbito de Internet, con independencia de sus implicancias legales y de si se trató de un ataque potencial o exitoso.
La realidad muestra que en la actualidad, el fenómeno del cibercrimen es abordado principalmente desde dos áreas, la que proviene del Derecho, campo en el cual se analizan distintas alternativas para su
efectiva persecución y justa sanción, y la de la seguridad de la información, o para ser más precisos de la
“inseguridad de la información”, para la cual se adopta un punto de vista tecnológico. Esta última perspectiva se focaliza en evitar o minimizar la utilización de la tecnología con fines ilícitos, es decir, de manera contraria a la moral o a las leyes, y en proteger de la información, los recursos que se emplean para
administrarla y las personas y organizaciones que la utilizan, con independencia de si ya ha sido tipificado en la legislación del país.
6
Diccionario de la Real Academia Española – Consultado el 23 de abril de 2013 - http://www.rae.es
Julio 2013 – Pág. Nº 10/185
sociedad civil
Citada por Gustavo Saín, en su publicación “El fenómeno del cibercrimen en Internet y la World Wide
Web: una mirada criminológica“ 7, la experta estadounidense Majid Yar, opina que la ausencia de una
definición específica sobre el fenómeno del cibercrimen se debe fundamentalmente a que “la delincuencia informática se refiere no tanto a un único tipo distintivo de actividad delictiva, sino más bien a
una amplia gama de actividades ilegales e ilícitas que comparten en común el único medio electrónico
(ciberespacio) en el que tienen lugar”. Esta autora 8 señala también que el término debe interpretarse
como un rango de actividades ilícitas, es decir contrarias a la ley o a la moral, cuyo denominador común
es el rol central de las tecnologías de información y las comunicaciones y las redes para su comisión.
El cibercrimen también puede ser definido como el conjunto de actividades en las que se emplean
computadoras o redes como mecanismos, blancos o lugares para la comisión de fines criminales.
En cuanto a otros términos analizados y luego descartados, el uso de la palabra “ciberseguridad” fue
descartado por considerárselo demasiado amplio para describir el contenido específico del informe, más
ligado a la ocurrencia de actividad maliciosa en Internet. Ciberamenaza no fue seleccionado por ser limitado en su alcance, ya que sólo considera aquellas situaciones potenciales que suponen un daño para la
información, una persona, un activo o para una entidad, con cierta probabilidad de ocurrencia. En otras
palabras, sólo conforman una parte del ataque y no generarán impacto si no logran explotar una vulnerabilidad.
En el mismo sentido, “ciberataque” fue eliminada en razón de que el informe cubre aspectos que no
necesariamente se vinculan con un ataque exitoso. Finalmente, y si bien era parte de la denominación
del informe publicado en el año 2011, no se utilizó en esta oportunidad la palabra “ciberdelito” para
eliminar cualquier alusión al quebrantamiento de una ley sancionada y vigente en un determinado territorio. Esta decisión se adoptó teniendo en cuenta que muchos países de la región todavía no cuentan
con una norma específica en la materia y que aún cuando la tuvieran, existen asimetrías en las legislaciones ya existentes en cuanto a alcance y tipificación. En línea con el título elegido, podría afirmarse
que el cibercrimen es similar al ciberdelito aunque este último se vincula más directamente con el quebrantamiento de las leyes, y con la consiguiente pena. El cibercrimen en cambio, puede ser considerado
un término más amplio, que abarca toda acción indebida o reprensible que ocurre en el ámbito de Internet.
Por consiguiente, a lo largo del presente informe, el término cibercrimen se utilizará para definir cualquier actividad maliciosa realizada con el fin de comprometer la confidencialidad, integridad y disponibilidad de la información, aprovechando las vulnerabilidades que presentan Internet y los dispositivos y
sistemas involucrados.
7
Gustavo Saín - Gustavo Saín, en su publicación “El fenómeno del cibercrimen en Internet y la World Wide Web:
una
mirada
criminológica”
–
Consultado
el
24/03/2013
http://www.minseg.gob.ar/sites/default/files/cuadernos/12_sain.pdf
8
Yar, Majid – “The novelty of cybercrime – An Assessment in light of Routine Activity Theory” – Europena Journal
of Criminology – 2005, 2;407 - Consultado el 24/03/2013 - http://euc.sagepub.com/cgi/content/abstract/2/4/407
Julio 2013 – Pág. Nº 11/185
sociedad civil
Objetivo del informe
En este contexto, el objetivo general de este trabajo es la revisión de la situación actual de los países de
la región latinoamericana y El Caribe en materia de cibercrimen, considerándolos tanto posibles origen
como blanco de la actividad maliciosa.
En consecuencia, el presente informe se propone:
•
Revisar y exponer el panorama de los cibercrímenes que afectan en mayor medida a los países de la
región
•
Proyectar una serie de indicadores valorizados para obtener una idea de la magnitud del impacto
económico de los incidentes de seguridad, buscando generar un marco para estimaciones futuras,
que pueda ser actualizado y mejorado cuando se disponga de información más precisa
•
Utilizar un enfoque múltiple que comprenda organizaciones, personas, países y en lo posible, datos
globales para toda la región
•
Presentar los resultados de la encuesta realizada para conocer las características del uso de Internet
en la región en el campo de la seguridad y el cibercrimen
•
Proponer una serie de recomendaciones para contrarrestar la ocurrencia de la actividad maliciosa
Cabe resaltar que los datos y valores fueron obtenidos de fuentes públicas provenientes de informes
producidos tanto por organizaciones públicas como por entidades privadas de la región o de otros países del planeta.
Se hace la salvedad que, debido a la escasez de datos concretos sobre casos de incidentes ocurridos, los
valores indicados en este trabajo, ya sea en cuanto a volumen de incidentes como en las proyecciones
económicas, no deben ser interpretados como estadísticas, sino como compilaciones o recopilaciones
de información sobre casos acontecidos.
Principales dificultades
Como ya fuera planteado en el informe anterior, resulta difícil en la actualidad formular conclusiones
precisas respecto a las consecuencias de fallas, incidentes o vulnerabilidades reales o potenciales, que
afectan a la información tanto de las personas y entidades como de las naciones. Esto se debe a diversos
motivos, entre los que se encuentran:
•
La reticencia a informar los incidentes ocurridos por parte de las organizaciones, los países y los
individuos
•
La existencia de publicaciones con datos disímiles de entidades nacionales o internacionales y la
escasez de cifras de organismos oficiales
•
Las dificultades, e inclusive la imposibilidad en ciertos casos, para determinar el impacto global de
algunos tipos de ciberataques
•
El encadenamiento de las técnicas que resultan en un único ataque que dificulta la recolección de
datos
Julio 2013 – Pág. Nº 12/185
sociedad civil
•
La necesidad de utilizar supuestos y de efectuar proyecciones respecto al porcentaje de incidentes
reportados que pueden tornar impreciso el cálculo
•
Las complejidades para cuantificar el efecto económico o financiero sobre personas y organizaciones, tanto en forma individual como agregada
•
La falta de homogeneidad en la metodología de conteo de los incidentes
•
Las dificultades para valorizar factores tales como pérdida de reputación, imagen, etc.
Por otra parte, es dable indicar que la presente revisión tuvo una duración acotada entre los meses de
diciembre de 2012 y abril de 2013, por lo que se basó fundamentalmente en fuentes de datos públicas.
Adicionalmente se publicó una encuesta dirigida a usuarios de tecnología en la región, cuyo análisis se
muestra en el Capítulo 6.
Etapas del análisis
El presente informe fue realizado sobre la base de las siguientes etapas:
•
Revisión y actualización de las fuentes públicas con información respecto a la región y relevamiento
de nuevas fuentes, ya sea por país o globales y por tipo de incidente
•
Evaluación de los datos para determinar factibilidad de cuantificación, tanto en cuanto a cantidad de
casos como económica
•
Elaboración y publicación de la encuesta y posterior análisis de resultados
•
Desarrollo conceptual del tema
•
Análisis de datos
•
Formulación de conclusiones y recomendaciones
Estructura del informe
A continuación de este capítulo que tiene como objetivo presentar las principales características del
informe, el Capítulo II resume la evolución de los ataques informáticos en el tiempo y presenta los contenidos conceptuales más importantes vinculados al tema bajo análisis.
El Capítulo III por su parte, expone y analiza el panorama general de las ciberamenazas, presentando
asimismo valores regionales y por país, recopilados según el tipo de incidente, la cantidad de casos registrados y sus consecuencias. El Capítulo IV complementa al Capítulo III, presentando detalles técnicos
y situaciones específicas sobre las ciberamenazas y su impacto, así como las tendencias en la actividad
según estimación de las organizaciones consultadas.
El Capítulo V es un intento de estimación del impacto económico del cibercrimen a nivel de los países,
las organizaciones y de ser posible, la región. Modelar y realizar proyecciones sobre las implicancias
económicas de los ciberataques es una tarea compleja, por lo cual esta sección despliega estimaciones
basadas en supuestos justificados, siguiendo en la mayoría de los casos y ante la ausencia de datos locales, los esquemas de cálculo utilizados en otros países para este tipo de análisis. En los casos en que fue
posible, se tuvieron en cuenta como base de cálculo, valores y estimaciones regionales.
Julio 2013 – Pág. Nº 13/185
sociedad civil
El Capítulo VI presenta los resultados de la encuesta realizada a usuarios de Internet de Latinoamérica y
El Caribe. Finalmente los Capítulos VII y VIII incluyen respectivamente, las principales conclusiones del
trabajo y una serie de recomendaciones respecto a las medidas que es necesario adoptar para proteger
la información del cibercrimen, desde el punto de vista de las personas, las organizaciones y los países.
Como anexos se agregan la bibliografía consultada y las fuentes de información a las que se tuvo acceso,
así como un glosario con las principales definiciones de términos técnicos.
El presente estudio es realizado por iniciativa del Registro de Direcciones de Internet para Latinoamérica
y el Caribe (LACNIC) y se enmarca en los esfuerzos que vienen realizando esta entidad para fortalecer la
capacidad regional de atención y respuesta a incidentes de Seguridad en la Región de Latinoamérica y El
Caribe, buscando incrementar las acciones de prevención y la resiliencia frente a los ciberataques que
afectan la región.
El desarrollo del trabajo fue coordinado por el Ing. Carlos Martínez, en representación de AMPARO,
programa de LACNIC cuyo principal objetivo es fortalecer la difusión, el conocimiento y la atención de la
problemática de Seguridad de la Información en los países de Latinoamérica y El Caribe, fundamentalmente en el ámbito privado de las empresas y organizaciones sociales.
Julio 2013 – Pág. Nº 14/185
sociedad civil
Capítulo II – Evolución y Marco Conceptual del Cibercrimen
La prehistoria
En el informe anterior se aludía en este punto a la posibilidad de considerar las primeras experiencias de
generación de código malicioso como el punto de inicio de la historia de los ciberataques, si bien el
desarrollo de lo que hoy se conoce por tal fue en sus comienzos experimental y no tenía como objetivo
realizar un daño sino desafiar a los sistemas operativos de la época.
En 1982 se programó el primer virus informático para las computadoras Apple II, aunque aún no se lo
denominaba de esa manera, que se propagaba infectando los disquetes del sistema operativo. Sin embargo, existen también antecedentes que dan cuenta de la existencia de casos registrados para el sistema IBM 360, allá por los comienzos de los ’70. En 1983 Fred Cohen, un estudiante de posgrado crea uno
para UNIX. El primer virus para PC IBM fue creado por dos hermanos pakistaníes en 1986, con la intención de proteger de la piratería los programas de su autoría.
Unos años después, en noviembre de 1988 el “Gusano de Morris” sacó de servicio al 10% de las computadoras VAX y SUN conectadas a INTERNET en los EEUU, afectando a unos 60.000 equipos en total. De
hecho se le atribuye a Andy Sudduth, estudiante de la Universidad de Harvard, la frase “Hay un virus
suelto en la Internet” 9, pronunciada unos minutos después de que se conociera el incidente. El origen
de esta primera infección masiva fue un programa de 99 líneas, escrito por Robert Tappan Morris, estudiante de doctorado de la Universidad de Cornell, que llevó a que los equipos infectados se vieran inundados por miles de tareas, forzando a los administradores a desconectarlos directamente de la red.
Años después en el 2001, el gusano “Código Rojo” causó una denegación de servicio de una gran cantidad de sitios web, afectando los servicios de Internet y dejando fuera de línea a las operaciones de varios gobiernos y empresas.
Así comenzó esta historia que ha ido evolucionando a través de los años siguiendo el crecimiento y la
orientación de lo que hoy denominamos las "tecnologías de información", las que seguramente tendrán
que cambiar de denominación tomando en cuenta la aparición de las redes sociales y la tendencia a
manejar mediante sistemas operativos la TV y los aparatos domésticos.
Hace no muchos años a fines del siglo XX, el software malicioso era muy molesto y peligroso en tanto y
en cuanto podía ser la causa de la pérdida de información valiosa como consecuencia de su accionar:
destrucción de archivos o discos completos; o bien la imposibilidad de operar o verse obligado o tener
que rearmar el sistema operativo y recuperar la información, siempre y cuando se hubiera hecho el
correspondiente resguardo. Pero resultaba aún más aterradora su posibilidad de replicarse a través de
varios canales como los diskettes o el uso de un aún incipiente sistema de correo electrónico.
En las organizaciones, la situación empezaba a tornarse más grave ya que se inundaban las redes produciendo una reducción importante del tiempo de respuesta, más el daño ya mencionado en los equipos.
Todo esto conllevaba y conlleva también hoy, sin lugar a dudas, a importantes pérdidas económicas,
9
Traducción de las autoras de la frase: “There may be a virus loose on the internet”
Julio 2013 – Pág. Nº 15/185
sociedad civil
tanto por el valor de la información en sí, como por el tiempo que absorben las tareas de detección del
problema y luego de recuperación y reconstrucción de los datos afectados, en los casos en que esto es
factible.
Esta situación creció en volumen con el masivo uso del correo electrónico que como ya fuera dicho,
sirvió como medio de transporte de archivos infectados.
Hasta aquí, el daño se circunscribía al hardware y software impactando sobre la operatoria tanto de las
organizaciones como de usuarios individuales.
Evolución de las herramientas y de la instrumentación de los ataques
Como se dijo previamente, en los comienzos de esta actividad ilícita o delictiva, aunque no tuviera un
claro objetivo en este sentido, se emplearon como herramientas pequeños programas conocidos como
virus que eran introducidos en los equipos a partir de medios físicos externos ya que no existía la comunicación virtual.
A medida que las tecnologías fueron avanzando, los individuos dedicados a dichas actividades fueron
aprovechando las nuevas posibilidades ampliando así el alcance de sus objetivos y su efectividad.
Es así como fueron surgiendo diferentes tipos de amenazas, sobre distintos vectores de ataque y con
múltiples herramientas y mecanismo de aplicación.
Aquellos pequeños y sencillos programas se transformaron en malware (virus, gusanos, troyanos, spyware, adware, etc.), más inteligentes y con objetivos bien definidos. También aparecieron códigos maliciosos multiplataforma siendo posible que un mismo código infecte, por ejemplo, a Windows y Mac.
Posteriormente aparecieron los códigos maliciosos dinámicos. Es decir que no tenían un único objetivo,
sino que eran comandados de manera remota por sus creadores o dueños, en caso de haber sido vendidos por sus creadores. Una actividad que también tiene frutos económicos relevantes.
Estas piezas de software fueron creciendo en su inteligencia y entre 2011 y 2012 se ha estado viendo
una manera de actuar mucho más sofisticada que consiste en siete pasos 10:
1. Reconocimiento de la víctima. Acceder a sus credenciales e investigar su perfil en las redes sociales
para ganar conocimiento sobre ella. Su meta es construir "engaños" que sean atractivos para "esa"
posible víctima de manera que tengan mayor probabilidad de llegada.
2. Engañarla por correo o la web.
3. Redireccionarla hacia un servidor "escondido", propiedad de o usado por el atacante.
4. Inspeccionar el sistema de la víctima para encontrar una vulnerabilidad (exploit kit).
5. Usar "dropper files" (archivos goteros) empaquetados dinámicamente (dynamic packers). Para evitar su detección, cuando ejecuta descomprime los componentes del malware escondidos en el gotero y los ejecuta, algunas veces sin guardarlos en disco. Ésta es la fase más importante ya que pocos
antivirus pueden detectarlos. Este mecanismo impide el uso de FIRMAS, cuestión que ya fuera abor-
10
Websense, Inc – 2013 Threat Report, Consultado el 20/02/2013 http://www.websense.com/content/websense-2013-threat-report.aspx
Julio 2013 – Pág. Nº 16/185
sociedad civil
dada por IDC y otros analistas quienes indicaron a principios de 2012 que las defensas basadas en
firmas no podían tratar las amenazas emergentes.
6. Contactar a su dueño (call home) para descargar el malware y las herramientas y devolver información valiosa. El problema es que la mayoría de las defensas no analizan la comunicación saliente enviada desde un sistema infectado. Además, estas comunicaciones "call-home" usan generalmente
DNS dinámicos para evitar la detección.
7. Robar la información.
Esta instrumentación del ataque utiliza otros avances tecnológicos como son los medios de comunicación masiva, correo, la web, redes sociales, dispositivos móviles y el manejo del eslabón más débil de la
cadena, el ser humano, a través de la ingeniería social.
Es de destacar que esta metodología comienza con el conocimiento de la víctima que se intenta atacar
en virtud de la cada vez más creciente aparición de los ataques dirigidos y la utilización de técnicas combinadas.
Una herramienta cuyo uso se ha incrementado en este período es la "ADVANCED PERSISTENT THREAT" (APT)
utilizada en el robo de información altamente sensitiva en las organizaciones.
Más allá de las amenazas existentes lo que se perfila es que la Web es el centro de atención ya que, no
sólo es un vector de ataque en sí misma, sino que da soporte a otros tales como las redes sociales, los
dispositivos móviles o los correos electrónicos, los cuales usan la web para complejos escapes y funciones de ataque.
Por último, cabe mencionar el alta capacidad de cualquier tipo de amenaza para adaptarse dinámicamente a los escenarios que se van presentando, siendo así mucho más difícil su detección.
Actualidad de los ciberataques
A comienzos de este siglo la situación comenzó a cambiar. El auge de Internet, la innovación permanente que requiere la generación de software que probablemente no ha sido lo suficientemente probado
en sus aspectos de seguridad, la necesidad de ganar mercados, la inundación de nuevos dispositivos,
protocolos, lenguajes, paradigmas de desarrollo, herramientas de automatización, etc., han presentado
una cantidad inusitada de oportunidades para quienes buscan algo más que desafiar a la tecnología.
Más aún, la expansión del uso de las PC, la computación distribuida, la penetración de Internet con una
banda ancha cada vez mayor, la creciente dependencia de las organizaciones respecto de las tecnologías
de la información y las comunicaciones y el soporte que éstas brindan a las infraestructuras de servicios
esenciales de los países, han creado un panorama complejo para la adopción de medidas adecuadas de
protección de la información en formato digital.
Una cuestión distintiva que ha aparecido y crecido con fuerza a partir de 2008 es el uso de las redes
sociales y los dispositivos móviles. Estos presentan serias posibilidades de ataques contra las personas,
pero han despertado también complicaciones en el ámbito corporativo. Por un lado, debido a la importancia que ha adquirido para las compañías estar presente en las redes sociales como un vehículo para
hacer negocios. Pero, por el otro, debido al reclamo de sus empleados para utilizar dichas herramientas
Julio 2013 – Pág. Nº 17/185
sociedad civil
en el lugar de trabajo. Son conocidos por ejemplo, los desafíos que ha planteado el BYOD (Bring Your
Own Device) en las organizaciones.
En este nuevo contexto, también aparecen personas y organizaciones que utilizan toda la tecnología
disponible con propósitos delictivos o ilícitos de todo tipo, desde obtener ganancias a partir del fraude a
producir múltiples daños a compañías específicas o a infraestructuras críticas nacionales.
En este sentido, los ciberataques surgidos a lo largo de la última década y de la que acaba de comenzar,
han evolucionado hacia la generación de amenazas vinculadas a la comisión de actos ilícitos con el objetivo, en principio, de obtener beneficios económicos. Esta posibilidad se ha incrementado sustancialmente con la aparición de las redes sociales y los dispositivos móviles, los cuales presentan un volumen
tan extraordinario de usuarios que suponen ganancias para los cibercriminales inimaginables a comienzo del siglo. Es por ello que actualmente resulta habitual relacionar los ciberataques con el negocio del
crimen organizado.
En general, la situación se agrava muchísimo con los malos hábitos de los usuarios hacia la piratería, la
pornografía y la falta de conciencia para instalar los parches o las actualizaciones tanto de los sistemas
operativos como de los productos de seguridad.
Un factor que debe tenerse en cuenta es la necesidad de investigar el negocio generado por estas amenazas, la dimensión de su verdadero impacto, las motivaciones que se esconden detrás de su desarrollo
y la manera en la que operan los ciberdelincuentes, alimentando una economía clandestina que crece
exponencialmente día a día. Un modelo de negocio delictivo que en la actualidad es ampliamente explotado a través de Internet y que hoy se conoce como cibercrimen, según fuera definido en el capítulo
precedente.
Otra característica que acompaña este escenario es el encadenamiento de ataques, de manera que
combinando distintas herramientas tecnológicas y mecanismos de engaño, es posible alcanzar a un número cada vez mayor de equipos conectados, desmaterializando el concepto de fronteras organizacionales o nacionales. Asimismo, el fuerte desarrollo de la banda ancha ha permitido el rápido crecimiento
de la cantidad de computadoras domésticas que navegan por Internet, lo cual representa un incremento
importante de medios para cometer ataques sobre otros individuos o entidades, sin que la víctima siquiera lo perciba. El usuario común se transforma así en un partícipe involuntario de un ataque informático, pudiendo inclusive verse afectado por acciones legales. Por otra parte, el uso masivo de teléfonos
celulares para navegar en Internet, conectarse a redes sociales, acceder al correo electrónico y otras
actividades también representa un verdadero desafío en términos de seguridad.
Un informe publicado 11 en junio de 2012 indicaba que según la firma ESET, la infección por códigos maliciosos en Latinoamérica y El Caribe, había alcanzado al 46,69% de las empresas y mostraba una tendencia incremental año tras año.
11
Ae Tecno - Cibercrimen ocasiona cada año pérdidas por US$100 millones en Latinoamérica – 13/08/2012 - Consultado el 02/03/2013 - http://tecno.americaeconomia.com/noticias/cibercrimen-ocasiona-cada-ano-perdidaspor-us100-millones-en-latinoamerica
Julio 2013 – Pág. Nº 18/185
sociedad civil
Como puede apreciarse, el panorama es completamente diferente al que se presentaba en los primeros
tiempos, pudiendo observarse amenazas más complejas y sofisticadas, más agresivas, mejor dirigidas y
con intenciones más claras y concretas.
A manera de ejemplo, el malware sigue creciendo a decenas de miles de ejemplares por día, los sitios
web maliciosos se han incrementado en un 600% en el año 2012 y aproximadamente el 85% de ellos
corresponde a sitios legítimos que han sido comprometidos.
La violación de datos (fuga de información) se ha incrementado de manera preocupante habiendo producido más de 200 millones de identidades expuestas en 2011, mientras que entre 2005 y 2010 este
número había sido de aproximadamente 800 millones. Por otro lado, el origen de las mismas ha pasado
del robo de latpos o notebooks al ataque externo.
También han ido aumentando en gran medida los ataques dirigidos para llevar a cabo acciones de espionaje, sabotaje, protestas sociales y ciberguerra. Es por ello que países más avanzados y más expuestos a este tipo de eventos, como Estados Unidos, el Reino Unido o China, han comenzado a invertir en la
formación de recursos humanos y la conformación de unidades organizativas para la prevención y detección del cibercrimen así como en los mecanismos de defensa a nivel nacional.
Respecto de Latinoamérica y El Caribe, los especialistas opinan que el cibercrimen se está expandiendo,
fundamentalmente por el alto crecimiento económico en muchos países y porque los negocios de estas
organizaciones criminales dejan ganancias semejantes o inclusive superiores, a las de otros delitos de
gran envergadura. 12
En particular, la región está experimentando desde finales de 2009 la aparición y crecimiento del crimen
cibernético local. Es decir, criminales locales han comenzado a generar sus propios recursos delictivos
inspirados en los negocios fraudulentos de Europa del Este.
Países como Perú y México han sido los primeros en implementar recursos delictivos del tipo crimeware
desarrollados para automatizar la tarea de recolección de información sensible de los usuarios bancarizados de toda América Latina y El Caribe. A ellos se suma Brasil, durante el 2011, con crimeware de similares características que no sólo son concebidos para controlar equipos infectados sino que también
están pensadas para facilitar a los delincuentes digitales el “proceso de búsqueda y filtrado” de toda la
información robada. 13
Una cuestión que se va perfilando día a día es la clara distinción entre los objetivos de los actos ilícitos o
delictivos perpetrados por los cibercriminales. Por un lado se encuentran los grupos que dirigen sus
ataques a las personas en particular, ya sea accediendo a sus equipos (de escritorio o móviles) persona12
iProfesional.com - El ciber crimen mueve tantos millones como el narcotráfico y se expande en toda la región –
Fecha de consulta: mayo/11 - http://negocios.iprofesional.com/notas/106780-El-cibercrimen-mueve-tantosmillones-como-el-narcotrafico-y-se-expande-en-toda-la-region
El país.com - Guillaume Lovet: "El cibercrimen es más rentable que el tráfico de heroína" – Fecha de consulta:
mayo/11
http://www.elpais.com/articulo/portada/Guillaume/Lovet/cibercrimen/rentable/trafico/heroina/elpepisupcib/20
100422elpcibpor_4/Tes
13
b:secure - El despertar del crimeware en América Latina - Publicado el 10/09/2012 - Consultado el 11/04/2013 http://www.bsecure.com.mx/opinion/el-despertar-del-crimeware-en-america-latina/
Julio 2013 – Pág. Nº 19/185
sociedad civil
les o a sus credenciales en las redes sociales; los que los dirigen a las organizaciones con el objetivo de
robar información de personas pero en forma masiva (fuga de información) y los que apuntan a robar
información sensitiva como propiedad intelectual o secreta, o a producir daños en corporaciones, organismos nacionales o internacionales, gobiernos, así como en infraestructuras críticas (incluidos en el
amplio espectro de ciberespionaje, ciberterrorismo, ciberactivismo, ciberguerra, etc.)
Quiénes son los cibercriminales
Los actos ilícitos y los delitos han existido prácticamente desde el origen de la humanidad, y quienes los
cometen manifiestan motivaciones que van desde la revancha a la curiosidad, la ambición excesiva, la
necesidad, el beneficio económico o el placer de romper las reglas, entre otras. Sin embargo, las maneras en que se cometen han cambiado significativamente en el tiempo. Así, hoy nos enfrentamos a los
cometidos usando las tecnologías o bien aquellos que las tienen como blanco. En este contexto, los delincuentes buscan explotar las debilidades de las tecnologías, los vacíos en la legislación y la falta de
concientización de los usuarios, así como el alcance global de Internet y su rápida expansión, factores
que facilitan la comisión de viejos delitos o actos ilícitos con nuevas herramientas.
El siguiente cuadro es una adaptación del publicado por la Australian Crime Commission 14 y compara
algunos delitos tradicionales con sus equivalentes en el mundo de las tecnologías.
Delitos tradicionales
Fraude
Ciberdelito equivalente
Fraude en línea, subasta fraudulenta, estafa por solicitud
de adelanto de fondos a través de Internet
Hurtos menores/daño ma- Hackeos, ataques de software malicioso, denegación de
licioso
servicios
Ofensas contra menores
Sitios web pornográficos, creación de perfiles falsos con
fines pedófilos
Lavado de dinero
Sistemas fraudulentos de pago en línea, mulas, engaño
nigeriano (Nigerian SCAM)
Robo
Robo de identidad, phishing, piratería de software, películas y música, robo de Propiedad Intelectual en soporte
electrónico, sustracción de equipos informáticos y celulares
Acoso
Ciberacoso a adultos y menores
Una característica del escenario actual del cibercrimen es que plantea una relación asimétrica, donde un
número pequeño de personas podría causar un daño enorme en una o varias organizaciones públicas o
privadas, con un alto impacto negativo sobre un número potencialmente alto de usuarios.
14
Australian Crime Commission – Crime Profile Series Cyber Crime – Consultado el 06/05/2011 http://www.crimecommission.gov.au/publications/crime-profile-series/cyber-crime.htm
Julio 2013 – Pág. Nº 20/185
sociedad civil
Como con otro tipo de actos de esta naturaleza, el perfil del atacante también ha ido cambiando con el
tiempo. En el campo de la cibercriminalidad, puede afirmarse que no existe un único tipo de cibercriminal, sino varios en base a las motivaciones, la oportunidad y los recursos con los que cuentan.
Si bien a la hora de clasificar a los ciberatacantes, existen diferentes criterios algunos de los cuales se
irán presentando a lo largo de la presente investigación, un informe del Reino Unido 15 identifica 4 grandes categorías:
•
•
•
•
Los servicios extranjeros de inteligencia, que tienden a estar fuertemente organizados y a utilizar
técnicas de ataque sofisticadas y amplios recursos.
Las grandes redes del crimen organizado, que focalizan cada vez más su atención en la ciberdelincuencia porque ofrece una mayor rentabilidad frente a una inversión mínima y un riesgo relativamente bajo. Las redes más sofisticadas con contactos globales, se concentran en el espionaje industrial mientras que aquellas con menor nivel de organización se vuelcan al robo de datos y a los engaños en línea de gran escala.
Las organizaciones legítimas pero de dudosa reputación, que buscan hacerse de datos de propiedad
intelectual de otras organizaciones o del espionaje industrial para obtener datos sensibles de otras
entidades. Estas actividades pueden ser efectuadas en forma directa o a través de otras organizaciones delictivas, a las que se contrata.
Las personas que individualmente o en grupos pequeños tienen por objetivo las organizaciones vulnerables o los usuarios comunes y se focalizan en las ganancias que pueden obtenerse del robo de
identidad, la sustracción de datos de clientes, los engaños en línea de menor escala, la extorsión o
las infecciones por software malicioso.
El informe de Australia antes citado por su parte, distingue tres tipos de organizaciones en el campo del
cibercrimen:
•
•
•
Grupos organizados de delincuentes tradicionales que emplean las tecnologías de la información y
las comunicaciones para potenciar sus actividades criminales
Grupos organizados de cibercriminales que operan exclusivamente en línea
Grupos organizados de personas motivados por ideologías o posturas políticas extremas
Objeto del cibercrimen
A diferencia de los ilícitos o delitos convencionales, en los que el dueño o custodio del o los bienes sustraídos pierde la tenencia del bien, en el caso del robo de información, no suele haber pérdida física, por
lo que los mecanismos de alerta y detección tienen características distintas.
Otra de las particularidades de este tipo de actividades es la facilidad con que pueden borrarse las evidencias y las dificultades para identificarlas y preservarlas cuando no se es un especialista o no se cuentan con las herramientas adecuadas para su resguardo. Es también un atractivo para los cibercriminales,
15
Cabinet Office of United Kingdom - The cost of Cyber crime - A Detica report in partnership with the Office of
Cyber Security and Information Assurance in the Cabinet Office” – Consultado el 24/03/2011 http://www.cabinetoffice.gov.uk/resource-library/cost-of-cyber-crime
Julio 2013 – Pág. Nº 21/185
sociedad civil
la desmaterialización de las fronteras nacionales u organizacionales, que habilita al delincuente a acceder a su blanco sin prácticamente moverse de su silla, a miles de kilómetros de sus eventuales víctimas.
Adicionalmente, puede utilizar distintos caminos y recorridos en su afán de dificultar cualquier rastreo.
Por otro lado, y dada las asimetrías en las legislaciones, no es clara la tipificación. Todas estas características lo diferencian de los delitos tradicionales y crean un escenario propicio para el desarrollo de las
actividades delictivas en el mundo virtual.
En el caso de información sustraída a organizaciones, el informe del Reino Unido referido establece que
los cibercriminales tienen básicamente cuatro formas de robar la información:
•
•
•
•
Comprar el producto y someterlo a un proceso de ingeniería reversa para reproducirlo ilícitamente
Realizar un ciberataque para obtener electrónicamente la información, desde fuera de la red de la
organización
Realizar un ataque interno, de manera que los datos son obtenidos por alguien que tiene algún nivel
de autorización desde dentro de la propia organización
Robar la información, mediante el acceso físico al equipamiento donde se encuentra instalado o
hurtándola de alguno de los empleados.
Julio 2013 – Pág. Nº 22/185
sociedad civil
Capítulo III – Las Ciberamenazas en cifras
Introducción
Con el objetivo de conocer la actividad desarrollada por el cibercrimen se accedió a la información que
brindan los laboratorios de las empresas proveedoras de soluciones de seguridad, así como la que proveen agrupaciones de investigadores independientes y organizaciones gubernamentales y privadas que
se dedican al análisis de estas actividades.
En general, son las empresas proveedoras de soluciones de seguridad y los grupos de investigadores
independientes las que han desarrollado productos y servicios que permiten la recolección, a través de
equipamiento específico y del aporte de sus clientes, de valiosos datos sobre amenazas y los diversos
vectores de ataque. Dichos datos son luego analizados por equipos de investigadores, generando reportes sobre la actividad maliciosa global, por región y/o país, enmarcados en diferentes períodos de tiempo.
Dichas herramientas son distribuidas a través de todo el mundo utilizando hardware de gran capacidad
para el procesamiento de miles de millones de piezas digitales por día.
En general participan de esta recolección de datos la extensa comunidad de empresas antifraude, proveedores de seguridad y millones de consumidores.
Asimismo, se recolecta MALICIOUS CODE INTELLIGENCE en millones de sistemas cliente, servidores y
además de capturar amenazas y ataques, a través de redes de HONEYPOTS, lo cual permite
comprender mejor los métodos utilizados por los atacantes.
GATEWAYS,
Otras tecnologías pasibles de ser usadas son los HONEYCLIENTES, REPUTATION SYSTEMS, MACHINE LEARNING y
GRID COMPUTING.
Es importante destacar que las diferentes compañías cuentan con bases de datos generadas en algunos
casos desde hace más de dos décadas. Por ejemplo, Symantec mantiene una base de datos sobre vulnerabilidades que contiene más de 50.000 vulnerabilidades registradas, que afectan a más de 43.000 productos provistos por más de 16.000 proveedores. Asimismo mantiene una red de 69 millones de sensores de ataques. Panda Security, posee una base de datos de aproximadamente 134 millones de piezas
digitales, entre los cuales hay 60 millones de código malicioso. Websense Inc. basa su capacidad en una
red internacional que le permite procesar varias decenas de millones de correos electrónicos y sitios
webs por hora. A su vez, McAfee Inc. cuenta con una red de millones de sensores en Internet, alrededor
del mundo.
En general, los resultados de la investigación que las mencionadas organizaciones realizan son expresados en porcentajes y, si bien en algunos casos se aclara que se utiliza registros no duplicados, no se
menciona la cantidad resultante de registros analizados.
Cabe señalar que esta información que resulta sumamente valiosa, no puede ser considerada “estadística” ya que no es recolectada según la metodología del muestreo estadístico y tampoco constituye el
cien por ciento de las piezas digitales que circulan por las redes extendidas por todo el mundo, ya que
esto resulta hoy prácticamente imposible. Sin embargo, dada la magnitud de los volúmenes procesados,
Julio 2013 – Pág. Nº 23/185
sociedad civil
sin duda alguna permite una buena aproximación, sobre todo cuando es posible demostrar que diferentes organizaciones llegan a la misma o muy semejante conclusión a pesar de los, algunas veces, diferentes enfoques y capacidades.
La tarea de armado de cuadros comparativos y de relaciones entre compañías para el período en estudio ha resultado ardua, habiendo encontrado coincidencias interesantes pero también varias diferencias.
La realidad es que se trata de una actividad tan cambiante y dinámica, producto en parte de la acción y
reacción de atacantes y defensores, que es bastante difícil conseguir resultados semejantes; fotografías
en momentos distintos pueden generar interpretaciones disímiles. Más adelante se ensaya una explicación de esta situación.
Por otro lado, también influye en los resultados la distribución y capacidad de las redes de recolección
de datos. Éstas van mutando a medida que cambian los escenarios. Si bien se entiende que las compañías u organizaciones independientes deben utilizar indicadores proporcionales, no todas lo explican
claramente como para validar el criterio.
De todos modos, los valores consignados en este informe surgen, en todos los casos posibles, de la obtención de resultados semejantes entre varios investigadores.
Además de los métodos de recolección previamente explicados, otras organizaciones como los CERTs o
aquéllas dedicadas al servicio de ayuda a las víctimas utilizan metodologías como el análisis de reportes
de incidentes recepcionados, o como las consultoras, que realizan encuestas sobre la ocurrencia e impacto de ciertos eventos. Todas las fuentes hasta aquí mencionadas dan sustento al presente informe.
Objetivo y alcance del capítulo
El objetivo de este capítulo es presentar las amenazas, entendidas como los mecanismos utilizados por
los cibercriminales para atacar las tecnologías de información o bien utilizarlas como medio de ataque,
con el objetivo de producir daño, generar ganancias o lograr objetivos estratégicos a través de los individuos u organizaciones impactadas por la materialización del riesgo asociado a dichas amenazas. Asimismo, se muestra las vulnerabilidades que presentan tanto los sistemas operativos como las diferentes
aplicaciones y productos. En todos los casos se expone cifras representativas de la situación mundial, de
la de los países latinoamericanos y del Caribe, respecto de aquélla y de la región en particular.
En el informe anterior se presentó los resultados de una investigación realizada para los años 2009 y
2010, descartando años anteriores por considerar que ante un escenario tan cambiante y vertiginoso,
presentarían un panorama que podría ser calificado como antiguo. En este informe se avanzó con el
análisis de los años 2011 y 2012 con la perspectiva de mostrar la evolución del tema. En todos los casos
en los que fue posible se presenta un gráfico evolutivo a partir del primer quinquenio de este siglo.
En este nuevo informe, en virtud del volumen de información, se decidió armar un capítulo abocado
exclusivamente a las cifras y otro dedicado a detalles técnicos que pueden servir tanto para el análisis
como para el entendimiento de las diferentes amenazas y riesgos asociados.
Julio 2013 – Pág. Nº 24/185
sociedad civil
Así como en el primer informe se incluyó una exposición de las tendencias que los expertos previeron
para el año 2011, en éste se incluye las previstas para el 2013.
Más allá del estudio de las cifras, un análisis muy interesante a realizar en investigaciones futuras es el
de la evolución de las ciberamenazas, sus herramientas, el cibercrimen y otros fenómenos similares.
Lamentablemente, no es posible incluirlo en este informe pues es de una envergadura superior a la que
se ha planteado en el alcance. De todos modos, donde se hace posible o se cree de utilidad para el lector se agrega algunos detalles técnicos.
Metodología
En primera instancia se relevó la información existente respecto del objeto de estudio y correspondiente
a los años que componen el alcance del informe.
Posteriormente fue necesario conciliar los datos entre las diferentes fuentes encontradas con el fin de
verificar su consistencia, la coincidencia de las amenazas y vulnerabilidades tratadas, así como la presentación de las cifras de modo de confirmar que fueran comparables y, en algunos casos convertir o interpretar las diferentes unidades de medida utilizada por las fuentes consultadas.
El modo de presentación de los resultados consiste en mostrar información obtenida de diferentes
compañías y organizaciones por cada período, consolidándola en un resumen final por cada fenómeno
en estudio. Se ha optado por presentarlos de esta manera en virtud de que las organizaciones proveedoras de datos no presentan reportes totalmente consistentes entre sí, respecto del tratamiento de
dichos fenómenos.
En todos los casos se incluye la definición de la amenaza y las cifras encontradas. En el capítulo IV se
incluye detalles técnicos, así como comentarios respecto de los efectos, estados o bien situaciones más
significativas.
Dada la región sobre la que trata este informe sólo se muestra información, ya sea la posición en el ranking mundial o el detalle del ranking de la región, de aquellas compañías y organizaciones que brindan
datos de Latinoamérica y El Caribe.
Algunas consideraciones sobre la información analizada
Si bien puede parecer obvio, vale recordar que para realizar el análisis de una situación es necesario
contar con abundantes datos y/o información sobre la misma. En el caso en tratamiento, los mayores
proveedores de información son las empresas dedicadas a comercializar productos de seguridad, además de algunas pocas organizaciones sin fines de lucro. Alguien podría decir que dichas compañías pueden tener un enfoque sesgado, justamente porque defienden una postura. Cosa que podría ser cierta
pero caben los siguientes interrogantes: ¿quiénes sino estas entidades disponen de los recursos y la
logística para encarar tamaña tarea? ¿Es aquella sospecha un elemento válido para desechar el volumen
de información que manejan? ¿No es más inteligente tomar esa información y desmenuzarla, entenderla, compararla, sacar conclusiones y hacer aportes que conduzcan a una mejora de sus resultados?
Por otro lado, es necesario tener en cuenta que los productos que comercializan dichas compañías deben brindar efectivas soluciones pues, de lo contrario, nadie los usaría. Ésta es una razón más que sufi-
Julio 2013 – Pág. Nº 25/185
sociedad civil
ciente para que sus investigaciones traten de lograr un exhaustivo conocimiento de las situaciones que
ellas pretenden controlar con sus servicios.
Ahora bien, a continuación se presenta algunas cuestiones que, si bien no son suficientes o no son mensurables o conocidas por nosotros como para cuestionar los resultados reflejados por las organizaciones
proveedoras de datos, aportan algunas dudas sobre los mismos.
•
•
•
•
•
•
•
•
No es posible definir los estudios como estadísticos porque no se conoce si las muestras son aleatorias y representativas como las estadísticas requieren. De hecho no lo son pues para serlo debieran
tomar datos de todos los países y posiblemente en cantidades relacionadas con la penetración de la
tecnología en su población.
No son estudios universales porque no toman el 100% de los casos.
No existe una única tipificación de las amenazas ni de los vectores de ataque. Por ejemplo las zombies de SPAM de Symantec Corporation están incluidas dentro del conteo de bots para otras compañías. Los sitios que alojan phishing están incluidos en la medición de sitios web maliciosos para
Mc Afee, pero no lo están para otros proveedores. Es decir, al medir distintos fenómenos, las cifras
que producen son incomparables.
Esta situación acarrea una dificultad, tal vez la más engorrosa/trabajosa, que es la definir correctamente todos los subconjuntos identificando sus componentes, de acuerdo a lo descrito por cada
compañía, y verificar que no haya solapamientos.
Un caso particular es el de los agrupamientos por ciberterrorismo, ciberespionaje, ciberguerra, etc.
En su desarrollo, cada compañía hace su propia tipificación y, algunas veces, ellas colisionan entre sí.
En este caso se ha optado por una solución de compromiso que se explica en el informe.
El que algunos países/regiones no aparezcan en el ranking ¿quiere decir que efectivamente no son
alcanzados por la amenaza que se está evaluando o que la compañía no tiene sensores o no son suficientes en ese país o región? Más adelante en este capítulo se muestra un claro ejemplo.
Puede suponerse que las estrategias de defensa de los proveedores, a partir de la visión que han
adquirido como resultado de sus investigaciones, generan un enfoque diferente de sus reportes y,
por lo tanto, presentan resultados que son incomparables con el resto o no presentan datos sobre
algún tema, con lo cual las comparaciones entre las compañías no son consistentes en todos los fenómenos. Por ejemplo, Panda Security no muestra resultados sobre el SPAM y Websense, Inc, no los
muestra sobre las vulnerabilidades.
Es cierto que algunas actividades maliciosas pueden verse desde varios ángulos. Por ejemplo el
phishing se puede medir por la cantidad de correos que contienen enlaces de phishing y también
por la cantidad de sitios web dedicados a su alojamiento.
Las compañías van cambiando año a año los temas que van analizando, en parte porque siguen el
comportamiento de la realidad, con lo cual se hace muy difícil realizar el seguimiento y establecer la
representatividad de los resultados.
Asimismo, algunas mediciones se realizan en valores absolutos y otras en porcentaje. Algunas muestran porcentaje por país en el mundo y otras muestran porcentajes o valores absolutos por algún tipo (de ataque, de vector, de host, etc.)
Julio 2013 – Pág. Nº 26/185
sociedad civil
•
•
También hay diferencias pues algunos analizan los países atacantes y otros los que son víctima e
inclusive, se plantea el problema de que el país donde se encuentra el equipo atacante no necesariamente es el país de origen del actor.
Cuando se compara distintas versiones de un sistema operativo o producto, no se tiene en cuenta el
tiempo que el mismo tiene en el mercado y por ende, su distribución. Por consiguiente, no se conoce la distribución del universo, dato importantísimo para considerar el tamaño y calidad de la muestra. A manera de ejemplo, si actualmente, mediados de 2013, comparamos Windows XP con Windows 7 respecto de cualquier amenaza, salvo que se refiera puntualmente a una vulnerabilidad de
alguno de ellos, siempre vamos a encontrar un mayor porcentaje de afectados en Windows XP porque hay mayor cantidad de usuarios de esa plataforma y, además, tiene la mayor penetración.
Un tema muy importante es que no todas las compañías ofrecen cifras para Latinoamérica y El Caribe,
por lo tanto en algunos casos sólo es posible tomar los valores entregados por una única compañía, lo
cual no debe interpretarse como que se la está privilegiando en la selección, sino que no hay otro dato
con el cual comparar.
La realidad es que no se conoce la distribución de los equipos sensores, ya sea servidores o de los clientes, como para tener una clara idea de su proporción respecto de la cantidad de usuarios y/o de la penetración de la tecnología en cada país/región.
En este sentido podemos decir que otro tema de estudio muy interesante es dimensionar la red inteligente de cada compañía, sus herramientas, metodología, etc. Lamentablemente este objetivo no está
incluido en el alcanza de este informe.
Asumiendo que no es posible diferenciar los servidores de las compañías ya que el tráfico podría pasar
por varias compañías simultáneamente, tema que habría que investigar, algo que sería necesario conocer es la cantidad y distribución de los productos cliente, ya que éstos sí son únicos. Es decir un cliente
no puede ejecutar la misma funcionalidad de software de varias compañías simultáneamente. En otras
palabras si utiliza un producto de Panda no puede utilizar el de Symantec.
Tomemos el siguiente ejemplo:
Cía A
Cía B
Totales
Total de clientes en un país
1250
1135
2385
Clientes con malware
478
634
1112
Porcentaje de malware
38,24%
55,85%
46,62%
Es decir, ninguna de las compañías nos da un valor que pueda ser asumido como el real. Tendríamos
que tomar la suma de los valores absolutos de todas las compañías. Esta afirmación podría ser considerada una perogrullada, pero no es tan simple. La conclusión es que para hacer un verdadero análisis del
posible impacto de cualquier índole, es necesario tomar los valores de todas las organizaciones que
aportan datos en la materia. Ahora bien, para ello debería ser posible discriminar los valores según los
recursos empleados para obtenerlos.
Julio 2013 – Pág. Nº 27/185
sociedad civil
El panorama actual respecto de los valores aportados por las compañías podría ser representado de
manera simplificada por el siguiente modelo, si fuera posible contar con los valores absolutos:
Org. B
Cía. A
Cía. C
Universo
Como es posible observar, sólo la coordinación entre todas daría valores exactos de los cibercrímenes
ocurridos, con casi la certeza de no poder ejercer un análisis de campo previo, sino únicamente instalar
defensas que a priori no pueden ser consideradas efectivas debido al cambiante mundo de los ciberataques.
Pero lo que es peor, es que aun teniendo todo este conocimiento no es posible conocer el impacto en
cantidad de víctimas ni el tipo de daño preciso que éstas han sufrido.
Una aproximación sobre la actividad global en el ciberespacio
Como se ha mencionado en la introducción, las cifras resultantes de las investigaciones realizadas por
los expertos, en general son expresadas en porcentajes.
Con el objeto de que el lector pueda establecer alguna relación respecto de la magnitud del fenómeno,
a continuación se incluye valores sobre la actividad cibernética en el período 2009 a 2012. Es importante
visualizar la variación de los valores.
Julio 2013 – Pág. Nº 28/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
DATOS 2010
16
(Cuando el valor no
corresponde al
final de 2010 se
indica)
Aclaraciones
DATOS 2012
17
(Cuando el valor
no corresponde al
final de 2012 se
indica)
Aclaraciones
Correo Electrónico
Número de correos electrónicos
enviados en Internet
107 billones
Promedio de número de correos
electrónico por día
294 mil millones
52,5 billones
Según Radicati Group, los corporativos son
319.000 por día y considera que son sólo el
25%
de
todos
http://www.radicati.com/wp/wpcontent/uploads/2010/04/Email-StatisticsReport-2010-2014-Executive-Summary2.pdf
(Una vez conocida la fuente de datos del
2012, se la consultó para 2010)
144 mil millones
Cálculo a partir de la cantidad diaria informada por el Radicati Group.
Según Symantec (2011) 20,44 billones de correos electrónicos anuales. Se obtiene de 42 mil millones por día de SPAM,
por 365 dividido el 75%. Ya que el SPAM total es el 75% del
total de correos.
Según Radicati Group aquí son los corporativos más los consumidores - http://www.radicati.com/wp/wpcontent/uploads/2012/10/Email-Market-2012-2016Executive-Summary.pdf
16
Pingdom – Compañía Sueca que se dedica al monitoreo de los sitios web de las organizaciones que la contratan con el fin de detectar cualquier posible caída del mismo – Consultado
el 28/05/2011 - http://royal.pingdom.com/2011/01/12/internet-2010-in-numbers/
17
Pingdom – Compañía Sueca que se dedica al monitoreo de los sitios web de las organizaciones que la contratan con el fin de detectar cualquier posible caída del mismo – Consultado
el 06/02/2013 - http://royal.pingdom.com/2013/01/16/internet-2012-in-numbers/. En el año 2012, Pingdom mostró la fuente del dato y es por ello posible hacer las aclaraciones que
figuran en cada caso.
Mayo 2013 – Pág. Nº 29/185
Número de usuarios de correos
electrónicos en el mundo
1,88 mil millones
Nuevos usuarios de correo electrónico desde el año anterior
480 millones
Número de cuentas de correo
electrónico en el mundo
2,9 mil millones
Según Radicati Group, a un promedio de 1,6
cuentas por usuario. Pingdom lo calculó aproximadamente. (Idem anterior)
2,1 mil millones
Según Radicati Group, el mercado del correo electrónico
continúa mostrando un fuerte crecimiento en términos
tanto de usuarios como ganancias. En 2012, estiman que
existen aproximadamente 2,1 mil millones de usuarios en
todo el mundo, incluyendo ambos tipos, corporativos y consumidores.
Según Radicati Group, se proyecta un crecimiento del número de cuentas de correo
electrónico de todo el mundo desde alrededor de 2,9 mil millones a aproximadamente
3,8 mil millones para 2014. (Idem anterior)
Sitios web
Número de sitios web
255 millones
634 millones
Netcraft - Número de sitios web - (Diciembre 2012) - Las
URL son muchas más (aprox. 15 mil millones)
(http://news.netcraft.com/archives/2012/12/04/december2012-web-server-survey.html).
Creados durante el año
21.4 millones
51 millones
Netcraft
(http://news.netcraft.com/archives/2012/12/04/december2012-web-server-survey.html)
329
www.iana.org
246 millones
http://www.verisigninc.com/assets/domain-name-briefdec2012.pdf
Nombres de dominio
Número de dominios de alto
nivel (TLD - top level domains)
Número total de nombres de
dominio registrados a través de
todos los TLD
202 millones a Octubre
Mayo 2013 – Pág. Nº 30/185
Número de dominios de nivel
superior por código de país (ej.
.CN, .UK, .DE, etc.)
Número de .COM
79,2 millones
104,9 millones
Idem anterior
88,8 millones
100 millones
Idem anterior
Número de .NET
Número de .ORG
Número de .info
13,2 millones
8,6 millones
14,1 million
9,7 million
6,7 million
Idem anterior
Idem anterior
Idem anterior
2,2 million
Idem anterior
7% – sobre el
año anterior
13,18 % sobre 2010
Se tomó datos de Verisign calculando 9.8% de crecimiento
en 2011 sobre 2010 y 12% de 2012 sobre 2011= 13,176%
Número de usuarios de Internet
en el mundo
1,97 mil millones - a junio
2,4 mil millones – a junio
http://www.internetworldstats.com/
Incremento de usuarios de Internet
14% – desde el
año anterior
21,82% - desde 2010
Calculado a partir del dato anterior
en Asia
en Europa
– Número de usuarios de Internet en América del Norte
en América Latina y el Caribe
825,1 millones
475,1 millones
1,1 mil millones
519 millones
266,2 millones
274 millones
204,7 millones
255 million
en África
en el Oriente Medio
110,9 millones
167 million
63,2 millones
90 million
Número de .biz
Incremento de nombres de
dominio
Usuarios de Internet
Mayo 2013 – Pág. Nº 31/185
en Oceanía / Australia
21,3 millones
24,3 million
Número de personas en Facebook
600 millones
1000 millones
- a Octubre
Facebook - En realidad el número corresponde a los usuarios
mensualmente activos, lo cual supone al menos 1000 activos
totales.
Número de nuevos usuarios de
Facebook
250 millones
Porcentaje de usuarios de Facebook localizados fuera de los
Estados Unidos
Número de aplicaciones de
Facebook instaladas por días
70%
Número de trozos de contenidos (links, notas, fotos, etc.)
compartidos en Facebook por
mes
Número de personas en Twitter
30 mil millones
200 millones
Twitter - En realidad el número corresponde a los usuarios
mensualmente activos, lo cual supone al menos 200 activos
totales.
Número de nuevas cuentas
creadas en Twitter
Número de mensajes por Twitter
100 millones
63,875 mil
millones
Calculado a partir del número promedio de tweets enviado
por día (dato de Sirona Consulting - Especialistas en contratación de personal)
http://www.slideshare.net/linkedin/earnings-deck-2012-q3final
Redes sociales
20 millones
175 millones a Setiembre
25 mil millones
Número de miembros en LinkedIn
187 millones a Setiembre
Mayo 2013 – Pág. Nº 32/185
Número de usuarios en Google+
135 millones
En realidad el número corresponde a los usuarios mensualmente activos, lo cual supone al menos 135 millones activos
totales. http://googleblog.blogspot.se/2012/12/googlecommunities-and-photos.html (Blog oficial de Google)
Número de suscripcionescuentas-SIM_prepagas móviles
6,7 mil millones
Número de usuarios de teléfonos móviles
4,3 mil millones
http://communitiesdominate.blogs.com/brands/2012/12/latest-mobilenumbers-for-end-of-year-2012-this-is-gettinghumongous.html
Idem anterior
Número de teléfonos móviles
(dispositivos físicos)
5,3 mil millones
Idem anterior
Número de smartphones en uso
en todo el mundo
Videos
1,3 mil millones
Idem anterior
4 mil millones
http://youtube-global.blogspot.se/2012/12/youtube-inrewind-what-you-were.html
Número de blogs en Internet
152 millones –
Según BlogPulse (www.blogpulse.com)
Móviles
Número de videos mirados por
día en YouTube
2 mil millones
Número de horas de video mirados en YouTub por mes
Horas de video cargadas en
YouTube cada minuto
35
Número de videos mirados en
Facebook por mes
2+ mil millones
Número de videos cargados en
Facebook por mes
20 millones
Mayo 2013 – Pág. Nº 33/185
Número de visitantes únicos
para video en Google Sites
150.648.303 a Setiembre
http://www.comscore.com/Insights/Presentations_and_Whi
tepapers/2012/State_of_the_Internet_in_Q3_2012
Número de fotos cargadas en
Facebook por día
300 millones
http://gigaom.com/cloud/facebook-has-220-billion-of-yourphotos-to-put-on-ice/
Número de fotos cargadas cada
segundo en Instagram
58
http://www.digitalbuzzblog.com/infographic-instagramstats/
Imágenes
Flickr
5 mil millones –
a Setiembre
Número de fotos cargadas por
mes en Flickr
130 millones
Facebook por mes
3+ mil millones
Mayo 2013 – Pág. Nº 34/185
A continuación se realiza el análisis de cada uno de los fenómenos en estudio.
Fuente: Pingdom
Mayo 2013 – Pág. Nº 35/185
Ciberdelito en América Latina y el Caribe: una visión desde
la sociedad civil
Actividades maliciosas en su conjunto
Situación global
En este punto se muestra la situación respecto de algunas actividades maliciosas 18 analizadas de manera
agregada y a nivel global por país.
Se ha seleccionado información de aquellas compañías que hacen un análisis agregado de varias amenazas o alguna que es el objeto de estudio más importante para la compañía, y que es presentada en términos comparativos respecto de países y/o regiones. En cada caso se menciona la fuente de la información.
SYMANTEC CORPORATION 2012 - 2011
La actividad maliciosa generalmente afecta a las computadoras que están conectadas a Internet por
banda ancha, dado que estas conexiones son objetivos atractivos para los atacantes. Las conexiones de
banda ancha proveen mayor capacidad que otro tipo de conexiones, así como mayor velocidad, el potencial de sistemas conectados permanentemente y generalmente, conexiones más estables. A continuación se presenta las diferentes categoría de actividades maliciosas.
•
•
•
•
•
18
Código malicioso: Incluye programas como virus, gusanos y troyanos que son insertados de manera
encubierta en otros programas. Su propósito incluye destruir datos, ejecutar programas intrusivos o
destructivos, robar información sensible o compromete la seguridad o integridad de los datos de las
víctimas.
SPAM zombies: Éstos son sistemas comprometidos, que se controlan de manera remota, utilizados
específicamente para enviar grandes volúmenes de mensajes de correo electrónico basura (junk) o
no solicitados. Éstos pueden ser usados para distribuir código malicioso o como intentos de phishing.
Anfitriones de Phishing (Phishing hosts): Éstas son computadoras que proveen servicios web (website services) para recolectar información del usuario de manera ilegal simulando que los intentos
provienen de una organización conocida y confiable presentando un sitio web diseñado de manera
semejante, casi igual, al sitio del negocio legítimo.
Equipos infectados con Bot (usualmente denominados BOT): Se trata de equipos comprometidos, a
través del uso de programas maliciosos, para permitir a los atacantes controlarlos remotamente.
Generalmente, un atacante remoto controla un gran número de computadoras comprometidas, a
través de un simple y confiable canal en una botnet, el cual puede ser usado para lanzar ataques
coordinados. En la mayoría de los casos los usuarios desconocen que su equipo está siendo utilizado
para lanzar ataques.
Ataques originados en la red: Este indicador mide las fuentes originarias de ataques desde Internet.
Por ejemplo, los ataques pueden dirigirse a protocolos SQL o vulnerabilidades de desbordamiento
de búfer.
Malicious Activity - Terminología usada por Symantec Corporation
Julio 2013 – Pág. Nº 36/185
la sociedad civil
•
Ataques originados en la web: Este indicador mide las fuentes originarias de ataques que son distribuidos vía la Web o a través de HTTP. Generalmente se compromete sitios web legítimos y se los
usa para atacar a los visitantes desprevenidos.
Cabe señalar que en su reporte correspondiente al año 2012, Symantec Corporation no ha presentado
su acostumbrada separata por región, razón por la cual en todos los casos, la situación para Latinoamérica y El Caribe se utilizó el reporte correspondiente a 2011.
Symantec Corporation - Actividad maliciosa global por país – 2012-2011
19
19
Symantec Corporation – Internet Security Threat Report (ISTR), 2012 Trends, Volume 18, Published April 2013 –
Consultado el 05/05/2013 - http://www.symantec.com/content/en/us/enterprise/other_resources/bistr_appendices_v18_2012_221284438.en-us.pdf
Julio 2013 – Pág. Nº 37/185
la sociedad civil
Symantec Corporation - Actividad maliciosa global por país – 2010
20
Symantec Corporation - Actividad maliciosa global por país – 2009
21
WEBSENSE, INC 2012 - 2011
Para referirse a las actividades maliciosas en su conjunto, Websense, Inc. utiliza términos como espectro
global de posibles amenazas 22, en el que incluye las amenazas de la web, de las redes sociales, de los
dispositivos móviles, del correo electrónico, del malware y la pérdida de información.
Un primer indicador de la actividad cibercriminal es el crecimiento de los Web links maliciosos, el cual
fue de un 600% durante 2012, mientras que en el 2011 alcanzó el 100%. Nótese que Websense direcciona todas sus estadísticas hacia la web. Por ejemplo en 2009 y 2010 muestra el hosting del malware.
En el Capítulo IV, bajo el subtítulo Actividad Maliciosa en su Conjunto - Websense se desarrolla la justificación de esta postura.
A continuación se muestra un panorama del crecimiento de los Web links maliciosos por región.
20
Symantec Corporation - Government Internet Security Threat Report Trends for 2010 – Consultado el
20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf
21
Symantec Corporation - Global Internet Security Threat Report Trends for 2009 – Consultado el 20/04/2011 http://a248.e.akamai.net/f/248/41008/14d/ig.rsys3.net/responsysimages/smemea/__RS_CP__/20959302_GA_RP
T_ISTR15_Global_0410.pdf
22
Global Threatscape - Terminología usada por Websense, Inc. threatscape. (n.d.). Definitions.net. Retrieved
March 15, 2013, de http://www.definitions.net/definition/threatscape. También utiliza los términos "Actividad
Cibercriminal" y "Ciberamenaza".
Julio 2013 – Pág. Nº 38/185
la sociedad civil
Websense Inc - Crecimiento de web links maliciosos durante 2011 y 2012
23
23
Julio 2013 – Pág. Nº 39/185
la sociedad civil
Websense Inc. - Actividad maliciosa en el mundo, 2010
24
24
Websense Inc – 2010 Threat Report A Websense White Paper – Consultado el 25/04/2011 –
https://www.websense.com/assets/reports/report-websense-2010-threat-report-en.pdf
Julio 2013 – Pág. Nº 40/185
la sociedad civil
Websense Inc. - Actividad maliciosa en el mundo, 2009
25
PANDA SECURITY 2012 - 2011
Por su parte, Panda Security mide el índice de infección considerando el malware conformado por troyanos, virus, gusanos, adware y spyware e incluye una categoría "otros" sobre el que no especifica su
composición.
25
Websense Inc - A Websense® White Paper Websense Security Labs State of Internet Security, Q3 – Q4, 2009 –
Consultado el 20/04/2011 – https://www.websense.com/assets/reports/WSL_H2_2009.pdf
Julio 2013 – Pág. Nº 41/185
la sociedad civil
Panda Security - Países con mayor índice de infección, 2012
26
Países con mayor índice de infección, 2011
27
Panda Security - Top de países con mayores
28
infecciones, 2010
26
Panda Security – Informe anual Pandalabs Resumen 2012, Consultado el 09/03/2013 - http://prensa.pandasecurity.com/wpcontent/uploads/2013/02/Informe-Anual-PandaLabs-2012.pdf
27
Panda Security – Informe anual Pandalabs Resumen 2011, Consultado el 05/03/2013 - http://prensa.pandasecurity.com/wpcontent/uploads/2012/01/Informe-Anual-PandaLabs-2011.pdf
28
Panda Security – Informe Anual PandaLabs 2010 – Consultado el 27/04/2011 – http://prensa.pandasecurity.com/wpcontent/uploads/2010/03/Informe-Anual-PandaLabs-2010.pdf
Julio 2013 – Pág. Nº 42/185
la sociedad civil
Panda Security - Países con mayor porcentaje de infecciones (enero - noviembre), 2009
29
Situación en Latinoamérica y El Caribe
A continuación se presenta el resultado de las diez (10) primeras posiciones obtenidas del análisis realizado por Symantec Corporation, única compañía encontrada que provee esta información sobre países
latinoamericanos y del Caribe.
•
•
La actividad maliciosa originada en computadoras infectadas en Brasil ha empujado al país al tope
de la tabla como fuente de actividad maliciosa en Latinoamérica y El Caribe (en adelante, LAM) en
2011, mientras que lo coloca en el cuarto puesto a nivel global.
Argentina alcanzó el segundo puesto en el ranking total de LAM, y obtuvo el segundo puesto para
los SPAM zombies, bots y ataques originados en la red en LAM. 30
29
Panda Security – Informe Anual Pandalabs 2009 – Consultado el 27/04/2011 –
http://www.pandasecurity.com/img/enc/Informe_Anual_Pandalabs_2009.pdf
30
Consultado el 08/02/2013 - http://www.symantec.com/content/en/us/enterprise/other_resources/bistr_main_report_2011_21239364.enus.pdf?om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2012Apr_worldwide_ISTR17
Julio 2013 – Pág. Nº 43/185
la sociedad civil
Symantec Corporation - Actividad maliciosa por país, las Américas, 2011
Symantec Corporation - Actividad maliciosa por país, Latinoamérica y El Caribe, 2010
31
Symantec Corporation - Actividad maliciosa por país, Latinoamérica y El Caribe, 2009
32
31
Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos América Latina – Consultado el 04/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR-16Datasheet-LAM-SP.pdf
Julio 2013 – Pág. Nº 44/185
la sociedad civil
Actividades maliciosas en su conjunto - Resumen
Dado que en el tema de las actividades maliciosas tomadas en conjunto influye marcadamente la
orientación del análisis de cada compañía, no destaca claramente un país en particular como el mayor exponente, sino que van ocupando diferentes posiciones dependiendo de la compañía que realiza el análisis. Es por ello que se expresa el resultado de una manera más abarcativa.
Informe sobre 2012-2011
De los datos seleccionados para estos años es posible concluir que entre los 10 primeros exponentes
de las actividades maliciosas en el mundo siempre se encuentra algún país de Latinoamérica (Brasil,
Honduras, Bolivia, Costa Rica y Argentina) y que, según Websense, Inc, la región de Latinoamérica y
El Caribe tuvo un crecimiento superior a la región asiática, quedando posicionada en el tercer lugar,
respecto del indicador de crecimiento de los Web links maliciosos. Es de destacar que comparado
con los dos años anteriores, países que se encontraban en el rango 11-20, ahora están en el rango 110.
En Latinoamérica y El Caribe, los países que están entre los cinco primeros puestos son: Brasil, Argentina, Colombia, México y Chile.
De los datos seleccionados para estos años es posible concluir que Latinoamérica y El Caribe se encuentra entre los cinco (5) o diez (10) primeros puestos en el mundo, representada por Brasil. En el
caso de Panda Software que toma los primeros veinte (20) puestos, incluye también Argentina, Bolivia, Ecuador, Chile, Perú y México.
En Latinoamérica y El Caribe, los cinco primeros países, con alguna variación en el orden son: Brasil,
Argentina, Colombia, México y Chile.
KASPERSKY LAB 2012
Para dar una idea de la diferencia que existe entre las cifras de las distintas compañías, se muestra a
continuación algunos de los resultados de Kaspersky 33.
•
Entre los primeros 20 países que sufren de amenazas de la web (riesgos de infección en línea), no
figura ningún país latinoamericano o del Caribe. En otra clasificación que realiza utilizando niveles de
riesgo, sólo incluye a Ecuador con riesgo medio.
32
Symantec Corporation - Informe de Symantec sobre las Amenazas a la Seguridad en Internet Hallazgos América
Latina – Consultado el 05/05/2011 –
http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR_XV_LAM_Datasheet_SPA.pdf
33
Kaspersky
Lab
Security
Bulletin
2012
Consultado
el
19/02/2013
http://www.securelist.com/en/analysis/204792255/Kaspersky_Security_Bulletin_2012_The_overall_statistics_for
_2012
Julio 2013 – Pág. Nº 45/185
la sociedad civil
•
Tampoco existe ningún país de la región entre los primeros 20 países cuyos usuarios registran
malware en sus equipos y/o dispositivos removibles conectados a la computadora (pendrive, cámaras, discos externos, etc.). Incluye a Brasil como país con riesgo medio.
Cabe señalar que estas estadísticas están basadas en la detección realizada por el módulo antivirus y
enviada a Kaspersky Lab por los usuarios de sus productos que han consentido en proveer este dato
estadístico. Kaspersky excluyó los países en los cuales el número de usuarios es relativamente pequeño
(menor a 10.000). Evidentemente, los países de Latinoamérica y El Caribe se encuentran dentro de este
grupo.
A
CONTINUACIÓN SE EXPONDRÁ ALGUNAS CIFRAS SOBRE DIFERENTES ACTIVIDADES MALICIOSAS, QUE SURGEN
PARA LATINOAMÉRICA EN SU RELACIÓN CON EL RESTO DEL MUNDO Y ENTRE SUS PAÍSES, ANALIZADAS POR VARIAS
COMPAÑÍAS DE SEGURIDAD Y GRUPOS INDEPENDIENTES.
Código malicioso (malicious code)/malware
Éste es uno de los casos donde existe diferente abordaje por parte de las compañías y al mismo tiempo
distintos tipos de mediciones.
Los códigos maliciosos adquieren infinitas formas, atacan diferentes plataformas, cada vez son más sofisticados y aumentan y varían su funcionalidad, desde infectar los equipos para que puedan ser controlados remotamente hasta robar información.
Las compañías investigadoras determinan las familias de códigos maliciosos más relevantes, recolectando datos obtenidos para cada período en estudio y analizando muestras de códigos malintencionados
nuevas y pre-existentes para determinar qué tipos de amenazas y vectores de ataque se emplean con
mayor frecuencia.
El código malicioso es clasificado en familias basándose en variantes de FIRMAS cuando el código es identificado. Las variantes aparecen cuando los atacantes modifican o mejoran los códigos maliciosos para
agregar o cambiar funcionalidades. Estas alteraciones modifican los códigos maliciosos existentes de
manera suficiente para que los sensores de los antivirus no puedan detectar la amenaza a partir de una
FIRMA preexistente.
Panda Security y Mc Afee reportan sobre malware que incluye los típicos códigos maliciosos más
SPYWARE, ADWARE, ROOTKIT, KOUTODOOR, entre otros. Sólo Panda Security efectúa la distribución por país.
Por su lado, Symantec Corporation reporta sobre códigos maliciosos propiamente dichos, definidos en el
párrafo siguiente, y también efectúa una distribución por país. Esta distribución no coincide con la de
Panda Security porque se realiza sobre variables distintas, si se tiene en cuenta que cada una toma un
conjunto diferente de piezas (samples).
Julio 2013 – Pág. Nº 46/185
la sociedad civil
El mercado en general clasifica los códigos maliciosos por el tipo de acción que realizan. Symantec propone cuatro categorías básicas 34: PUERTAS TRASERAS (BACKDOORS), TROYANOS, VIRUS y GUSANOS.
•
•
•
•
Las puertas traseras permiten al atacante acceder de manera remota a las computadoras comprometidas.
Los troyanos son códigos maliciosos que los usuarios instalan inadvertidamente en sus computadoras, ya sea abriendo archivos adjuntos a sus correos electrónicos o bajándolos de Internet. También
pueden ser instalados por otros códigos maliciosos. Difieren de los virus y gusanos en que no se autopropagan.
Los virus se propagan infectando archivos existentes en las computadoras afectadas por código malicioso.
Los gusanos son código malicioso que se puede replicar en computadoras infectadas o de una manera que facilita su copia a otras computadoras, tal como a través de dispositivos de almacenamiento para USB.
Varias amenazas de código malicioso están conformadas por múltiples características. Por ejemplo, las
puertas traseras siempre se categorizan en conjunto con otro código malicioso, típicamente son también troyanos. Sin embargo, muchos gusanos y virus también incorporan funcionalidades de puertas
traseras. Adicionalmente, muchas muestras de código malicioso pueden ser catalogadas como virus o
gusanos debido a la manera en que se propagan. Una razón para esta funcionalidad múltiple es que los
desarrolladores de amenazas tratan de permitir que los códigos maliciosos combinen múltiples vectores
de propagación para incrementar sus posibilidades de éxito en comprometer la computadora bajo ataque.
Situación global
En este tema de estudio, se muestra dos tipos de cifras, a saber:
•
•
Las correspondientes a la representación en porcentaje de los diferentes tipos de código malicioso/malware en el universo de estas amenazas.
La distribución global por país.
Respecto de la representación
Bajo el subtítulo VARIOS 2010-2009, mostramos dos gráficos publicados oportunamente por Symantec
Corporation y Panda Security, que muestran resultados bastante aproximados entre sí, respecto de la
representación del código malicioso según su tipo. En virtud de ello y dado que en su informe actual
Symantec Corporation (2011) no provee esa misma información tomaremos la publicada por Panda
Security.
34
Symantec Corporation - Symantec Government Internet Security Threat Report Trends for 2010 – Consultado el
Julio 2013 – Pág. Nº 47/185
la sociedad civil
Panda Security - Tipo de malware - 2012
35
36
Un dato importante para quienes creen que los equipos MAC son inmunes es el que presenta Panda
Security en su informe 2012. Da cuenta de un troyano, conocido como Flashback, que ha protagonizado
la mayor infección conocida hasta ese año de ordenadores Mac. Más de 600.000 Mac estaban a las órdenes de este troyano, formando una botnet nunca antes vista en esta plataforma. Una de las características más curiosas de este troyano es que antes de infectar el ordenador comprobaba si tenía instalado alguna protección antivirus. En caso afirmativo el ordenador no se infectaba, en caso negativo infectaba el Mac y comenzaba a funcionar.
VARIOS 2010 - 2009
McAfee Inc. informa que durante el 2010 identificó más de 20 millones de piezas nuevas de código malicioso y a lo largo del tiempo ha identificado 55 millones de piezas, de las cuales el 36% fueron creadas
en el 2010. Esto demuestra el crecimiento de este rubro en ese año. 37
Panda Security coincide con los valores de McAfee Inc. en cuanto a la cantidad de piezas nuevas y las
identificadas a lo largo del tiempo; e informa que procesó 134 millones de piezas. 38.
A continuación se presenta un gráfico de la evolución del software malicioso (malware) durante la primera década del siglo, siendo los códigos maliciosos una de sus formas más habituales. En el año 2003
nacieron los troyanos bancarios y el POLIMORFISMO.
35
Panda Security – Informe anual Pandalabs Resumen 2012, Consultado el 09/03/2013 http://prensa.pandasecurity.com/wp-content/uploads/2013/02/Informe-Anual-PandaLabs-2012.pdf
36
Panda Security – Informe anual Pandalabs Resumen 2011, Consultado el 05/03/2013 http://prensa.pandasecurity.com/wp-content/uploads/2012/01/Informe-Anual-PandaLabs-2011.pdf
37
McAfee, Inc. – McAfee Threats Report: Fourth Quarter 2010 – Consultado el 05/04/2011 –
https://secure.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2010.pdf
38
Panda Security – Informe Anual PandaLabs 2010 – Consultado el 27/04/2011 –
http://prensa.pandasecurity.com/wp-content/uploads/2010/03/Informe-Anual-PandaLabs-2010.pdf
Julio 2013 – Pág. Nº 48/185
la sociedad civil
Panda Security - Evolución del software malicioso
39
A continuación se incluye un par de gráficos que muestran la representación de los diferentes tipos de
software malicioso. Se hace notar que en el caso de Symantec Corporation, ésta utiliza códigos maliciosos mientras que Panda Security extiende su análisis a otro tipo de especies. Si comparamos ambos gráficos, el porcentaje correspondiente a los troyanos, el más importante, es casi el mismo para ambas
compañías y el de virus se aproxima bastante.
Symantec Corporation - Proporción de potenciales infecciones por código malicioso
40
39
Panda Security – El Mercado negro del cibercrimen al descubierto – Consultado el 05/05/2011 http://prensa.pandasecurity.com/wp-content/uploads/2011/01/Mercado-Negro-del-Cybercrimen.pdf
Julio 2013 – Pág. Nº 49/185
la sociedad civil
41
Cabe notar que Panda Security no mide los backdoor. Se debe recordar que éstos son generalmente
troyanos.
Para obtener el gráfico que se muestra a continuación, Symantec Corporation analiza muestras de los
50 códigos maliciosos más importantes (ordenados por el volumen de infecciones potenciales reportadas durante el año). Cada muestra es analizada según su habilidad para extraer y exportar información
confidencial, y estos resultados son luego medidos como porcentaje de amenazas a la información confidencial.
40
41
Panda Security – El Mercado negro del cibercrimen al descubierto – Consultado el 05/05/2011 http://prensa.pandasecurity.com/wp-content/uploads/2011/01/Mercado-Negro-del-Cybercrimen.pdf
Julio 2013 – Pág. Nº 50/185
la sociedad civil
Symantec Corporation - Amenazas a la confidencialidad de la información, por tipo
42
Éste es un análisis muy interesante porque apunta al uso que le da el cibercrimen pero no es fácil encontrarlo. De hecho, puede ser considerado es el único de su tipo del que pudimos disponer hasta ahora.
Respecto de la distribución
A continuación, mostramos la distribución de códigos maliciosos por país en el mundo.
42
Julio 2013 – Pág. Nº 51/185
la sociedad civil
Symantec Corporation - Distribución de los códigos maliciosos en el mundo 2012-2011
43
Symantec Corporation - Distribución de los códigos maliciosos en el mundo 2010 - 2009
44
Las cifras obtenidas de Symantec Corporation pueden ser comparadas con las de Panda Security que
figuran en el punto "Acciones maliciosas en su conjunto".
Los valores que surgen en 2010 del informe Symantec Government Internet Security Threat Report,
corresponden a gobierno e infraestructura, pero no ha sido posible encontrar otras.
43
44
Symantec Corporation – Symantec Government Internet Security Threat Report - Publicado en abril 2010 - Consultado en 2011 - http://www.symantec.com/en/uk/theme.jsp?themeid=threatreport
Julio 2013 – Pág. Nº 52/185
la sociedad civil
Symantec Corporation - Distribución de los códigos maliciosos en las Américas 2011
45
ESET 2011
Una muestra analizada por ESET durante abril de 2011 dio la siguiente distribución de troyanos bancarios en Latinoamérica y El Caribe.
País
Brasil
Colombia
México
Ecuador
Guatemala
Chile
Argentina
Perú
Porcentaje
5,99
2,30
1,73
1,72
1,50
1,35
1,13
0,62
45
Julio 2013 – Pág. Nº 53/185
la sociedad civil
Según Symantec Corporation, en 2009 Brasil ha tenido un aumento significativo en su clasificación de
códigos maliciosos, ocupando el quinto lugar a nivel mundial. Esto probablemente se debe a la propagación de las infecciones del gusano Downadup (también conocido como Conficker) ocurridas en 2009 y
en las que Brasil ocupó el cuarto lugar a nivel mundial. También ocupó el tercer puesto a nivel mundial
en posibles infecciones por virus y cuarto por posibles infecciones por gusanos.
Códigos maliciosos (malicious code) / malware - Resumen
Respecto de la representación
Claramente son los troyanos los que dominan el escenario y van en aumento.
Respecto de la distribución (Es necesario recordar que se deben tomar en cuenta los gráficos de Panda
Security que se muestran en el tópico Actividades Maliciosas en su Conjunto)
Brasil, Honduras, Bolivia, Costa Rica y Argentina están representados a nivel mundial. En la región
aparecen Brasil, México, Colombia, Chile y Argentina en los primeros puestos.
Si bien las compañías evaluadas no exponen los mismos resultados, es posible afirmar que Brasil,
Bolivia, Ecuador, Colombia, Argentina, Chile, Perú y México figuran entre los 10 o 20 primeros puestos del mundo.
En la región, los primeros cinco puestos corresponden a Brasil, México, Colombia, Chile y Argentina.
En el Capítulo IV bajo el subtítulo Códigos maliciosos (malicious code)/malware, es posible encontrar los
ejemplares más activos en Latinoamérica y El Caribe.
Código malicioso multiplataforma
F-SECURE 46
La percepción de que Mac es inviolable y que Windows es proclive a ser infectado es anticuada. A medida que Mac crece en popularidad se transforma en un objetivo apetecible para los atacantes. Lo mismo
sucede con los sistemas operativos de los dispositivos móviles. Con la diversidad de plataformas existentes, es poco práctico desarrollar ataques que funcionan sólo en un sistema específico.
Los ataques de código malicioso multiplataforma no son un fenómeno nuevo. Comenzaron hace varios
años. Por ejemplo, en noviembre de 2011 el FBI reveló que más de 4 millones de usuarios habían sido
infectados con el troyano DNSChanger. Este troyano que estaba circulando desde 2007 violaba equipos
Mac y Windows pretendiendo ser un instalador necesario para ejecutar videos pornográficos. Cuando
era descargado, el sitio web anfitrión del troyano chequeaba el navegador del usuario y bajaba el insta46
F-Secure
Threat_Report_H2_2012
Consultado
el
secure.com/static/doc/labs_global/Research/Threat_Report_H2_2012.pdf
09/04/2013
-
http://www.f-
Julio 2013 – Pág. Nº 54/185
la sociedad civil
lador correspondiente. Éste luego cambiaba la configuración del DNS del usuario para dirigir el tráfico a
sitios no solicitados. Algunas variantes de este troyano afectaban también a los ruteadores.
De manera similar los Rogue AV pueden bajar versiones Mac o Windows.
Pero no solamente los ataques se dirigen a las PC de escritorio. En julio de 2012, fue descubierto un sitio
web de Rogue AV que distribuía un instalador de Skype falso. Dependiendo del sistema operativo del
dispositivo móvil, el malware actuaba de distinta manera.
En ataques más avanzados se encuentra malware, como el troyano FinSpy, que incluye versiones para
Windows, Android, iOS, BlackBerry, Windows Mobile y Symbian.
MC AFEE 2012 – 2011
Un investigador de la firma de seguridad McAffe descubrió una botnet multiplataforma basada en Java
que puede infectar máquinas Mac y Windows.
Según Carlos Castillo, de McAfee, el malware, al que han llamado IncognitoRAT, es un ejemplo de troyano basado en Java descubierto en la Red que está siendo descargado e instalado por otro componente. Este malware se comporta como otras redes robot en Windows, pero utiliza código fuente y librerías
que pueden operar en otras plataformas. El código malicioso está disponible para Windows, Mac OS X e
iPhone/iPad.
Castillo dijo que el vector de propagación original de IncognitoRAT es un ejecutable de Windows, pero
que fue creado utilizando la herramienta JarToExe, que incluye, entre otras cosas, la capacidad de convertir archivos .jar en archivos .exe, para añadir iconos de programa e información de versiones, así como para proteger y encriptar programas Java. Para poder atacar, la máquina de la víctima tiene que
tener instalado Java Runtime Environment y debe estar en línea.
Esta desagradable pieza de malware, tan pronto como se ejecuta el bot multiplataforma, empieza a
descargar el archivo ZIP con un paquete de librerías basadas en Java para desempeñar múltiples actividades remotas 47.
ESET 2010 – 2009 48
A lo largo de 2010 diversas plataformas se vieron afectadas por variantes de código malicioso. A pesar
de que Windows sigue siendo la plataforma más explotada por éstos (se estima que un 84,3% de los
usuarios se infectó durante el año), hubo otras que también sufrieron algunos incidentes, tales como
Linux, los dispositivos móviles y sistemas operativos en crecimiento como fue el caso de Android, para el
cual fue reportado su primer troyano SMS en agosto de 2010.
Como alternativa más rentable para los desarrolladores de código malicioso aparece la creación de códigos maliciosos multi-plataforma, archivos que pueden afectar a diversas plataformas con un mismo
fin, o bajo un mismo modelo de infección. Un ejemplo de esta tendencia se observó a principio de año
47
PCWorld - Una red robot multiplataforma ataca a usuarios Windows y Mac - Publicado el 10/05/2011 - Consultado el 30/03/2013 - http://www.pcworld.com.mx/Articulos/12850.htm
48
ESET Latinoamérica – Tendencias 2011: las botnet y el malware dinámico – Consultado el 23/04/2011 http://eset-la.com/pdf/prensa/informe/tendencias_2011_las_botnet_y_el_malware_dinamico.pdf
Julio 2013 – Pág. Nº 55/185
la sociedad civil
con un experimento realizado para crear botnet en plataformas móviles con iPhone y Android, obteniendo más de 8 mil dispositivos afectados.
Esta tendencia fue ratificada a finales del año, con la aparición de una nueva variante del troyano
Koobface, conocida como Boonana e identificada por ESET con la firma Java/Boonana.A. La misma implicó la primer versión multi-plataforma de este troyano que está en actividad desde finales de 2008, y
que dos años después de su creación ha comenzado su propagación más allá de sistemas Windows,
infectando también sistemas Linux y Mac OS.
Falsos antivirus (rogueware)
Una importante lección sobre el malware es que puede ser persistente. Muchas piezas que produjeron
infecciones durante 2012 fueron creadas en 2011 o antes. El Rogue AV (o Fake AV) es un buen ejemplo
de la longevidad del malware. Más de 200.000 enlaces relacionados a Rogue AV permanecían activos a
fines de 2012, aunque eran conocidos como respaldo de ataques de Rogue AV. La primera razón por la
que continúan existiendo en los ambientes corporativos es porque varios servicios de bajo costo de alojamiento de sitios web (hosting) no ofrecen servicios de monitoreo.
Mientras que los sitios que alojan malware son generalmente limpiados en pocas horas, tal como vimos
previamente, el Rogue AV está activo durante varios años.
En su informe de 2011, reporta que han visto por primera vez un ataque a gran escala en plataformas
MAC, protagonizado por falsos antivirus. A pesar de que la instalación del falso antivirus (llamado
MacDefender) afectó a miles de usuarios de todo el mundo, Apple trató de negar la evidencia. Días después cambió de opinión, y publicó una “actualización de seguridad” (sic) que protegía contra este
malware. En cuestión de minutos comenzaron a aparecer nuevas variantes, como MacShield, que se
saltaban esta actualización de Apple, algo lógico si vemos que se basa en tecnología que tiene más de 20
años y que hoy en día está claramente superada, siendo inservible a no ser que se combine con técnicas
modernas, como el análisis por comportamiento.
Se trata de aplicaciones que se hacen pasar por soluciones antivirus que ofrecen explorar gratuitamente
las computadoras de los desprevenidos internautas y que al hacerlo, detectan numerosas amenazas
inexistentes. Sin embargo, cuando los usuarios tratan de eliminar dichas amenazas a través de la aplicación, se les pide que compren la correspondiente licencia.
Estos productos no sólo no son antivirus, sino que además infectan las máquinas. También se venden
productos como utilitarios de sistema y discos. Conseguir una víctima más de un falso antivirus significa
para el delincuente varias ventajas: no sólo le permite embolsarse el importe de la compra de la supuesta licencia del programa de seguridad, que nunca envía, sino que se queda con los datos de la tarjeta de
crédito del incauto, que posteriormente puede vender en el mercado negro o utilizar para extraer dinero, hacer compras online, etc.
Julio 2013 – Pág. Nº 56/185
la sociedad civil
En 2010 ha aparecido el 40% del total de ejemplares de falsos antivirus. O lo que es lo mismo, desde que
apareció este nuevo tipo de amenazas, hace cuatro años, Panda Security ha clasificado 5.651.786 ejemplares únicos y diferentes de falsos antivirus: de este total, 2.285.629 han aparecido desde enero a noviembre de 2010. 49
Ransomware
MC AFEE 2012 - 2011
Ransomware ha crecido de manera importante en el último semestre de 2012 y la situación sigue empeorando. La cantidad de ejemplares únicos medidos por Mc Afee llega a ser mayor a 200,000, aunque
el aspecto más importante es la cantidad de infecciones reportadas, sobre las que la compañía no tiene
mucha visibilidad ya que sólo obtiene datos a partir de los usuarios de sus productos. La tendencia es
reflejada también por las advertencias de las fuerzas de aplicación de la ley y las agencias gubernamentales del mundo.
Mc Afee - Nuevos ejemplares de Ransomware - 2012
50
Ransomware - Resumen
Según Panda Security ha sido uno de los principales protagonistas de 2012 provocando una “epidemia” de malware que ha infectado cientos de miles de equipos en todo el mundo.
En uno de los pocos artículos encontrados que hacen referencia a estadísticas sobre esta amenaza, se puede ver gráficamente que Latinoamérica y El Caribe tiene menos del 2% de infección de
algunas de sus variantes. 51
En el Capítulo IV bajo el subtítulo Ransomware es posible consultar algunas particularidades de esta
amenaza.
49
Panda Security – Informe Anual PandaLabs 2010 – Consultad0 27/04/2011 –
50
Mc Afee - McAfee Threats Report:Fourth Quarter 2012– Consultado el 10/02/2013 http://www.mcafee.com/mx/resources/reports/rp-quarterly-threat-q4-2012.pdf
51
Symantec Corporation - Ransomware: The Couch-Potato Vs The Backpacker - Publicado el 30/11/2012 - Consultado el 08/04/2013 - http://www.symantec.com/connect/blogs/ransomware-couch-potato-vs-backpacker
Julio 2013 – Pág. Nº 57/185
la sociedad civil
Dispositivos móviles
Si bien a continuación se muestran datos de Mc Afee, todas las compañías revelan un aumento importante del malware en dispositivos móviles entre 2011 y 2012, así como reconocen que Android es el
sistema operativo más atacado. Según investigaciones de ESET, el código malicioso para móviles había
aumentado un 95% entre 2009 y 2010, situación que se ve también en el gráfico a continuación. Sin
embargo en el 2012 el total de malware fue aproximadamente 18 veces mayor al del 2011.
En otro orden de cosas, Websense, Inc. en su informe de 2011 expone que el 51% de los usuarios de
dispositivos móviles no utilizan contraseñas. En su informe 2012 indica que los dispositivos móviles ya
son una parte integral de nuestra vida profesional y personal y que un estudio (FactsMark Authority) ha
encontrado que los usuarios de dispositivos móviles pasan más del 50% del tiempo en que los usan accediendo a redes sociales. Las aplicaciones de comunicaciones sociales han crecido en popularidad reflejando la preferencia de los usuarios en acceder a la web a través de estos dispositivos. Los datos muestran que el 73,6% de los usuarios de iPhone y el 30% de los de Android, activamente conectados a Facebook, usan las aplicaciones móviles. El número total de usuarios móviles de Facebook ascendió en 2012
a 680 millones. Por lo tanto a estos usuarios les aplica también todas las amenazas de las redes sociales.
Mc Afee - Cantidad total de ejemplares de malware en dispositivos móviles - 2012
52
52
Julio 2013 – Pág. Nº 58/185
la sociedad civil
Mc Afee - Cantidad total de de malware en dispositivos móviles por plataforma - Nuevos ejemplares de malware
en Android - 2012
53
Algo novedoso es que ha aparecido una botnet en dispositivos Android. Estos dispositivos acceden a la
cuenta de mail de Yahoo y envían SPAM. Las IP de conexión de estos dispositivos corresponden a Chile,
Indonesia, Líbano, Omán, Filipinas, Rusia, Arabia Saudita, Tailandia, Ucrania y Venezuela. 54 Según el autor del artículo, la botnet ataca a estos países porque son zonas tecnológicamente emergentes, en las
que se está popularizando rápidamente el uso de sistemas móviles con conexión a Internet, en concreto
con Android. Pero además, el gran problema es que en dichos países los usuarios utilizan aplicaciones
ilegítimas por cuestiones de costos. Es posible también que adquieran "rogue applications" de Yahoo
Mail.
SPAM
Situación global
53
54
MSDN Blog - Spam from an Android botnet - Publicado el 03/07/2012 - Consultado el 11/04/2013 http://blogs.msdn.com/b/tzink/archive/2012/07/03/spam-from-an-android-botnet.aspx
Julio 2013 – Pág. Nº 59/185
la sociedad civil
A continuación se muestra un gráfico que refleja la evolución del SPAM en el mundo.
Symantec Corporation - Actividad global del SPAM, 2006-2012
55
Según Symantec, la tasa (rate) de SPAM se redujo del 89,1% en 2010 a 70,6% en 2011.
Websense, Inc informa que en 2012 el volumen total de SPAM sobre el total de e-mail mundial es el
76,4% 56 mostrando también una reducción.
La siguiente tabla muestra la distribución de los SPAM zombies por país en el mundo. Cabe mencionar
que en el año 2011 las botnets produjeron el 81,2% del SPAM contra el 88,2% del 2010.
Symantec Corporation - Los 10 países que originan la mayor actividad de SPAM Zombies 2012-2011
57
55
Symantec Corporation – Symantec Intelligence Report: Dicember 2012 – Consultado el 16/02/2013 http://www.symanteccloud.com/en/gb/mlireport/SYMCINT_2012_12_December.pdf
56
Julio 2013 – Pág. Nº 60/185
la sociedad civil
MC AFEE 2012 - 2011
Mc Afee también muestra un descenso en el volumen de SPAM mundial y haciendo un cálculo aproximado tomando como base el gráfico, estaría en alrededor del 70% de todo el tráfico de correo electrónico.
Mc Afee no muestra la distribución de SPAM por país, sino que muestra el volumen de cada uno y gráficamente, con lo cual es muy difícil incluir este dato en el informe. En ellos se puede ver que tanto en
Argentina como en Brasil y Colombia, el SPAM se redujo considerablemente (aproximadamente un
50%).
Mc Afee - SPAM 2012
58
A continuación se muestra un gráfico que refleja la evolución del SPAM en el mundo.
Symantec Corporation - Actividad global del SPAM, 2005-2010
59
57
58
Julio 2013 – Pág. Nº 61/185
la sociedad civil
Más del 95% de los correos es “no deseado (unwanted)”; conjunto conformado por SPAM y malicioso.
La proporción de SPAM enviado desde las botnets se mantuvo al 88,2% para la mayor parte del año
2010, cayendo el último trimestre al 77%. Esto se debió a la desaparición de varias botnets: en diciembre 2009 ya había cerrado Mariposa, una de las mayores redes de bot de la historia con casi 13 millones
de ordenadores comprometidos; Spamit, una notoria red responsable de enviar grandes volúmenes de
correos sobre temas farmacéuticos cerró sus puertas en setiembre, mientras que en octubre cerró Bredolab con parte de ZEUS.
La fuerte caída del SPAM a fines de 2008 fue resultado de la desaparición del ISP con sede en California
Mc Colo, después de que fuera reportada la actividad de una botnet criminal sobre su red. Como consecuencia del cierre de McColo, también desaparece Srizbi que fuera responsable por mucho tiempo de
casi el 50% de todo el SPAM originado en botnets. Su lugar fue rápidamente ocupado por otras botnets
rivales como Mega-D (aka Ozdok), Cutwail (aka Pandex) y Rustock.
Hacia el final del 2009, el 83,4% del SPAM era originado por la botnets o “redes robot”, en oposición al
aproximadamente 90% de SPAM que fuera enviado por botnets (Ver Botnet – Pág. 77) en el 2008.
Las compañías coinciden en que el SPAM se mantuvo en 2009 y 2010 en un porcentaje de alrededor del
85%.
La siguiente tabla muestra la participación de Latinoamérica en el SPAM mundial en el año 2010.
Symantec Corporation - Origen del SPAM por continente - 2010
60
Mientras que en el 2009 reconoce aproximadamente un 20% de la actividad por parte de dicha región 61.
A continuación se incluye información sobre la distribución global del SPAM durante el año 2009 según
los países de origen.
59
Symantec Corporation – Message Labs Intelligence 2010 Annual Security Report – Consultado el 02/05/2011 http://www.messagelabs.com/mlireport/MessageLabsIntelligence_2010_Annual_Report_FINAL.pdf
60
Symantec Corporation – Message Labs Intelligence 2010 Annual Security Report –Consultado el 02/05/2011 http://www.messagelabs.com/mlireport/MessageLabsIntelligence_2010_Annual_Report_FINAL.pdf
61
Symantec Corporation – Message Labs Intelligence 2009 Annual Security Report – Consultado el 02/05/2011 –
http://www.messagelabs.com/mlireport/2009MLIAnnualReport_Final_PrintResolution.pdf
Julio 2013 – Pág. Nº 62/185
la sociedad civil
Symantec Corporation - Los 10 países que originan la mayor actividad de SPAM 2009
62
MC AFEE 2009
Mc Afee - Los 10 países que originan la mayor actividad de SPAM 2009
63
62
Symantec Corporation – Global Internet Security Threat Report Trends 2009 – Consultado el 20/04/2011 –
http://a248.e.akamai.net/f/248/41008/14d/ig.rsys3.net/responsysimages/smemea/__RS_CP__/20959302_GA_RP
T_ISTR15_Global_0410.pdf
63
Julio 2013 – Pág. Nº 63/185
la sociedad civil
Symantec Corporation - Países que generan SPAM en Latinoamérica - 2011
64
A continuación se incluye los cuadros que publica Symantec respecto de la actividad de SPAM en Latinoamérica y El Caribe, por país.
Symantec Corporation - Países que generan SPAM en Latinoamérica y El Caribe - 2010
65
64
http://www.symantec.com/content/en/us/enterprise/other_resources/bConsultado
el
08/02/2013
istr_main_report_2011_21239364.enus.pdf?om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2012Apr_worldwide_ISTR17
65
Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos América Latina
– Consultado el 04/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR-16Datasheet-LAM-SP.pdf
Julio 2013 – Pág. Nº 64/185
la sociedad civil
Symantec Corporation - Países que generan SPAM en Latinoamérica y El Caribe - 2009
66
SPAM - Resumen
Informe 2012-2011
La actividad de SPAM se redujo en el mundo y Latinoamérica y El Caribe está representada por
Brasil en el 4to. lugar del ranking de países origen de botnets emisoras de spam (zombies).
En la región, los primeros cinco países son Brasil, Argentina, Perú, Chile y Colombia.
Informe 2010-2009
En 2010 Latinoamérica y El Caribe ocupó el tercer lugar como región emisora de spam, mientras
que en 2009 ocupó el segundo lugar representada por Brasil. Aunque con mucha menos participación, también estuvieron presentes Colombia, Argentina y Venezuela. Sin embargo, cabe señalar
que Brasil ocupó el primer lugar en el mundo, como país origen de botnets emisoras de spam en el
2009, con el 13% del total. Mientras que en 2010 estuvo entre los 12 primeros.
En la región, los primeros países son Brasil, Colombia, Argentina, Chile y México.
Phishing
Con el fin de entender un poco mejor esta amenaza y de aquilatar su alcance, a continuación se expone
algunas consideraciones realizadas por las distintas organizaciones.
66
Julio 2013 – Pág. Nº 65/185
la sociedad civil
•
•
•
•
Mc Afee incluye el phishing entre las amenazas web, en contrario a Websense y Symantec que lo
manejan por separado. Por lo tanto lo equipara al alojamiento de malware o de programas potencialmente no deseados, aunque también puede haber combinaciones. De este proveedor sólo ha sido posible tomar el ranking de países víctima de phishing.
Websense, Inc. analiza el fenómsno desde dos perspectivas. Hace una medición respecto de los
países que alojan (host) phishing y, por otro lado, identifica el porcentaje del tráfico de correo total
que los cibercriminales utilizan como señuelo de phishing.
Symantec Corporation también hace un doble análisis. Por un lado lo considera desde la óptica del
correo electrónico identificando el porcentaje del tráfico de correo total que los cibercriminales utilizan como señuelo de phishing. Por otro, lo toma desde el punto de vista de los anfitriones de phishing (phishing hosts), aunque no lo denomina amenaza web ya que para esta compañía esta identificación significa otra cosa (Ver "Ataques originados en la web"). Un anfitrión de phishing (phishing
host) es una computadora que provee servicios web (website services) para recolectar información
del usuario de manera ilegal, simulando que los intentos provienen de una organización conocida y
confiable presentando un sitio web diseñado de manera semejante, casi igual, al sitio del negocio
legítimo.
El AntiPhishing Working Group (APWG) hace su análisis exclusivamente desde la perspectiva de los
dominios, ya sea gTLD o ccTLD, y sitios utilizados, o sea, como una amenaza web.
Cabe señalar que el APWG 67 es una asociación global, ampliamente reconocida y respetada, que contempla todas las industrias y fuerzas de la ley, focalizada en eliminar el fraude y el robo de identidad que
resulta del phishing, PHARMING and MAIL SPOOFING de todo tipo y tiene como socios investigadores a los
CERT de Brasil, Estados Unidos (incluyendo al prestigioso CERT SEI Canergie Mellon), Australia, Corea,
entre otros, así como organizaciones y empresas como Websense Inc., National Cyber Security Alliance,
SRI Internacional, ESET, etc.
Situación global
Análisis por tráfico de correo
En este gráfico es posible ver que el ratio de phishing en e-mail es el 0,27% mientras que Websense da
el 1.6%. (Fuentes de phishing en email). Como se puede observar, también en este caso existen diferencias.
67
Antiphishing Working Group (APWG) – Global phishing Survey: Domain Name use and Trend 2H2010 – Consultado 10/05/2011 – http://anti-phishing.org/reports/APWG_GlobalPhishingSurvey_2H2010.pdf
Julio 2013 – Pág. Nº 66/185
la sociedad civil
Symantec Corporation - Evolución de phishing en el correo electrónico - 2012
68
Si miramos la evolución en la imagen anterior, podemos observar que el phishing en e-mail tiene altibajos pero sigue existiendo, si bien en volúmenes menores que en 2007 y 2008.
MC AFEE 2012 - 2011
Tener en cuenta que esta compañía mide el RECEPTOR. En la situación global, Mc Afee coloca a Brasil
como el 4to. receptor de phishing del mundo.
Mc Afee - Países receptores de phishing - 2012
69
Análisis por alojamiento de phishing
WEBSENSE INC 2012 - 2011
68
Symantec Corporation – Symantec Intelligence Report: December 2012 - Consultado el 20/02/2013 http://www.symanteccloud.com/en/gb/mlireport/SYMCINT_2012_12_December.pdf
69
Julio 2013 – Pág. Nº 67/185
la sociedad civil
Websense, Inc - Ranking de países que alojan phishing - 2012 Ranking de países que alojan phishing - 2011
A continuación mostramos la distribución en el mundo por país del alojamiento de phishing.
Julio 2013 – Pág. Nº 68/185
la sociedad civil
Symantec Corporation - Países donde residen sitios web que hospedan phishing - 2012-2011
70
APWG 2012 - 2011
A continuación se puede ver una tabla que resume los valores para los años 2012 y 2011 de los indicadores que utiliza el APWG para mostrar la evolución del phishing a nivel global.
Para interpretar los conceptos utilizados por APWG, ver el Capítulo IV, bajo el subtítulo Phishing.
APWG - Estadísticas generales de phishing - (2H) 2012
71
Es muy interesante ver la relación entre la cantidad de ataques, de dominios únicos comprometidos y de
dominios maliciosos de phishing, así como su evolución.
70
el
05/05/2013
istr_appendices_v18_2012_221284438.en-us.pdf
71
Antiphishing Working Group (APWG) - Global Phishing Survey: Trends and Domain Name Use in 1H2012 – Consultado el 15/03/2013 – http://docs.apwg.org/reports/APWG_GlobalPhishingSurvey_2H2012.pdf
Julio 2013 – Pág. Nº 69/185
la sociedad civil
APWG - Estadísticas generales de phishing - (2H) 2012 - (Referencia 71)
APWG 2010 - 2009
A continuación se puede ver una tabla que resume los valores para los años 2010 y 2009 de los indicadores que utiliza el APWG para mostrar la evolución del phishing a nivel global.
APWG - Estadísticas generales de phishing - (2H) 2010
72
Cabe señalar que en los reportes de Message Lab Intelligence de Symantec es posible encontrar cifras
muy semejantes a las del APWG.
Como se dijo previamente, la cantidad de víctimas de fraude informático es muy superior a la cantidad
de sitios. Pueden ser millones.
El IC3 73 ha recibido entre 2009 y 2010 más de 600.000 quejas, que por otra parte se han incrementado
un 33% en 2008, el 22% en 2009 y en 2010 bajó casi un 10%. Este descenso, si bien es un hecho positivo,
72
Antiphishing Working Group (APWG) – Global phishing Survey: Domain Name use and Trend 2H2010 – Consultado 10/05/2011 – http://anti-phishing.org/reports/APWG_GlobalPhishingSurvey_2H2010.pdf
Julio 2013 – Pág. Nº 70/185
la sociedad civil
no indica necesariamente una tendencia ya que ha sucedido en años anteriores y luego ha vuelto a crecer. En el mapa global de individuos que presentan quejas, se encuentra México en el octavo lugar con
el 0,2%. Latinoamérica y El Caribe no se encuentran en el mapa global de individuos perpetradores.
Symantec Corporation - Países donde residen sitios web que hospedan phishing - 2011
74
73
Internet Crime Complaint Center (IC3 – USA) – 2010 Internet Crime Report – Consultado el 15/04/2011 http://www.ic3.gov/media/annualreport/2010_IC3Report.pdf
74
el
08/02/2013
Julio 2013 – Pág. Nº 71/185
la sociedad civil
APWG 2012 - 2009
En las páginas 73 a 75 se presenta la variación del phishing, desde la perspectiva de los sitios que lo alojan, en los países de Latinoamérica y El Caribe, entre los últimos semestres de 2012 y 2010. A continuación de esta tabla, se presenta la misma variación pero esta vez entre el último semestre de 2010 y el
primero de 2009. Ambas tablas han sido confeccionadas tomando los datos publicados por el APWG.
Resumen respecto de las tablas
En las columnas correspondientes al crecimiento en porcentaje es posible observar que la mayoría
de los países han crecido en cantidad de ataques de phishing, algunos en porcentajes muy importantes como por ejemplo Panamá (700%).
Otra lectura que es posible realizar es que, mientras el crecimiento del phishing en el mundo ha
sido de aproximadamente el 83%, en Latinoamérica fue del 108%; que la cantidad de dominios
usados para phishing creció el 110% y el 203% respectivamente y que mientras que la cantidad de
dominios maliciosos registrados descendieron a nivel global, en Latinoamérica y El Caribe aumentaron.
También es posible observar que la representatividad de Latinoamérica respecto de ataques de
phishing, dominios usados para phishing y dominios registrados, ha crecido.
Julio 2013 – Pág. Nº 72/185
SEGUNDO SEMESTRE 2010
TL
D
TLD Ubicación
ar
Argentina
aw
# único
de
ataques
de
Phishing
Nombres de Dominio
únicos usados para
phishing
Dominios registrados al # Total de dominios
final de Octubre de
maliciosos regis2010
trados
CRECIMIENTO EN PORCENTAJE
# único
de
ataques
de
Phishing
Nombres
de Dominio únicos
usados
para
phishing
Dominios
registrados,
Noviembre
2012
# Total de
dominios
maliciosos
registrados
# único
de
ataques
de
Phishing
Nombres
de Dominio
únicos
usados
para
phishing
Dominios
registrados
# Total de
dominios
maliciosos
registrados
199
148
2.199.507
3
913
824
2.500.007
5
358,79
456,76
13,66
66,67
ARUBA
1
1
1
1
2
1
625
0
100,00
0,00
62400,00
-100,00
bz
BELICE
18
7
47.639
1
17
15
46.836
1
-5,56
114,29
-1,69
0,00
bo
Bolivia
5
4
5.950
1
32
25
8.350
0
540,00
525,00
40,34
-100,00
SIN DATOS
BONAIRE
br
Brasil
2.011
1.030
2.275.031
21
3.129
2.435
3.058.648
25
55,59
136,41
34,44
19,05
cl
Chile
171
128
299.463
1
902
731
399.073
2
427,49
471,09
33,26
100,00
co
Colombia
86
43
527.428
4
288
234
1.325.000
12
234,88
444,19
151,22
200,00
cr
Costa Rica
15
8
12.300
1
14
12
14.600
0
-6,67
50,00
18,70
-100,00
cu
Cuba
1
1
2.175
1
1
1
2.340
0
0,00
0,00
7,59
-100,00
SIN DATOS
CURAZAO
dm
DOMINICA
1
1
1
1
1
1
14.500
0
0,00
0,00
1449900,00
-100,00
do
Republica
cana
15
5
15.200
1
14
13
0
0
-6,67
160,00
-100,00
-100,00
ec
Ecuador
31
26
22.729
1
41
38
30.500
0
32,26
46,15
34,19
-100,00
gt
Guatemala
10
9
8.630
1
18
13
11.600
0
80,00
44,44
34,41
-100,00
3
2.150
0
200,00
200,00
72,00
-100,00
Domini-
SIN DATOS
GUYANA FRANCESA
gy
GUYANA
1
1
1.250
1
3
Julio 2013 – Pág. Nº 73/185
TL
D
TLD Ubicación
# único
de
ataques
de
Phishing
Nombres de Dominio
únicos usados para
phishing
final de Octubre de
trados
# único
de
ataques
de
Phishing
Nombres
de Dominio únicos
usados
para
phishing
Dominios
registrados,
Noviembre
2012
# Total de
dominios
maliciosos
registrados
# único
de
ataques
de
Phishing
Nombres
de Dominio
únicos
usados
para
phishing
Dominios
registrados
# Total de
dominios
maliciosos
registrados
hn
Honduras
3
4
4.992
1
2
2
6.275
0
-33,33
-50,00
25,70
-100,00
ht
Haití
7
1
1
1
8
3
0
0
14,29
200,00
-100,00
-100,00
gs
ISLAS
GEORGIAS
DEL
SUR
Y
SANDWICH DEL SUR
4
2
1
1
10
5
8.160
0
150,00
150,00
815900,00
-100,00
fk
ISLAS MALVINAS
1
1
1
1
2
1
100
0
100,00
0,00
9900,00
-100,00
jm
Jamaica
5
5
5.064
1
0
0
6.400
0
-100,00
-100,00
26,38
-100,00
mq
MARTINICA
mx
México
ni
SIN DATOS
253
114
450.453
1
398
306
616.458
25
57,31
168,42
36,85
2400,00
Nicaragua
5
3
5.905
1
4
3
6.600
0
-20,00
0,00
11,77
-100,00
pa
Panamá
1
1
6.250
1
8
8
7.125
0
700,00
700,00
14,00
-100,00
pe
Perú
27
19
45.180
1
130
93
64.100
0
381,48
389,47
41,88
-100,00
py
Paraguay
6
6
11.200
1
14
10
13.900
0
133,33
66,67
24,11
-100,00
pr
Puerto Rico
sv
El Salvador
8
5.550
0
300,00
300,00
17,46
-100,00
SIN DATOS
2
2
4.725
1
8
SABA
SAN EUSTAQUIO
sx
SIN DATOS
SAINT MAARTEN
Julio 2013 – Pág. Nº 74/185
TL
D
TLD Ubicación
sr
SURINAME
tt
TRINIDAD
TOBAGO
uy
ve
# único
de
ataques
de
Phishing
Nombres de Dominio
únicos usados para
phishing
final de Octubre de
trados
SIN DATOS
# único
de
ataques
de
Phishing
Nombres
de Dominio únicos
usados
para
phishing
Dominios
registrados,
Noviembre
2012
# Total de
dominios
maliciosos
registrados
4
4
0
0
# único
de
ataques
de
Phishing
Nombres
de Dominio
únicos
usados
para
phishing
Dominios
registrados
# Total de
dominios
maliciosos
registrados
NO ES POSIBLE REALIZAR EL CÁLCULO
Y
13
6
2.200
1
1
1
2.525
0
-92,31
-83,33
14,77
-100,00
Uruguay
13
9
27.925
1
81
39
74.446
0
523,08
333,33
166,59
-100,00
Venezuela
32
26
150.000
1
75
57
215.000
0
134,38
119,23
43,33
-100,00
Total LATAM
2.937
1.611
6.131.201
53
6.120
4.886
8.440.868
70
108,38
203,29
37,67
32,08
TOTAL GLOBAL
67.677
42.624
205.615.855
11.769
123.476
89.748
257.704.826
5.833
82,45
110,56
25,33
-50,44
4,34
3,78
2,98
0,45
4,96
5,44
3,28
1,20
Representación LATAM
Importante: Las celdas que tienen el siguiente formato y contenido
efectos de poder realizar los cálculos de crecimiento.
1
deberían contener el valor cero (0). Se ha reemplazado por el valor uno (1) a los
Julio 2013 – Pág. Nº 75/185
PRIMER SEMESTRE 2009
TLD
TLD Ubicación
# único Nombres
de sitios
de
de
Dominio
Phishing únicos
usados
para
phishing
ar
Argentina
bo
Bolivia
7
br
Brasil
654
cl
Chile
144
97
co
Colombia
31
22
cr
Costa Rica
1
cu
Cuba
2
do
Republica
Dominicana
ec
Ecuador
gt
Guatemala
hn
ht
207
Puntuación: Puntuación: # Total de # único Nombres
Phish por
attacks por dominios de sitios
de
10000
10000
maliciosos
de
Dominio
dominios
dominios registrados Phishing únicos
usados
para
phishing
1.837.779
0,9
1,1
1
5
4.700
10,6
14,9
0
5
381
1.675.918
2,3
3,9
1
2011
243.701
4
5,9
1
171
25.750
8,5
12
0
86
1
11.739
0,9
0,9
0
1
1.500
6,7
13,3
0
14
7
10.100
6,9
13,9
12
10
17.900
5,6
8
3
6.809
4,4
Honduras
0
0
3.972
Haiti
0
0
1.110
jm
Jamaica
1
1
4.600
2,2
mx
México
213
93
290.101
3,2
ni
Nicaragua
0
0
23.000
0
pa
Panama
5
3
4.800
6,3
10,4
pe
Peru
86
64
32.000
20
py
Paraguay
3
2
8.834
sv
El Salvador
2
2
uy
Uruguay
15
13
ve
Venezuela
24
Total LATAM
1.429
TOTAL GLOBAL
Representación
LATAM
55.698
2,57
159
Dominios
registrados
al final de
Marzo de
2009
# Total
de
dominios
maliciosos
registrados
Dominios
registrados
# Total
de
dominios
maliciosos
registrados
4
5.950
6,7
8,4
0
1030
2.275.031
4,5
8,8
21
128
299.463
4,3
5,7
0
18,75
43
527.428
0,8
1,6
4
177,42
15
8
12.300
6,5
12,2
0
1400,00
1
1
2.175
4,6
4,6
0
-50,00
0
15
5
15.200
3,3
9,9
0
6,7
0
31
26
22.729
11,4
13,4
11,7
0
10
9
8.630
10,4
11,6
0
0
3
4
4.992
4
6
0
0
0
7
1
2,2
0
5
5
5.064
9,9
9,9
0
400,00
400,00
10,09
0,00
7,3
30
253
114
450.453
2,5
5,6
0
18,78
22,58
55,27
-100,00
0
5
3
5.905
5,1
8,5
0
0
0
0
6.250
0
-100,00
-100,00
30,21
0,00
26,9
24
27
19
45.180
4,2
6
0
-68,60
-70,31
41,19
-100,00
2,3
3,4
0
6
6
11.200
5,4
5,4
0
100,00
200,00
26,78
0,00
0
2
2
4.725
4,2
4,2
0
18.622
7
8,1
0
13
9
27.925
3,2
4,7
0
-13,33
-30,77
49,96
0,00
15
130.000
1,2
1,8
1
32
26
150.000
1,7
2,1
1
33,33
73,33
15,38
0,00
879
4.352.935
58
2.897
1.591
6.080.107
30
102,73
81,00
39,68
-48,28
30.131 184.583.376
4.382
67.677
42.624 205.615.855
11.769
21,51
41,46
11,39
168,58
1,32
4,28
-3,86
Nombres
de Dominio
únicos
usados
para
phishing
0,9
3,73
3
# único de
sitios de
Phishing
0,7
2,36
148
Puntuación: Puntuación:
Phish por
attacks por
10000
10000
dominios
dominios
2.199.507
2,92
199
Dominios
registrados
al final de
Octubre de
2010
-6,92
19,68
-28,57
-20,00
26,60
0,00
207,49
170,34
35,75
2000,00
31,96
22,88
-100,00
95,45
1948,26
400,00
700,00
4,78
0,00
0,00
45,00
0,00
7,14
-28,57
50,50
0,00
1
158,33
160,00
26,98
100,00
0
25,00
200,00
26,74
0,00
25,68
0,00
0
2,96
Comentarios
200,00
0,00
0,00
No existe
información
sobre Puerto
Rico.
La puntuación, tanto de
dominios
como de sitios
de phishing
tiene el
mismo sentido que el
crecimiento
del resto de
las variables.
0,00
0,25
Julio 2011 – Pág. Nº 76/185
sociedad civil
Phishing - Resumen
Informe 2012-2011
Según Symantec, Latinoamérica y El Caribe se encuentra representados por Brasil en el
4to. puesto en el ranking de anfitriones de phishing, mientras que los primeros cinco países de la región en esta misma categoría son Brasil, Colombia, Argentina, Chile y México.
En el caso del phishing medido a través del porcentaje de tráfico de correo electrónico
total, vemos que tiene altibajos pero se sigue manteniendo aunque en volúmenes menores a los existentes en 2007 y 2008. Mc Afee ubica a Brasil en el 4to. puesto entre los países receptores de phishing por e-mail.
Informe 2010-2009
Según APWG, en el orden mundial Latinoamérica y El Caribecse encuentra representados
en el ránking de los 10 primero puestos de anfitriones de phishing por Brasil, Honduras y
México. Mientras que los países de la región que más crecieron en el mismo indicador
fueron Costa Rica, Jamaica, Brasil, Colombia y Ecuador.
Botnet
Situación global
La Fundación Shadowserver está conformada por un grupo de investigadores que trabajan sobre las
botnets. Es una asociación sin fines de lucro formada por profesionales de seguridad que voluntariamente recolectan, analizan y producen reportes sobre software malicioso, la actividad de las botnets y
el fraude electrónico. Es su misión mejorar la seguridad sobre Internet concientizando sobre la presencia
de servidores comprometidos, atacantes maliciosos y la distribución del mencionado software. También
trabaja con otras agencias de seguridad para desarrollar estrategias contra las amenazas y planes de
acción para ayudar a mitigar estas amenazas a medida que van apareciendo. 75
SHADOWSERVER 2012 - 2011
Como se puede observar en el gráfico siguiente, las botnets han reducido drásticamente su volumen. De
haber llegado a cerca de 6.000 en marzo de 2012, a diciembre del mismo año sólo se encontraban activas aproximadamente 2000.
Esto representa una reducción de aproximadamente 70%.
75
The Shadowserver Foundation – Consultado el 25/04/2011 - http://www.shadowserver.org
Julio 2013 – Pág. Nº 77/185
sociedad civil
Shadowserver Foundation - Estado de las botnets - abril de 2011 a marzo 2013
76
La botnet Rustock fue oficialmente desactivada el 16/03/2011 por Microsoft y por fuerzas de seguridad,
después de una investigación de meses. Se estima que esta botnet tenía casi un millón de computadoras
infectadas trabajando bajo su control y era conocida por su capacidad de enviar miles de millones de
correos basura al día, tales como el correo falso sobre la lotería de Microsoft y otras ofertas de medicamentos falsificados y, por lo tanto, potencialmente peligrosos.
Shadowserver informa que a noviembre de 2010 se habían detectado unas cinco mil quinientos botnets
(habiendo llegado durante el año a seis mil en meses como mayo o julio), contra los poco más de cuatro
mil a finales del año anterior. El crecimiento de las redes botnet activas detectadas por Shadowserver en
los últimos dos años puede observarse en el siguiente gráfico:
76
Shadowserver Foundation – Gráfico en línea de la situación de las botnets - Consultado el 23/03/2013
http://www.shadowserver.org/wiki/pmwiki.php/Stats/BotnetCharts
Julio 2013 – Pág. Nº 78/185
sociedad civil
Shadowserver Foundation - Estado de las botnets - junio de 2009 a mayo 2011. Actualmente no es posible consultarlo pues es un gráfico en línea.
Tomando estos 24 meses, se estima un crecimiento de aproximadamente un 85% en la cantidad de botnet activas.
Esto representa millones de usuarios afectados por esta amenaza. Este valor se sustenta tan solo si se
toman simplemente tres de las botnets que han sido dadas de baja durante 2010: Waledac (80 mil
usuarios afectados), Mariposa (13 millones) y Bredolab (30 millones). 77
Symantec Corporation - Países donde se ubican las bot - 2012-2011
78
77
Se destaca esta frase en negrita para que el lector perciba la magnitud del ataque ya que, en el orden mundial, la
cantidad de botnets (aproximadamente 6000) no aparece como un valor muy significativo.
78
el
05/05/2013
Julio 2013 – Pág. Nº 79/185
sociedad civil
Shadowserver Foundation - Cantidad de bots - abril de 2011 a marzo 2013
79
Después de la última gran botnet desbaratada (Rustock, con más de un millón de equipos, marzo/2011),
el conteo de bots ha disminuido. Además continuó la disminución durante todo 2012.
79
Shadowserver Foundation – Gráfico en línea de la cantidad de bot - Consultado el 23/03/2013
http://www.shadowserver.org/wiki/pmwiki.php/Stats/BotCount24-Months
Julio 2013 – Pág. Nº 80/185
sociedad civil
Symantec Corporation - Computadoras infectadas por bots en el mundo - 2011
80
ESET 2012 - 2011
ESET analizó una red de mayor impacto en Latinoamérica y El Caribe 81. Se trata de la Dorkbot que viene
operando desde finales de 2011.
Un análisis minucioso de las estadísticas muestra que el 54% de las detecciones de Dorkbot fueron en
Latinoamérica y El Caribe, 25% en Asia mientras que el tercer lugar lo ocupa Europa con el 18%. De esta
manera se puede resaltar cómo en América Latina se ha detectado más apariciones de Dorkbot que en
todo el resto del mundo, incluyendo las variantes de este gusano que son capaces de propagarse a través de Skype. Otras regiones como África, Norteamérica y Oceanía tienen menos del 2% de las detecciones. Las técnicas de propagación utilizadas por este código malicioso varían según la región. Sin embargo, las campañas más comunes de propagación incluyen correos falsos, mensajes a través de las
redes sociales, páginas web cuya seguridad ha sido vulnerada y diversas técnicas de Ingeniería Social.
A fines de 2012 Dorkbot todavía se encontraba muy activo en América Latina y El Caribe, en países como
México, Perú, Chile, Guatemala y Ecuador.
80
81
ESET - Dorkbot sigue afectando a Latinoamérica más que al resto del mundo - Publicado el 05/12/2012 - Consultado el 23/03/2013 - http://blogs.eset-la.com/laboratorio/2012/12/05/dorkbot-latinoamerica-mundo/
Julio 2013 – Pág. Nº 81/185
sociedad civil
Otro informe de la misma compañía, emitido en julio de 2012, daba cuenta de 81.564 equipos infectados, correspondiendo el 44% a Chile, en donde además se realizó un ataque de phishing contra distintos
bancos intentando obtener por parte del atacante la información de la banca electrónica de los usuarios
afectados; el 15% a Perú y a Argentina el 11% 82.
A continuación, se incluye otros ejemplos de botnets originarias y/o atacantes de Latinoamérica y El
Caribe:
•
•
•
VoIk, un crimeware originario de México que nació en 2010, atacó principalmente a usuarios de la
banca en línea del Perú. La distribución según ESET fue la siguiente: Perú 63,2%, Estados Unidos
11,2%, México 10,4%, Argentina 3,4%, República Dominicana 2,4%, Venezuela 2,4%, Bolivia 1,6%,
Chile 0,8%, Ecuador 0,8%, Colombia 0,8%, Panamá 0,8%, Bielorrusia 0,8%, India 0,8% y Noruega
0,8%. 83
SAPZ (Sistema de Administración de PCs Zombis), crimeware de origen peruano liberada durante
2009, sigue activa con una fuerte demanda por parte de los delincuentes informáticos de la región,
particularmente en su país de origen, donde ha iniciado una nueva campaña de infección dirigida a
usuarios bancarios. En varios artículos Kaspersky menciona que Perú se ha transformado en uno de
los países más importantes en materia de delitos informáticos relacionados con fraudes bancarios, y
no sólo a través de crimeware desarrollado localmente, sino también como blanco de ataque. 84
BoteAR, de origen argentino asume un concepto de “social”. Intenta ofrecer una botnet convencional pero a modo de “servicio” (crimeware-as-a-service) y administrable vía web. Además, su autor
parece adoptar el modelo de negocio de los sistemas de afiliados de Europa del Este que propagan
82
ESET - Infografía dorkbot: más de 80.000 bots en Latinoamérica - Publicado el 26/07/2012 - Consultado el
http://blogs.eset-la.com/laboratorio/2012/07/26/infografia-dorkbot-mas-de-80-000-bots-en23/03/2013
latinoamerica/
83
ESET - Analizando la Botnet Volk: Perú el más afectado - Publicado el 27/01/2013 - Consultado el 11/04/2013 http://blogs.eset-la.com/laboratorio/2012/01/27/analizando-botnet-volk-peru-mas-afectado/
84
Kaspersky - Nueva campaña de SAPZ contra usuarios de Perú - Publicado el 28/08/2012 - Consultado el
11/04/2013 - http://latam.kaspersky.com/nueva-campa%C3%B1a-SAPZ-usuarios-peru
Julio 2013 – Pág. Nº 82/185
sociedad civil
•
•
malware (infecta y recibe rédito por ello). Lo llamativo, es que se escuda bajo el manto de la seguridad en un intento de “fraternizar” con la comunidad. 85
AlbaBotnet se suma al crimeware regional, en este caso con el objetivo puntual de robar información de usuarios chilenos de dos importantes entidades bancarias de ese mismo país. Esta campaña
forma parte de una etapa de prueba de la botnet, razón por la cual su monetización es nula por el
momento, si bien su prueba ha comenzado a principios de 2012. Según Kaspersky, se encuentra en
plena evolución el incremento de amenazas informáticas en la región. 86
A mediados de 2011, Kaspersky Lab a través de su Equipo Global de Análisis e Investigación (GReAT),
descubrió una variante de SpyEye (de origen ruso) con foco en América Latina. El país más afectado
fue Argentina con más de 12,600 equipos infectados, seguidos por Chile y Perú con más de 4,300 y
1,300 respectivamente. 87
Ratificando lo expuesto en el informe publicado por LACNIC en 2011, un prolífero autor de artículos
sobre crimeware, indica que Latinoamérica y El Caribe ha dejado de ser una región limitada a recibir
ataques generados desde el otro lado del mundo y, desde finales de 2009, comenzó a copiar los modelos de negocio fraudulentos de los cibercriminales europeos produciendo sus propios recursos delictivos. 88
A continuación se ofrece un panorama para los años 2010 y 2009 en Latinoamérica.
89
Symantec Corporation - Computadoras infectadas por bots en Latinamérica y El Caribe - 2010 .
85
Kaspersky - BoteAR: una… ¿bonet social? ¿De qué estamos hablando? - Publicado el 12/10/2012 - Consultado el
11/04/2013 - http://latam.kaspersky.com/botear-botnet-social-de-que-estamos-hablando
86
Kaspersky - AlbaBotnet, nuevo crimeware que ataca el ciberespacio latinoamericano - Publicado el 04/03/2013 Consultado el 11/04/2013 - http://latam.kaspersky.com/albabotnet-nuevo-crimeware-ataca-ciberespaciolatinoamericano
87
b:secure - El despertar del crimeware en América Latina - Publicado el 10/09/2012 - Consultado el 11/04/2013 http://www.bsecure.com.mx/opinion/el-despertar-del-crimeware-en-america-latina/
88
b:secure - Crimeware mexicano al ataque de entidades bancarias - Publicado el 03/11/2011 - Consultado el
11/04/2013 - http://www.bsecure.com.mx/featured/crimeware-mexicano-al-ataque-de-entidades-bancarias/
89
Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos América Latina
– Consultado el 04/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR-16Datasheet-LAM-SP.pdf
Julio 2013 – Pág. Nº 83/185
sociedad civil
90
Symantec Corporation - Computadoras infectadas por bots en Latinoamérica y El Caribe - 2009 .
En este período es posible ver en Latinoamérica y El Caribe ha comenzado la creación de botnets. En el
año 2009, ESET detecta el sistema SAPZ (Sistema de Administración de PCs Zombi) desarrollado por delincuentes latinos y que permite el control de una gran cantidad de usuarios infectados a través de troyanos como el que ESET NOD32 denomina Win32/Qhost.NMX. 91 A la fecha del artículo, 17 de setiembre
de 2009, la red contaba con más de 12.000 zombis.
Otra prueba concreta es una nueva botnet cuyo origen y desarrollo se encuentra en México, destinada a
cometer delitos dirigidos al público latino, y que fue descubierta por el equipo de ESET. Esta noticia se
publicó el 4 de junio de 2010 y se refiere a la Mariachi Botnet. 92
Cifras de Kaspersky Lab indican que Kido (también llamada Conficker o Downup Devian por otras empresas de antivirus) es la principal botnet de Latinoamérica y El Caribe. Todos los países de la región,
incluyendo Chile, la tienen en el TOP 10 de las amenazas. 93
90
91
ESET Latinoamérica – Artículo del 17/09/2009 por Cristian Borghello “Rateros: botnets latinoamericanas” –
Consultado el 14/05/2011 - http://blogs.eset-la.com/laboratorio/2009/09/17/rateros-botnets-latinoamericanas/
92
ESET Latinoamérica – Artículo del 04/06/2010 por Juan Sacco “Mariachi Botnet: Latinoamérica es atacada por
ciberdelincuentes mejicanos” – Consultado el 30/04/2011 - http://blogs.esetla.com/laboratorio/2010/06/04/mariachi-botnet-latinoamerica-atacada-ciberdelincuentes-mexicanos/
93
Open Networks – Artículo del 10/05/2011 “Coreflood -que robó mas de U$100 millones- podría estar en su
computador” – Consultado el 15/05/2011 - http://www.opennetla.com/portal/index.php/noticias-/210-corefloodque-robo-mas-de-u100-millones-podria-estar-en-su-computador
Julio 2013 – Pág. Nº 84/185
sociedad civil
Botnet - Resumen
Informe 2012-2011
En el ranking mundial, Latinoamérica y El Caribe alcanzaron el tercer puesto representada por Brasil y
en la región los primeros cinco puestos corresponden a Brasil, Argentina, Perú, Chile y República Dominicana.
En marzo de 2012 hubo una drástica disminución de botnets activas (de casi 6000 a aproximadamente
2000). La cuenta de bots ha tenido dos picos de aproximadamente 300 y 220 mil, pero en general se ha
mantenido debajo de los 150 mil. En marzo/2011 se desbarató Rustock de aproximadamente un millón
de bots.
Cabe señalar que Latinoamérica y El Caribe fue la región más afectada por la botnet Dorkbot con más
de 80 mil bots (44% en Chile, 15% en Perú y 11% en Argentina).
Informe 2010-2009
No se ha encontrado información sobre el ranking mundial de botnets en este período. Sin embargo, en
la región los países que se encuentran en las primeras cinco posiciones son Brasil, Argentina, Chile,
Perú, México y la República Dominicana, considerando ambos años.
En febrero de 2010 hubo un importante aumento de botnets activas (de poco más de 4000 a casi
6000). Esto significa millones de usuarios afectados, considerando que una sola de ellas, la denominada
Mariposa llegó a tener 13 millones de bots.
Cabe señalar que varios países de Latinoamérica y El Caribe se encontraron entre los TOP 20 de máquinas infectadas por la red Mariposa, compuesta por más de 13 millones de direcciones IP infectadas
distribuidas en 190 países alrededor del mundo. Ellos son: México, con el 12,85% (2do. Puesto), Brasil,
con el 7,74% (3er. Puesto), Colombia, con el 4,94% (5to. Puesto), Perú, con el 2,42% (11mo. Puesto),
Chile, con el 1,74% (décimo 4to puesto) y Argentina, con el 1,10% (décimo 8vo puesto) del total. 94
Ataque distribuido de denegación de servicio (DdoS – DoS)
HACKMAGEDDON.COM 2012 - 2011 95
En principio se justifica la obtención de información de este blog en virtud del acabado detalle con el
que están descritos los ataques producidos entre 2011 y 2013 y la extensa lista de los mismos. Como
dice su autor, sólo es posible mostrar los ataques que han sido descubiertos y como consecuencia, también las estadísticas son relativas a ellos. De manera que es la información de mínima.
94
Info Spyware – Artículo del 23/03/2010 por Marcelo Rivero “Latinoamérica dentro de los más afectados por la
red Mariposa” – Consultado el 15/05/2011 - http://www.infospyware.com/blog/latinoamerica-dentro-de-los-masafectados-por-la-botnet-mariposa/
95
Hackmageddon.com - Blog perteneciente a Paolo Passeri (Senior System Engineer de Lastline, Inc) - Consultado
el 11/04/2013 - http://hackmageddon.com/
Julio 2013 – Pág. Nº 85/185
sociedad civil
En segundo lugar lo ubicamos en este tópico de denegación de servicio en virtud de que la lista mencionada contiene la identificación de muchos de éstos, situación que no es fácil encontrar en páginas pertenecientes a otras organizaciones.
Por último, debemos decir que la apertura por tema se va haciendo infinita y en muchos puntos existen
solapamientos. De modo que no queda más remedio que buscar alguna distribución de compromiso.
Un tema interesante de este blog es la clara distinción entre las motivaciones que tienen los ataques,
como se ve en el gráfico siguiente, y las definiciones de algunas de ellas que, aunque son totalmente
discutibles, también son atendibles. Sobre todo teniendo en cuenta que los reportes de las compañías
de seguridad suelen ubicar diferentes tipos de motivaciones bajo un mismo rótulo.
Hackmageddon.com - Distribución de ataques por motivación - 2012
A continuación se listan las mencionadas definiciones:
•
•
Hacktivismo: Incluye los ciberataques ejecutados para promover (o motivados por) alcances políticos o sociales.
Ciberguerra y ciberespionaje: Es más difícil hacer una discriminación entre estos dos términos, dado
que algunas veces son dos caras de la misma moneda y podría existir un solapamiento entre ellos.
Por ejemplo, si un Estado infiltra una nación para dañar los sistemas o la información, se entiende
que ejecuta una acción de ciberguerra. Si en cambio roba información o planes de proyectos, la acción es de ciberespionaje. En algunos casos pueden hacer ambas cosas. En opinión del autor, el ciberespionaje se define como el ataque dirigido exclusivamente a robar información, sin daños aparentes.
En el Capítulo IV, se expone varios eventos con estas motivaciones, publicadas por varias compañías de
seguridad.
Dada la magnitud de ataques que muestra el autor no fue posible analizar si existen para Latinoamérica
y El Caribe.
Julio 2013 – Pág. Nº 86/185
sociedad civil
Sin embargo, se ha encontrado que el 17/01/2013, Anonymous Argentina ejecutó un DDoS sobre el sitio
web del INDEC (Instituto Nacional de Estadísticas y Censo - indec.gov.ar) en protesta por la publicación
de valores considerados como irrisorios de la canasta básica familiar.
En la siguiente página es posible encontrar información sobre hacktivismo en Latinoamérica y El Caribe:
http://anonymousnews.blogs.ru/2013/02/05/%E2%80%9Chacktivistas%E2%80%9D-comenzaron-el2013-%E2%80%9Ctomando-de-punto%E2%80%9D-a-varios-sitios-web-del-gobierno-argentino/
Los ataques de denegación de servicio tienen como objetivo interrumpir la prestación del servicio web
de las organizaciones atacadas. Dado que estos ataques siempre resultan en una gran exposición de las
organizaciones víctima suelen producir un gran daño a su reputación y acrecientan el grado de desconfianza por parte de sus usuarios. Si bien este tipo de ataque puede ser dirigido a cualquier tipo de organización, el DoS ha sido durante el año 2010, la mayor amenaza de las infraestructuras gubernamentales
y de servicios críticos como el biofarmaceútico, financiero y transporte, alcanzando el 52% del total de
ataques. 96
Vulnerabilidades
El número total de vulnerabilidades se basa en investigaciones de expertos de seguridad independientes
y vendedores de productos afectados. El total anual también incluye las de día-cero que los atacantes
descubrieron y que fueron identificadas después de la explotación. Otras motivaciones para llevar a
cabo la investigación de vulnerabilidades además de la seguridad, son las académicas o aquéllas originadas en temas vinculados a la calidad del software entre otras. Cabe recordar también, que la presencia
de vulnerabilidades es uno de los factores necesarios para que la amenaza concrete su ataque. A continuación se muestra la evolución de las vulnerabilidades en los últimos años.
Symantec Corporation - Evolución de las vulnerabilidades - 2011
97
Vulnerabilidades 2012
98
96
Symantec Corporation - Government Internet Security Threat Report Trends for 2010 – Consultado el
97
Julio 2013 – Pág. Nº 87/185
sociedad civil
La cantidad de vulnerabilidades ha decrecido aproximadamente un 20% desde el 2010, pero si bien ello
es positivo no refleja la tendencia. De hecho, en 2012 ha vuelto a aumentar.
Un tema importante es el relacionado con la vulnerabilidades de SCADA (Supervisory Control and Data
Acquisition). SCADA representa un conjunto de protocolos y tecnologías para monitorizar y gestionar
equipamiento y maquinaria en varios sectores de infraestructuras críticas y de la industria. Esto incluye
la generación de energía, manufactura, nafta y gas y tratamiento del agua entre otros. De manera que,
la seguridad de las tecnologías y protocoles de SCADA es de interés para la seguridad nacional dado que
la interrupción de los servicios relacionados pueden resultar en la falla de la infraestructura y la potencial pérdida de vidas, entre otras consecuencias adversas.
El número de vulnerabilidades de SCADA aumentó dramáticamente en 2011, llegando a 129 publicadas
en comparación con las 15 de 2010, aunque en 2012 se redujo a 85.
La seguridad de los sistemas SCADA fue siempre un área de interés, pero previamente al 2010 se encontraba en un estado más bien teórico. A partir de la aparición del Stuxnet en 2010, se incrementó la preocupación por SCADA. El 18/11/2011, un atacante conocido como Pr0f publicó capturas de pantalla que
muestran una interfaz de usuario que se utiliza para supervisar y controlar el equipo en el Departamento de Agua y Alcantarillado para la ciudad de South Houston, Texas.
MC AFEE 2012 - 2011
Respecto de vulnerabilidades en base de datos, MySQL ha tenido un lugar preponderante con el mayor
número de vulnerabilidades descubiertas o corregidas entre los productos líderes.
Durante 2012, han sido descubiertas o corregidas 62 vulnerabilidades de MySQL, lejos del segundo
puesto alcanzado por Oracle con 25 nuevas vulnerabilidades. MySQL es también un producto Oracle.
La mención más destacada del año 2009 en cuanto a vulnerabilidades se trata es para Adobe, por ser la
empresa que durante más tiempo ha dejado expuestos a sus clientes, así como por ser el fabricante de
los productos más explotados del año. En total fueron reportadas 45 vulnerabilidades en software de
dicha empresa. Comparando con otros paquetes de software, como por ejemplo Microsoft Windows
(todo el sistema operativo y aplicaciones base), han sido corregidas 41 vulnerabilidades. Así pues, este
año se han encontrado más vulnerabilidades en el software Adobe (Acrobat Reader y Flash Player), que
en un único sistema operativo a lo largo del tiempo. Por si esto fuera poco, lo más preocupante de este
triste récord es que la ventana de tiempo en la que los usuarios de sus productos han sido vulnerables
ha superado los 30 días en la mayoría de los casos. 99
También Apple ha crecido en cantidad de vulnerabilidades a medida que crece su presencia en el mercado.
98
Consultado el 29/04/2013 - http://www.symantec.com/content/en/us/enterprise/other_resources/bistr_main_report_v18_2012_21291018.en-us.pdf
99
http://www.pandasecurity.com/img/enc/Informe_Anual_Pandalabs_2009.pdf
Julio 2013 – Pág. Nº 88/185
sociedad civil
Ataques originados en la Web/Amenazas en la Web
Situación global
Como se explica en el Capítulo IV, Websense presenta a la web como el centro (origen) de todo el cibercrimen no sólo porque es una amenaza en si misma, sino porque da soporte a otros vectores de ataque
a través de los links utilizados por los medios de comunicación social, los dispositivos móviles y los correos electrónicos entre otros.
Un indicador importante, expuesto previamente en este informe, es el aumento de los web link maliciosos, el cual creció 100% durante 2011 y el 600% durante 2012.
Otro indicador muestra que durante el 2011 se encontró que el 82% de los sitios maliciosos de la web
era alojado sobre hosts comprometidos, mientras que en el 2012 este porcentaje creció al 85% a nivel
global.
Los cibercriminales ahora se enfocan en sitios legítimos dentro de categorías cuyo acceso puede ser
restringido por pocas organizaciones sin afectar la productividad.
Websense, Inc - Principales temáticas utilizadas por las amenazas web - 2012
100
Otra tendencia que se va acrecentando es la ocurrencia de actividades maliciosas en "lugares confiables" como EE.UU. o Canadá. Casi ninguna organización bloquearía dominios de EE.UU. (se impactaría
demasiado negativamente la experiencia de los usuarios en la web). De manera que tiene sentido para
los cibercriminales hacer uso de estos sitios web confiables.
100
Julio 2013 – Pág. Nº 89/185
sociedad civil
A continuación se muestra el alojamiento de malware (no incluye phishing) en el mundo y el ranking de
países víctima de las amenazas Web.
Websense, Inc - Los 10 primeros países del ranking mundial que alojan malware (no incluye phishing) - 2012 a la
izquierda y 2011 a la derecha
101
Países víctima en el mundo (2012)
1. EE.UU.
Países víctima en Latinoamérica y el Caribe (2012)
1. México
2. Francia
2. Brasil
3. UK
3. Argentina
4. Italia
4. Chile
5. Turquía
5. Colombia
6. China
6. Perú
7. India
7. Costa Rica
8. Canadá
8. Ecuador
9. México
9. Guatemala
10. Taiwan
10. Panamá
101
Websense, Inc – 2013 Threat Report - Consultado el 20/02/2013 http://www.websense.com/content/websense-2013-threat-report.aspx - Websense, Inc – Threat Report 2012 Consultado el 12/02/2013 - http://www.websense.com/content/websense-2012-threat-report-download.aspx
Julio 2013 – Pág. Nº 90/185
sociedad civil
Siendo una técnica muy expandida en 2010, año tras año se produjo un descenso significativo del denominado envenenamiento Blackhat SEO lo cual lleva a resultados de búsqueda más seguras. Esta reducción se produce a expensas de un fuerte crecimiento de las actividades de los cibercriminales dentro
de las redes sociales, Twitter y blogs.
Ahora las amenazas web se focalizan más en las vulnerabilidades de las aplicaciones que las de los sistemas operativos. Una aplicación en múltiples plataformas puede abrir una puerta de explotación para
el cibercrimen, aunque el sistema operativo sobre el que descansa tenga un buen ratio de seguridad.
MC AFEE 2012 - 2011
Mc Afee establece que los sitios web pueden ganar pobre reputación por una variedad de razones. Está
influenciada por el hospedaje de malware, programas potencialmente no deseados o sitios de phishing
(esto implica que Mc Afee incluye el phishing entre las amenazas web, cosa que Websense y Symantec no hacen), aunque también se observan combinaciones de código y funcionalidad. Asimismo aclara
que éstos son sólo algunos de los factores que contribuyen al rating que realizan sobre la reputación de
los sitios. La reputación se puede basar en dominios completos y en cualquier número de subdominios,
así como en una simple IP o hasta en una URL específica.
Mc Afee - Sitios sospechosos (incluye phishing) - 2012
102
El indicador denominado "ataques originados en la web" mide las fuentes originarias de ataques que
son distribuidos vía la Web o a través de HTTP. Generalmente se compromete sitios web legítimos y se
los usa para atacar a los visitantes desprevenidos. No incluye phishing.
102
Mc Afee - McAfee Threats Report:Fourth Quarter 2012– Consultado
http://www.mcafee.com/mx/resources/reports/rp-quarterly-threat-q4-2012.pdf
el
10/02/2013
Julio 2013 – Pág. Nº 91/185
-
sociedad civil
Symantec Corporation - Países donde se ubican los ataques originados en la web - 2012-2011
103
Por una cuestión de facilidad en la presentación, se ha incluido datos de Latinoamérica y El Caribe en el
apartado "Situación global" para las empresas Websense y Mc Afee.
Symantec Corporation - Países donde se ubican los ataques originados en la web - 2011
104
103
el
05/05/2013
Julio 2013 – Pág. Nº 92/185
sociedad civil
KASPERSKY 2012 - 2011
En la siguiente tabla, Kaspersky Latinoamérica muestra el porcentaje de usuarios atacados a través de la
Web 105.
País
Chile
Colombia
Panamá
Brasil
Honduras
Paraguay
Perú
Guatemala
México
Argentina
Uruguay
Costa Rica
Bolivia
Ecuador
Nicaragua
El Salvador
Venezuela
República Dominicana
Cantidad de usuarios
atacados vía Web
39%
39%
38%
37%
37%
37%
37%
36%
35%
35%
35%
34%
34%
34%
34%
33%
32%
30%
VARIOS 2010 - 2009
Actualmente los delincuentes dirigen sus ataques en tiempo real, por ejemplo utilizando las búsquedas
en líneas.
Los delincuentes utilizan técnicas de Blackhat SEO y suelen subir scripts PHP a las páginas atacadas. Estos scripts lanzan consultas al servicio de temas más populares de Google y a continuación generan archivos HTML correspondientes a los términos de búsqueda más utilizados.
“El motor de búsqueda es engañado para que ‘vea’ el material correspondiente, mientras que el usuario
es redireccionado a un sitio de distribución de malware en cuanto hace clic sobre el enlace del resultado
que aparece en primer lugar. Los delincuentes que se aprovechan de las técnicas de Blackhat SEO para
distribuir malware han explotado tanto los motores de búsqueda que los usuarios ya no saben si confiar
o no en los resultados de sus búsquedas – Lo que no son buenas noticias ni para los usuarios ni para las
104
105
Kaspersky - La geografía del ciberdelito: América Latina - Publicado el 11/09/2012 - Consultado el 11/04/2013 http://latam.kaspersky.com/geografiaciberdelitolatam
Julio 2013 – Pág. Nº 93/185
sociedad civil
empresas de los motores de búsqueda. Este año hemos sido testigos de múltiples campañas de Blackhat
SEO que explotaban los temas más populares del día, viendo como muchas de ellas conseguían colar
páginas maliciosas entre los primeros lugares de los resultados de las búsquedas.” 106
Websense Inc. informa que en el año 2010 el 22,4 % de de las búsquedas en tiempo real sobre entretenimientos dirige a un link malicioso, ya que los autores de software malicioso se focalizan en los rumores de la farándula y las noticias de último momento.
Otras compañías dan porcentajes más altos, probablemente usando métodos de conteo diferentes.
Pero lo cierto es que esta actividad maliciosa existe.
Muchos de los ataques SEO en el 2010 son combinados con un segundo componente que consiste en un
ROGUE ANTIVIRUS (ROGUEWARE). (Ver Falsos antivirus (rogueware)).
Ataques originados en la Web/Amenazas en la Web
Informe 2012 - 2011
Latinoamérica y El Caribe aparece representada por Brasil en el ranking global y tomando la región
como el universo, vemos que en general Brasil, México, Chile, Argentina y Colombia son los principales actores.
Si observamos los países víctima, encontramos que Websense señala a México como una de las 10
primeras y en la región, las cinco primeras son México, Brasil, Argentina, Chile y Colombia.
Las compañías no midieron esta actividad maliciosa en años anteriores o para ser más precisos, no
fue considerada de manera separada.
Informe 2010-2009
Se destacó el uso de las técnicas de Blackhat SEO para atacar a los usuarios en línea.
Redes Sociales
Los riesgos de las comunicaciones sociales en la web se expanden en función del estilo de vida "siempre
conectado" que apareció a partir de esta posibilidad desde los dispositivos móviles. Como se expuso
previamente, un estudio (FactsMark Authority) ha encontrado que los usuarios de dispositivos móviles
acceden a redes sociales durante más del 50% del tiempo de uso.
De todos los tweets que contienen web links, maliciosos y de los otros, el 18% contiene "web links cortos". Este uso es relativamente pequeño en Facebook, alcanzando sólo el 1,5% de todos los publicados.
Sin embargo, cuando se examina las piezas de colaboración (posting), las compartidas y los tweets de
106
Panda Security – Informe Anual PandaLabs 2010 – Consultado el 27/04/2011
Julio 2013 – Pág. Nº 94/185
–
sociedad civil
web links maliciosos a través de todas las redes sociales, los "web links cortos" ocultan una página maliciosa el 32% de las veces.
A continuación se presenta una tabla que muestra el ranking de uso de Twitter y Facebook en el mundo.
En el 2012, Twitter alcanzó más de 500 millones de usuarios y Facebook, 1000 millones, lo cual los transforma como vectores de ataque muy interesantes
1
2
3
4
5
6
7
8
9
10
Uso de Twitter 107
Estados Unidos
Brasil
Japón
Reino Unido
Indonesia
India
México
Canadá
España
Filipinas
Uso de Facebook 108
Estados Unidos
Brasil
India
Indonesia
México
Reino Unido
Turquía
Filipinas
Francia
Alemania
En su informe de 2011, Websense informa que en octubre de ese año inició una alianza con Facebook
para proveer inteligencia de seguridad en los sitios maliciosos para proteger a los usuarios. Después de
varios años de trabajar en conjunto con los grupos de seguridad de Facebook, lograron integrarse en la
plataforma.
Websense Security Labs recibe URLs para analizar y categorizar, tareas mediante las cuales ha logrado
identificar que el 42,8% de todas las actualizaciones corresponden a videos. Más de 5 veces la segunda
categoría, que corresponde a noticias y comunicaciones (8%).
Por supuesto, el cibercrimen respondió con un aumento de los señuelos por video (sobre ex novias o
novios, noticias de último momento, actrices hot, etc.) en Facebook. Y más allá de malware, el intercambio legítimo de videos entre amigos y compañeros de trabajo puede ser viral y por lo tanto, cargar la
banda ancha sin previo aviso.
Facebook sigue siendo la red social por excelencia, y por lo tanto también la preferida por los ciberdelincuentes. Apenas comenzado el año 2012 se descubrió un gusano que tenía almacenadas un total de
45.000 cuentas de Facebook robadas a usuarios. Se sospecha que las usaba para publicar en el muro de
sus víctimas y que así sus contactos se infectaran con el gusano.
107
Websense, Inc – 2013 Threat Report - En referencia a Techcrunch - July 30, 2012, "Analyst: Twitter Passed 500M
Users in June 2012, 140M Of Them in US. Jakarta 'Biggest Tweeting' City" - Consultado el 20/02/2013 http://www.websense.com/content/websense-2013-threat-report.aspx
108
Websense, Inc – Threat Report 2012 - En referencia a CheckFacebook.com - Jan. 10, 2013 - Consultado el
12/02/2013 - http://www.websense.com/content/websense-2012-threat-report-download.aspx
Julio 2013 – Pág. Nº 95/185
sociedad civil
LinkedIn, la conocida red social profesional, ha sufrido una intrusión en la que le han sustraído al menos
6 millones y medio de contraseñas, que fueron hechas públicas. La buena noticia es que estaban cifradas.
Por supuesto, las técnicas que se utilizaban en otros ámbitos, como el uso de noticias recientes para
engañar a los usuarios también tienen su lugar en las redes sociales. Por ejemplo durante 2011, en cuanto se supo que Steve Jobs había fallecido, fue creada una página de Facebook llamada “R.I.P. Steve
Jobs”, y miles de usuarios inocentes se unieron a la misma. En pocas horas llegaron hasta los 90.000
seguidores. Los cibercriminales publicaron un link usando el popular acortador de URLs bit.ly, diciendo
que Apple regalaría 50 iPads. Como es de imaginar, esto no era más que una estafa, y una vez que el
usuario hacía click en la url (la cual terminaba en “restinpeace-steve-jobs”) se le redirigía a un sitio web
en el que se ofrecían diferentes regalos, como iPads o televisores Sony Bravia. Para acceder a ellos se les
pedía información como el nombre, número de teléfono móvil, dirección de e-mail, etc.
Las redes sociales presentan grandes oportunidades para los negocios, pero también para los delincuentes ya que muchos de estos sitios no fueron diseñados con seguridad.
Los atacantes usan técnicas de phishing para luego solicitar acceso, a través de la aplicación maliciosa, a
toda su información personal, con lo cual puede dirigirse a todos los contactos de la víctima.
Panda Security informa en su reporte de 2010 que descubrió una página de venta de bots para redes
sociales. Según informa dicha página “el bot recoge información de las identidades y nombres de los
amigos y envía, de forma automática, solicitudes de amistad, mensajes con el contenido que se quiera o
comentarios”. 109
“Se ha visto en los últimos años que los atacantes combinan una gran variedad de tácticas para maximizar el potencial de éxito. Esta situación se conoce como una “convergencia de amenazas”. Esta convergencia a través de múltiples protocolos hace mucho más difícil la securización de aplicaciones en línea.
Los atacantes se están dirigiendo hacia los medios sociales, teniendo en cuenta el uso de las redes de
esta naturaleza y el acceso a datos del negocio por parte de los empleados mientras están en tránsito, en
la casa o realmente en cualquier lugar fuera de los confines de la red corporativa.” 110
Ya en un artículo de abril de 2008, informa Internacional Data Corporation (IDC) que de acuerdo con un
estudio reciente, “hoy día dos tercios de las empresas usan mínimo una aplicación Web 2.0; sin embargo, utilizar estas tecnologías emergentes sin una seguridad efectiva puede ser desastroso. El Vicepresidente de programa, Chris Christiansen, escribió en el reporte de IDC de enero de 2008 que las comunidades y aplicaciones Web 2.0 y Business 2.0 se convertirán en una fuente principal de fraude de identidad,
violaciones a la privacidad y pérdida de información de las organizaciones.” 111
109
110
Symantec Corporation – Message Labs Intelligence 2010 Annual Security Report – Consultado el 02/05/2011 http://www.messagelabs.com/mlireport/MessageLabsIntelligence_2010_Annual_Report_FINAL.pdf
111
CDS Comunicaciones – Artículo del 11/04/2008 “Websense revela la primera red de seguridad HoneyGrid” Consultado el 25/04/2011 http://www.cds11.com/magazine/index.php?option=com_content&task=view&id=467&Itemid=92
Julio 2013 – Pág. Nº 96/185
sociedad civil
Redes Sociales - Resumen
Tal como adelantó IDC en enero de 2008, y fuera recogido por el informe publicado por LACNIC
en 2011, la actividad cibercriminal ha ido creciendo raudamente en el período 2012-2009 focalizándose fuertemente en blogs, Tweets y las comunicaciones sociales a través de la web.
Violación de datos (Fuga de Información)
La violación de datos es en realidad uno de los objetivos buscado por los cibercriminales al realizar sus
ataques utilizando las amenazas que analizamos en el informe.
El informe "The Leaking Vault – Six Years of Data Breaches" resume su análisis de los años 2005 a 2010
indicando que la violación de sistemas (hacking) es el vector que ha expuesto la mayor cantidad de registros, que el robo de laptops es el vector más común y que el mayor daño fue producido por los ataques externos.
Este informe presenta los datos recogidos en 3.765 incidentes de violación de datos difundidos públicamente, comprendidos en los años 2005 a 2010. La información fue obtenida de las organizaciones que
hacen un seguimiento a estos eventos, como así como de fuentes gubernamentales. Incluye datos de
infracciones de 33 países así como los de los Estados Unidos y más de 806,2 millones registros.
Indica que el líder de los incidentes sigue siendo el robo de laptops, pero el vector "material impreso"
está en rápido crecimiento y demuestra la necesidad de gestionar tanto datos electrónicos
como documentos impresos. Este vector ha sido tendencia al alza durante varios años. El vector de piratería sigue siendo el líder de la pérdida de registros, responsable del 48% de los registros analizados en
el informe. El vector unidades/medios removibles está en segundo lugar dejando a la Web en tercer
lugar. Los externos siguen representando el mayor riesgo en términos de incidentes y registros revelados. Cuando la amenaza es un actor interno, es mucho más probable que sea accidental en la naturaleza. Aunque los incidentes accidentales son más frecuentes, también causan el mayor daño en términos
de registros revelados. 112
Websense, Inc hace referencia al informe expuesto previamente, y luego expresa que el robo por
malware a través de la web se incrementó en 2011 al 55%, desde el 52% del año anterior. El restante
45% que no pertenece a ese grupo usa canales que nos son web, tales como los puertos 8000 y 1034 por
troyanos o el puerto 25 para las comunicaciones de correo (SMTP). A través de los años han disminuido
los ataques por tráfico SQL y NetBios, mientras que el malware de robo de datos por comunicaciones de
correo se ha mantenido consistente.
En su informe de 2012 dice que los ciberataques intencionales y bien planificados por externos han crecido mientras que disminuyó la pérdida de datos a través de robos o pérdida accidental de laptops, cin112
Digital Forensics Association - "The Leaking Vault – Six Years of Data Breaches" - Publicado en agosto de 2011Consultado el 04/03/2013- http://www.digitalforensicsassociation.org/storage/The_Leaking_Vault_2011Six_Years_of_Data_Breaches.pdf
Julio 2013 – Pág. Nº 97/185
sociedad civil
tas de backup y otros repositorios de datos. También creció la amenaza de internos a medida que el
personal y los contratados tomaron ventaja de las comunicaciones cifradas (SSL, TSL), que es un nicho
ciego en crecimiento para las soluciones de seguridad a medida que el correo electrónico, las comunicaciones sociales y otros sitios populares y servicios comenzaron a usar este protocolo de cifrado.
El mercado de Información personal identificable (PII por sus siglas en inglés: personal identifiable information) está bien establecido haciendo que los ataques sean lucrativos y fáciles de convertir en dinero. También ha crecido el robo de propiedad intelectual (IP por sus siglas en inglés: intelectual property).
Mientras mayor cantidad de medidas de seguridad para proteger PII existan, ello puede ayudar a securizar las IP. Pero las organizaciones aún necesitan reevaluar sus procesos internos, procedimientos y controles a la luz de esta tendencia. Ellas deben abordar las amenazas internas para asegurar que los empleados son confiables a la hora de acceder a la información requerida para ejecutar sus funciones.
MC AFEE 2012 - 2011
En su informe respecto de 2011 Mc Afee informa que el total de violaciones de datos reportadas ha
aumentado considerablemente a partir de 2010 y los vectores han sido la piratería (hacking), el malware
y el fraude entre otros.
Mc Afee - Fuga de datos publicadas - 2011
113
En el informe correspondiente a 2012 da cuenta de más de 300 violaciones en ese año, significativamente más altas que las de años anteriores. Una de las violaciones más importante afectó al South Carolina
Department of Revenue. Su sitio web fue atacado, lo cual afectó a más de 6,4 millones de ciudadanos.
También se descubrieron violaciones en más de 100 universidades del mundo incluyendo Princeton,
Harvard, Cambridge, Moscú y Tokio. En este caso el equipo de GhostShell (hackers), asociados con
Anonymous, robó registros de más de 120.000 cuentas de usuarios.
113
Mc Afee - McAfee Threats Report:Fourth Quarter 2011 – Consultado
http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2011.pdf
el
10/02/2013
Julio 2013 – Pág. Nº 98/185
-
sociedad civil
Mc Afee - Fuga de datos publicadas - 2012
114
114
Mc Afee - McAfee Threats Report: Fourth Quarter 2012 – Consultado
http://www.mcafee.com/mx/resources/reports/rp-quarterly-threat-q4-2012.pdf
el
10/02/2013
Julio 2013 – Pág. Nº 99/185
-
sociedad civil
SYMANTEC 2012 - 2011
La violación de sistemas o computadoras (hacking - piratería) fue un tema importante en 2011 y aunque
no es la causa más frecuente de la violación de datos tiene potencialmente el mayor impacto y expuso
más de 187,2 millones de identidades, el mayor número para cualquier tipo de violación en 2011. En el
mundo se pierde por cada violación, alrededor de 1,1 millones de identidades, principalmente a través
de la violación de sistemas (hacking). A pesar del interés de los medios sobre este tipo de violación, el
robo a la vieja usanza o la pérdida de dispositivos fue la causa más frecuente de violación de datos en
2011, a través de todos los sectores, alcanzando un 34,3%, o aproximadamente 18,5 millones de identidades expuestas. Si bien no aclara otras causas expone que más de 232,4 millones de identidades fueron expuestas en el año. Las violaciones deliberadas fueron dirigidas a información relativa a consumidores, principalmente porque esta información puede ser usada para cometer fraude. Un estudio del
Ponemon Institute, encargado por Symantec Corporation, reveló que más organizaciones usaron tecnologías de "data loss prevention" (DLP) en 2011 y que se había perdido menos registros, con menos niveles de rotación de clientes que en años anteriores.
Symantec Corporation - Primeros diez sectores por números de violaciones y por número de identidades ex115
puestas - 2011
115
Consultado el 08/02/2013 - http://www.symantec.com/content/en/us/enterprise/other_resources/b-
Julio 2013 – Pág. Nº 100/185
sociedad civil
Un tema puntual que Symantec analiza en este informe es que las autoridades certificantes (quienes
proporcionan certificados SSL que ayudan a cifrar y autenticar sitios web y otros servicios on line) mostraron un número sin precedentes de ataque en 2011. A continuación algunos ejemplos:
Marzo - Un ataque comprometió las credenciales de acceso a los socios de Comodo y usó sus privilegios
para generar certificados SSL fraudulentos.
Julio - Un auditor interno descubrió una intrusión en la infraestructura de DigiNotar indicando el compromiso de sus claves criptográficas. Como consecuencia de este hecho tanto Google como Mozilla addons, Microsoft Update y otros usaron certificados fraudulentos.
Agosto - Un hacker (apodado ComodoHacker) reclamó el crédito por los ataques a Comodo, DigiNotar y
otras autoridades certificantes. Dijo ser de Irán.
Setiembre - Investigadores de seguridad demostraron que “Browser Exploit Against SSL/TLS” (BEAST) es
una técnica para tomar ventaja de una vulnerabilidad en la tecnología de encripción de TLS 1.0, un estándar usado por navegadores, servidores y Autoridades Certificantes.
PANDA 2012 - 2011
En su reporte 2012 la compañía informa que un ciudadano iraní, Khosrow Zarefarid, encontró una vulnerabilidad en el sistema bancario de su país y mandó una carta a los responsables de todos los bancos
de su país afectados. Al no recibir respuesta, violó 3 millones de cuentas bancarias pertenecientes a al
menos 22 entidades financieras distintas y creó un blog donde publicó toda la información, que incluía
el nº de tarjeta de crédito junto a su correspondiente PIN. Google cerró el blog de Zarefarid (alojado en
la plataforma Blogger) y todos los bancos afectados urgieron a sus clientes a que cambiaran el código
PIN de sus tarjetas.
El Departamento de Salud de UTAH sufrió una intrusión desde un país de Europa del Este, donde le robaron información de al menos 900.000 ciudadanos, incluyendo entre la información su número de la
Seguridad Social.
La compañía de seguros norteamericana Nationwide sufrió un ataque en su red que tuvo como resultado el robo de datos de más de 1 millón de clientes y empleados. La información incluía el nombre completo, dirección, número de la seguridad social y múltiples datos personales.
Mientras que en el 2011, el sitio web de la Agencia Espacial Europea fue hackeada y todos los datos
robados fueron hechos públicos. Entre los datos se encontraban nombres de usuario, cuentas ftp, e
incluso las contraseñas de las cuentas ftp que se encontraban en texto claro.
Citigroup ha protagonizado otro incidente vergonzoso, donde información de 360.000 cuentas ha sido
comprometida. Lo peor de este ataque, es que ni siquiera existió la necesidad de atacar un servidor,
simplemente “jugando” con la URL era posible acceder a la información de otra cuenta.
Sega, la popular compañía japonesa de videojuegos, ha sido otra de las víctimas: los datos de 1,3 millones de usuarios de su red Sega Pass fueron robados el pasado mes de junio, incluyendo nombres de
usuario, fechas de nacimiento, direcciones de correo y contraseñas, aunque éstas estaban cifradas, por
Julio 2013 – Pág. Nº 101/185
sociedad civil
lo que se minimiza algo el riesgo si el cifrado utilizado es fuerte, algo que vistas experiencias pasadas no
está suficientemente extendido.
VARIOS 2012 - 2011
El 2011 sorprendió con un ataque a la compañía Sony, la cual lo explicó de la siguiente manera:
“El ataque a la base de datos de clientes se realizó desde un servidor de aplicaciones conectado con ella,
y que estaba tras un servidor web y dos cortafuegos o firewalls. Según los responsables de la compañía,
el modo en que se realizó el hackeo “es un técnica muy sofisticada”.
Los autores del ataque lo encubrieron como una compra en la plataforma online de Sony, por lo que los
sistemas de seguridad no detectaron nada raro, y tras pasar del servidor web, lograron explotar una
vulnerabilidad del servidor de aplicaciones para instalar software que más tarde fue usado para acceder
al servidor de la base de datos, protegido por un tercer firewall.
La vulnerabilidad del servidor de aplicaciones donde se instaló el software para acceder a la base de
datos era desconocida por Sony, que ya se había apresurado a crear un puesto de jefe de seguridad de la
información para supervisar la seguridad de los datos de ahora en adelante, además de haber rehecho la
seguridad de la plataforma PlayStation Network para evitar que esto vuelva a pasar.” 116 En el link al pie
de la página puede verse un gráfico representativo.
En otro artículo publicado por ESET Latinoamérica en su blog de laboratorio se puede leer:
El presidente de la compañía, Kaz Hirai, confirmó que 10 millones de tarjetas de crédito de los 77 millones de usuarios han sido obtenidas por los atacantes, y la empresa ya informó a estos usuarios de los
hechos. De la misma rueda de prensa, fue posible obtener los datos de los usuarios afectados en Latinoamérica, y se trata nada más y nada menos que de más de un millón setecientos mil usuarios.
Un periodista que asistió a la conferencia, Mark MacDonald, publicó desde su cuenta de
Twitter (@markmacd) una foto del documento presentado el día de ayer, con el número
de cuentas afectadas por país, y de allí se derivan que los usuarios afectados en Latinoamérica, sólo tomando los países que se indican en las planillas (los más grandes en usuarios afectados), son los siguientes (de mayor a menor):
•
•
•
•
•
México: 957,543 cuentas.
Brasil: 448,839 cuentas.
Argentina: 101,269 cuentas.
Colombia: 93,246 cuentas.
Chile: 80,357 cuentas.
116
1080b bloggresivo – Artículo del 04/05/2011 “Sony explica como fue hackeada Playstation Network” – Consultado el 20/05/2011 - http://www.1080b.com/tecnologia/sony-explica-como-fue-hackeada-playstationnetwork/13526/
Julio 2013 – Pág. Nº 102/185
sociedad civil
•
Perú: 35,517
Si se tienen en cuenta otros países en números menores, el número asciende por encima de los
1.716.771 afectados. 117
En el link al pie de la página puede verse la foto enviada por el periodista.
VERIZON 2012 - 2011
Verizon, con la cooperación de Australian Federal Police, Dutch National High Tech Crime Unit, Irish
Reporting and Information Security Service, Police Central e-Crime Unit, and United States Secret Service produjo el 2012 el informe Data Breach Investigations Report (DBIR), reporte que analizó la violación
de datos durante 2011. Dicho estudio concluye que se registraron 855 incidentes y 174 millones de registros perdidos en 36 países. Verizon analiza esta información desde el punto de vista de organizaciones que son víctimas en el compromiso de datos y entre los países donde se asientan dichas organizaciones se encuentran Brasil y México.
Desde que comenzaron su investigación en el 2004, el año 2011 representa el segundo mayor total de
pérdida de datos.
Coincidiendo o bien en cercanía con otros reportes ya mencionados, informa que el 98% de los casos fue
producto de acciones externas y que la piratería (hacking) fue el origen o tuvo participación en el 81%
de los casos, con un incremento del 31%. También aumentó el malware en un 20% llegando al 69% de
total, mientras que los ataques que involucran dispositivos físicos disminuyeron el 19% para llegar al
10% del total. No hay coincidencia respecto de los sectores del mercado alcanzados. 118
VARIOS 2010 - 2009
El robo de identidad continúa siendo un problema de seguridad de alto perfil particularmente para organizaciones que almacenan grandes cantidades de información personal. No sólo pueden terminar en
la pérdida de datos personales dañando la confidencialidad de clientes e instituciones, sino que pueden
dañar la reputación de la organización y puede ser costoso para los individuos recuperarse del resultado
del robo de identidad.
Un gran número de violaciones de datos no necesariamente iguala la cantidad de identidades expuestas. Por ejemplo, los tres sectores que mayor cantidad de violaciones de datos sufrieron en el 2010 sólo
contabilizaron un cuarto de las identidades expuestas en el período en estudio. El promedio de identidades expuestas por violación de datos para cada uno de estos sectores fue menor a 38.000, mientras
que para el sector financiero fue de 236.000. 119
117
ESET Latinoamérica - Artículo del 05/05/2011 “SonyPlayStation: más de un millón de afectados en Latinoamérica” – Consultado el 20/05/2011 - http://blogs.eset-la.com/laboratorio/2011/05/05/sonyplaystation-mas-de-unmillon-de-afectados-en-latinoamerica/
118
Verizon - 2012 Data Breach Investigations Report – consultado el 15/03/2013 http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2012-ebk_en_xg.pdf
119
Julio 2013 – Pág. Nº 103/185
sociedad civil
En muchos casos uno de los aliados técnicos de la fuga de información es el software malicioso, que en
sus distintas formas y tipos permite acceder a equipos, explotar vulnerabilidades y afectar la privacidad
de forma directa. De hecho, como caso particular, el SPYWARE está diseñado para espiar los sistemas en
los cuales se logra alojar, haciendo que, por ejemplo, las contraseñas de un usuario sean capturadas, o
su información estadística de navegación sea tomada sin su consentimiento para fines económicos. En
el mismo sentido, dentro del software malicioso que produce este tipo de resultados, existen los denominados KEYLOGGERS, que son dispositivos de software o hardware que capturan silenciosamente lo tecleado por el usuario. Si bien este aspecto técnico debe resolverse principalmente con un software antivirus adecuado, también es indispensable que el usuario conozca los peligros a los que se expone, dado
que en muchos casos la falta de concientización es la que promueve la exposición directa a las amenazas. 120
Un artículo de elmundo.es publicado el 19/08/2009, da cuenta de lo que constituye el mayor caso de
robo informático de datos llevado a juicio en Estados Unidos, según las autoridades de ese país. Más de
130 millones de números de tarjetas de crédito y débito fueron robados por un 'cracker' de Miami y dos
compinches rusos, mediante un sofisticado ataque de 'SQL INJECTION' para penetrar en sus redes. 121
Violación de datos - Resumen
Informe 2012 -2011
Varios reportes indican que 2011 presentó un crecimiento inusitado en la violación de datos
con una distribución más amplia, respecto de países afectados, que años anteriores. Latinoamérica y El Caribe se encuentran representados por México, Brasil, Argentina, Colombia,
Chile y Perú.
Informe 2010 -2009
McAfee informa que Brasil ocupa el noveno lugar como fuente de ataque de SQL Injection 122, siendo éste un ataque utilizado para acceder a diferentes tipos de bases de datos.
120
ESET – Fuga de información. Una amenaza pasajera? – Consultado el 24/04/2011 - http://www.esetla.com/pdf/prensa/informe/fuga_de_informacion.pdf
121
elmundo.es – Artículo del 17/08/2009 “Un 'cracker' de 28 años, acusado de robar datos de 130 millones de
tarjetas de crédito” – Consultado el 27/04/2011 http://www.elmundo.es/elmundo/2009/08/17/navegante/1250535175.html
122
Julio 2013 – Pág. Nº 104/185
sociedad civil
Capítulo IV – Misceláneo de las Ciberamenazas
En el capítulo anterior observamos el cibercrimen desde el punto de vista de las cifras tratando de utilizar reportes de la mayor cantidad de compañías y organizaciones dedicadas al tema, con el objetivo de
proveer una visión de amplio espectro y a pesar de las dificultades, oportunamente explicadas, que presenta este análisis.
En este capítulo presentaremos toda información que resulte de interés y complementaria, tal como
antecedentes, detalles, historia, desarrollo, hechos significativos y técnicas empleadas, entre otros. Es
decir, todo aquello que permita entender, apreciar el alcance, adquirir una visión global tanto del cibercrimen como del enfoque de las compañías y organizaciones independientes de seguridad.
La presentación de los temas sigue el mismo orden que el utilizado en el capítulo anterior, aunque como
explicamos en él, la distribución resulte caprichosa.
Lamentablemente, no es posible encarar el estudio profundo del comportamiento y de las técnicas de
cada ciberamenaza, pues excede el objetivo del informe.
Cabe señalar que la mayoría de los casos presentados a lo largo del capítulo, incluyen transcripciones de
los reportes de las organizaciones y/o compañías que se indican a través de notas al pie además de los
correspondientes a las referenciadas en las notas al pie del capítulo anterior. Asimismo, estos casos han
sido incorporados bajo un título que indica la compañía u organización proveedora de la información.
Actividad Maliciosa en su Conjunto
WEBSENSE, INC. 2012 – 2011
En su informe correspondiente a 2012, esta compañía expresa que la web provee los cimientos para la
mayoría de las amenazas incluyendo los ataques a través de dispositivos móviles, correo, medios de
comunicación social u otros vectores. Ello es porque la web:
1. Es un vector de ataque en sí misma. Gracias a typosquatting y otras técnicas, los usuarios pueden
encontrar primero un ataque mientras navegan la web.
2. Da soporte a otros vectores de ataque. Los enlaces enviados a través de vectores tales como las
redes sociales, los dispositivos móviles o los correos electrónicos usan la web para complejos escapes y funciones de ataque.
SYMANTEC CORPORATION 2010 – 2009
La posición de Brasil en la región fue consecuencia del aumento de su participación en todas las mediciones de categorías específicas, en virtud del rápido y continuo crecimiento de su infraestructura de
Internet y del uso de banda ancha.
En el 2010, Brasil fue el país con la mayor cantidad de conexiones de banda ancha en la región, su participación en las grandes BOTNETS tales como Rustock, Maazben, y Ozdok (Mega-D), contribuye en su alto
rango de computadoras infectadas (BOTS), emisoras de SPAM y repositorios de PHISHING.
Julio 2013 – Pág. Nº 105/185
sociedad civil
Código malicioso (malicious code)/malware
¿Para qué se usan los códigos maliciosos? La mayoría de los ataques comienzan con una infección a
través de un código malicioso. El atacante lo introduce por técnicas de ingeniería social, utilizando archivos adjuntos en los correos electrónicos, creando sitios maliciosos, infectando los confiables o simplemente a través de algunos dispositivos.
Como vimos en el capítulo anterior existen diferentes tipos de código malicioso y cada uno tiene particularidades y objetivos propios. Continúan siendo una amenaza importante debido a que la mayoría de
la actividad maliciosa está motivada por la obtención de ganancias. Los troyanos alcanzan el mayor porcentaje tanto en el período 2011-2012 como en años anteriores. Muchos troyanos son diseñados para
robar información y esta funcionalidad es de particular interés de los criminales en virtud de su potencial uso en actividades fraudulentas. Los operadores de la economía clandestina usan estas amenazas
para ganar acceso a información bancaria y de tarjetas de crédito y para dirigir los ataques a empresas
específicas, muchas veces con la intención de robar propiedad intelectual, datos corporativos sensibles
como los de carácter financiero, planes de negocio o tecnología propietaria. Siendo tan extendido el uso
de las compras y operaciones bancarias en línea, los compromisos de este tipo pueden resultar en pérdidas financieras significativas.
Ataques de este tipo a las organizaciones puede llevar a importantes pérdidas de datos, con sus consiguientes costos, la pérdida de su reputación y de la confianza por parte de los clientes, así como el incumplimiento de reglamentaciones gubernamentales o de la industria.
Symantec Corporation – Principales muestras de códigos maliciosos en Latinoamérica y El Caribe - 2011
123
Es de destacar que los códigos maliciosos preponderantes en la región siguen siendo los mismos que en
el período 2010-2009. Una somera descripción de los mismos se encuentra al final de este tema.
123
el
08/02/2013
Julio 2013 – Pág. Nº 106/185
sociedad civil
124
125
124
Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos América Latina – Consultado el 04/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR-16Datasheet-LAM-SP.pdf
Julio 2013 – Pág. Nº 107/185
sociedad civil
Sality.AE
La principal muestra de códigos maliciosos por volumen de posibles infecciones en Latinoamérica y El
Caribe en 2010 fue Sality.AE. La actividad denunciada por este virus fue el principal contribuyente para
que la familia Sality ocupara el primer lugar en familias de códigos maliciosos a nivel mundial en 2010.
Descubierto en 2008, este virus ha sido una parte importante del panorama de amenazas desde entonces, además de ser la principal muestra de códigos maliciosos identificada por Symantec en 2009. La
simplicidad de propagación a través de dispositivos USB y otros medios de comunicación hace que códigos como Sality.AE (así como SillyFDC y otros) sean vehículos eficaces para instalar códigos maliciosos
adicionales en los equipos.
Conficker
El gusano Downadup (alias, Conficker) fue inicialmente descubierto en diciembre de 2008 y obtuvo significativa atención en 2009 debido a sus sofisticados atributos y eficacia.
A pesar de que el 23 de octubre de 2008 (es decir, antes de que Downadup estuviera incluso activo) se
liberó un parche para la vulnerabilidad, a fines de 2009 se estimó que el gusano todavía se encontraba
en más de 6 millones de computadoras en todo el mundo. Aunque este número disminuyó durante
2010, se estima que todavía estaba afectando entre 4 y 5 millones de PCs a finales de ese año. Este gusano fue la muestra de códigos malintencionados que ocupó el primer puesto en la región en 2009,
mientras que ocupó el tercero en el 2010.
También en 2009 hubo una fuerte expansión de Downadup en Brasil. Una explicación de este hecho es
que, como parte de su funcionalidad, el gusano puede centrarse específicamente en regiones con base
en su capacidad para identificar la configuración del idioma de una computadora atacada, de los cuales
uno es el “portugués (brasileño)”.
Ransomware
Dice Mc Afee en su informe correspondiente a 2012 que una de las razones del crecimiento del
ransomware es que representa un medio muy eficiente para que los criminales ganen dinero. Este método de recolección de efectivo es superior al usado por los productos AV falsos, por ejemplo, ya que
éstos deben procesar órdenes de tarjetas de crédito.
Otra razón es que el ecosistema del submundo está preparado para ayudar con servicios tales como
pago por instalación (pay-per-install o PPI) y también con la venta de exploit kits (son un tipo de herramientas maliciosas usadas para explotar las fallas de seguridad o vulnerabilidades del software - aplicaciones/sistemas operativos - con el propósito de distribuir malware).
Según Panda Security, el ransomware ha provocado una “epidemia” utilizando el miedo y el chantaje
como una forma de extorsión, para que los usuarios paguen de su bolsillo directamente a los ciberdelincuentes. Normalmente estamos acostumbrados a ver la mayoría de estos ataques utilizando como
idioma el inglés, pero en este caso los ataques están localizados, habiendo encontrado el uso del ale-
125
Julio 2013 – Pág. Nº 108/185
sociedad civil
mán, español, holandés o italiano (entre otros) en función del país de la víctima. Todos los ataques tienen como objetivo algún país europeo, por lo que parece que todos ellos están relacionados y podría ser
la misma banda de ciberdelincuentes la que está detrás de los mismos.
Analizando uno de estos ataques se puede ver que el archivo utiliza como
icono el siguiente Internet meme, popular ya que el grupo LulzSec lo utiliza
en sus comunicaciones.
Se lo llama el "virus de la policía" porque muestra un mensaje de esta fuerza de seguridad diciendo que ha sido detectado acceso a contenido ilegal
desde ese ordenador (desde pornografía infantil a envío de SPAM con temática terrorista), y que el
equipo será bloqueado para evitarlo hasta que el usuario pague una multa. ¿Cuánto más lejos pueden
llegar? Al final, lo que estos ciberdelincuentes pretenden es asustar a los usuarios lo máximo posible, de
tal forma que éstos paguen el rescate (la “multa”). Otra nueva evolución activaba la cámara web del
equipo infectado. ¿Para qué? Han modificado la típica página de advertencia que venían utilizando hasta
ahora para agregar un marco donde se muestran las imágenes que está capturando en tiempo real, la
webcam del equipo comprometido, y una leyenda que dice “Grabación de video”.
En realidad no está
grabando las imágenes ni enviándolas a ningún sitio,
simplemente muestra la imagen tomada por la cámara
web. Por supuesto,
el usuario no sabe
esto y la mayoría de
ellos entrarán en
fase de pánico y
pagarán lo antes
posible para evitar
seguir “siendo espiado por los cuerpos de seguridad”,
como se les hace
creer. La nueva variante no tiene función de cifrado de archivos, lo que hace suponer que los cibercriminales deben haber pensado que incluir las imágenes de la webcam era suficientemente aterrador.
Julio 2013 – Pág. Nº 109/185
sociedad civil
Dispositivos móviles
No es casual que Android sea el más atacado. Panda Security informa en el 2011 que a diferencia de iOS
en el iPhone, en Android es posible instalar cualquier aplicación desde cualquier lugar y no se exige que
sean firmadas. Además de esto, las aplicaciones que se suben a la tienda oficial de Android (Android
Market) no son examinadas con la misma minuciosidad que las de Apple. A principios de marzo del año
en cuestión tuvo lugar el mayor ataque de malware en Android conocido hasta ese año, esta vez las
aplicaciones maliciosas se encontraban en el Android Market, la tienda oficial para comprar aplicaciones. En sólo 4 días las aplicaciones que instalaban el troyano habían tenido más de 50.000 descargas. El
troyano en esta ocasión era mucho más avanzado, ya que no sólo robaba información personal del dispositivo, sino que podía descargar e instalar otras aplicaciones sin el conocimiento del usuario. Google
solucionó el problema, pero además ha eliminado más de 100 aplicaciones maliciosas a lo largo de 2011.
Por otro lado, continúa diciendo Panda Security, se ha conocido que Android tiene algunos fallos de
seguridad muy básicos, como demuestra el hecho de que almacena las contraseñas de correo electrónico en el dispositivo sin ningún tipo de encriptación, en texto plano. Esto facilita la vida a los ciberdelincuentes, ya que de una forma sencilla podrían robar todas las credenciales una vez han conseguido acceso al dispositivo. Pero los ciberdelincuentes no se fijarían en esta plataforma si no tuviera un amplio
número de usuarios. Google anunció en Junio de 2012 que se había llegado a la cifra de 400 millones de
dispositivos Android activados, y a principios de septiembre ya había alcanzado los 500 millones, con un
ritmo de activaciones de 1,3 millones al día.
Desde el punto de vista del mundo corporativo, dice Websense,
Inc. en su informe 2011 respecto
de BYOD (Bring your own device:
Traiga su propio dispositivo) que
los dispositivos móviles están
sujetos a las amenazas de la web
y del correo electrónico y que el
ser humano sigue siendo el eslabón más débil de la cadena de
seguridad. Los señuelos también
aplican más el redireccionamiento a regalos gratis, encuestas,
páginas de aplicaciones engañosas y SCAM para recolectar datos
de las credenciales. El panorama
de seguridad se expande con las
aplicaciones móviles que explotan permisos, más una alta probabilidad de dispositivos que se
pierden o son robados. Así, los
dispositivos móviles, las redes y
Julio 2013 – Pág. Nº 110/185
sociedad civil
las aplicaciones están fuera de control de la mayoría de las organizaciones. En su informe 2012 expone
un estudio sobre las aplicaciones maliciosas, donde muestra el uso de permisos que las aplicaciones
legítimas no utilizan (imagen adjunta). De allí que sugiere la verificación de los mismos por parte de los
usuarios.
A continuación se muestra el análisis realizado por Symantec Corporation en su informe de 2011, sobre
el código malicioso en dispositivos móviles.
Symantec Corporation – Distribución del malware en dispositivos móviles – 2011
126
El color de las subcategorías se corresponde con el de la distribución primaria. A continuación, la definición de las subcategorías:
•
•
•
Recolección de datos del dispositivo - recolecta información específica sobre la funcionalidad del
dispositivo tal como IMEI, IMSI, sistema operativo y datos de configuración.
Espía del usuario - Intencionalmente recolecta información del dispositivo para mantener monitorizado al usuario. Por ejemplo logs del teléfono y los SMS y los envía a fuentes remotas.
Envío de SMS Premium - Envía mensajes SMS a números premium, que luego son cargados a la
cuenta del usuario.
126
Julio 2013 – Pág. Nº 111/185
sociedad civil
•
•
•
•
•
•
•
•
•
Downloader (descarga) - Pueden descargar otros riesgos en el dispositivo comprometido.
Puerta trasera - Abre puertas traseras en el dispositivo comprometido, permitiendo a los atacantes
ejecutar acciones arbitrarias.
Seguimiento de ubicaciones - Recolecta información del GPS del dispositivo para realizar el seguimiento del usuario.
Modificación de la configuración - Cambia la configuración del dispositivo comprometido.
SPAM - Envía mensajes de SPAM desde el dispositivo comprometido.
Robo de material - Envía material, por ejemplo fotos, a una fuente remota.
Elevación de privilegios - Trata de ganar privilegios más allá de los establecidos en la instalación de
la aplicación.
Troyanos bancarios - Monitoriza el dispositivo en búsqueda de transacciones bancarias, recogiendo
detalles sensitivos para acciones maliciosas posteriores.
Envenenamiento SEO - Periódicamente dirige al browser del teléfono a URLs predeterminadas para
elevar el ranking de búsquedas.
SPAM
Puede observarse a través de los años que un alto porcentaje del SPAM se envía a través de botnets. En
el 2011 fue del 81,2%.
La mayoría del resto del SPAM no enviado por botnets se origina en servidores de correo comprometidos y cuentas de webmails creadas usando herramientas que quiebran la rutina CAPTCHA (Completely
Automated Public Turing test to tell Computer and Humans Apart).
Lo cual indica que el correo es una de las principales causas del ingreso a sitios web maliciosos que pueden infectar los equipos. Otros de los objetivos de este tipo de correos son la venta ilegal de productos y
la distribución directa de software malicioso.
Se ha detectado también que los distribuidores de SPAM realizan campañas utilizando noticias actuales
e impactantes sean ciertas o no, como por ejemplo la crisis económica global, la elección de Barack
Obama, la pandemia H1N1, la muerte de Michel Jackson, el accidente del vuelo 447 de Air France, entre
otros. En Latinoamérica y El Caribe, por ejemplo, el Mundial de Fútbol del año 2010 en Sudáfrica fue un
pretexto perfecto para su explotación con fines delictivos.
El SPAM puede ser combinado con el SCAM (estafa). Éste es un tipo mensaje en el que se ofrece la posibilidad de ganar grandes sumas de dinero de forma sencilla. Uno de los más conocidos es el “419 scam”,
que lleva su nombre por la sección del Código Criminal Nigeriano que trata el fraude. En general avisa al
usuario que va a recibir una suma de dinero a través de la lotería, un nuevo trabajo o porque han sido
nominados como beneficiarios de una persona que posee una fortuna.
Si bien el SPAM no es considerado un delito en sí mismo, su efecto sobre el desempeño de las organizaciones y el avance sobre la voluntad de cada usuario de recibir sólo aquellos mensajes de correo electrónico que desea, lo transforman en un fenómeno de alto impacto negativo, por lo que su análisis se
incluye en este informe. En esta línea cabe destacar asimismo que su encadenamiento con otros tipos
de ataques, contribuye sustancialmente a la comisión de actos ilícitos o contrarios a la Ley.
Julio 2013 – Pág. Nº 112/185
sociedad civil
Phishing
APWG 2012 – 2011
Es importante aclarar algunos conceptos para entender la información presentada. APWG utiliza unidades de medida que le permitan representar los hechos consistentemente a través del tiempo para lo
cual obtienen números “únicos”, es decir sin duplicados, cuya consecuencia es la significativa reducción
de las cifras resultantes. Sin embargo, se debe tener en cuenta que se reportan millones de URLs de
phishing, las cuales pueden captar millones de incautos cibernautas. 127
Phishing domain names: Cantidad de nombres de dominios “únicos” utilizados para phishing. Un dominio puede contener varios sitios de phishing que lanzan sus ataques sobre entidades, por ejemplo bancos, o marcas determinadas. Los “nombres de dominio” están definidos como de segundo nivel más los
de tercer nivel, si las autoridades de registración lo ofrecen.
Attacks (sitios de phishing): Cantidad de sitios de phishing “únicos”. Éstos se alojan en los “PHISHING
HOSTS”.
TLDs (Top level domain) used: Dominios de alto nivel usados. Por ej. Org, com.
IP-based Ips (unique Ips): En vez de utilizar nombres de dominio utilizan números de IP.
Maliciously registered domains: Dominios registrados por los phishers para cometer los ataques. El resto
son dominios legítimos que fueron comprometidos.
IDN Domains: Nombres de dominio que incluyen uno o más caracteres no-ASCII, tales como los arábigos, chinos, etc. Hasta ahora estos dominios no presentan una tendencia creciente en su uso por parte
de los phishers.
Cabe señalar que en el segundo semestre de 2009 se ve incrementado el número de sitios de phishing
como resultado de la actividad de Avalancha, una de las más dañinas entidades criminales que sobre el
final del 2009 produjo los dos tercios del total de phishing. Esta red reduce su actividad en el primer
semestre de 2010, y su infraestructura es utilizada por los criminales para originar los ataques del notorio troyano Zeus.
Avalancha usa todo tipo de trucos de ingeniería social para dirigir a sus víctimas hacia la recepción del
software malicioso Zeus. Envía falsos alertas y mensajes de actualización pretendiendo que llegan de
sitios de redes sociales y atrae a la gente ofreciendo la actualización de populares software o engañándola para descarga formularios de las autoridades gubernamentales, con lo cual los criminales infectan
las máquinas. Una vez que son infectadas el criminal puede acceder remotamente, robar la información
personal e interceptar contraseñas y transacciones en línea.
Otra de las herramientas de las que los phishers están haciendo significativo uso son los servicios de
registración de subdominios para crear sitios de phishing. Ésta es una tendencia inquietante, porque el
phish en subdominios sólo puede ser efectivamente mitigado por el proveedor del subdominio (los registradores u operadores de registro no pueden mitigar este phishing suspendiendo el dominio principal
127
Se destaca esta frase en negrita a los efectos de que el lector perciba la magnitud de este ataque ya que, por las
razones explicadas en el texto, las cifras expuestas no permiten avizorar el verdadero alcance.
Julio 2013 – Pág. Nº 113/185
sociedad civil
– dado que si así lo hicieran, neutralizarían todos los subdominios dependientes – lo cual afectaría a
usuarios inocentes) y algunos de esos proveedores son indiferentes a las quejas.
Definimos “servicio de registración de subdominios” como proveedores que entregan a sus clientes
“subdomain hosting accounts”, debajo de un dominio del cual el proveedor es dueño. Estos servicios
ofrecen al usuario la habilidad de definir un nombre en su propio espacio de DNS para una variedad de
propósitos. Así un cliente obtendrá un HOSTNAME para usar para su propio sitio Web o correo electrónico
de la forma:
<customer_term>.<service_provider_sld>.TLD
Se ha visto un rápido crecimiento de la tendencia de usar la funcionalidad de “shortening” URL (URL
cortas) para esconder las URL de phishing. La popularidad del servicio en línea de Twitter y otras redes
de sitios sociales han conducido una gran parte de esta demanda. Los usuarios de esos servicios pueden
obtener una muy corta URL para usar en su limitado espacio que redireccionará automáticamente al
visitante a una URL escondida mucho más larga.
Éste es un espacio tan rico como el espacio de dominio regulado, con tanto dinero, más modelos de
negocio y sin reglas verdaderas. En consecuencia, no es sorprendente ver a los criminales trabajando en
este espacio a medida que en el gTLD (TLD genéricos) y ccTLD (TLD por código de país) se implementa
mejores políticas y procedimientos anti-abuso.
Una medida importante a tener en cuenta es el período de tiempo en el que los sitios de phishing permanecen “vivos” (up-time).
Cuanto más tiempo un sitio permanece activo, mayor cantidad de dinero pierden las víctimas y las instituciones a las que toman como centro de su ataque. Se cree que los días más lucrativos para el atacante
son los dos primeros. Es por ello que es tan importante bajarlos cuanto antes.
Los programas anti-phishing implementados por los registros de nombre de dominio pueden reducir los
up-times y las registraciones maliciosas que se realizan en esos sitios.
Cabe señalar que Symantec Corporation establece que en los sitios de phishing se crean y producen
ataques utilizando alguna de las siguientes técnicas:
•
•
•
•
•
Other unique domains – Cantidad de nombres de dominios “únicos” utilizados para phishing. Un
dominio puede contener varios sitios de phishing.
Herramientas automatizadas – Facilitan la creación de sitios web de phishing. Permiten a los individuos crear y llevar adelante ataques de phishing aún sin que posean conocimientos técnicos.
Free Web Hosting Sites – El Web-Hosting es un tipo de servicio de alojamiento que permite a individuos y organizaciones incluir sus propios sitios web. Existen diferentes tipos tales como el libre
(free), compartido (shared), dedicado (dedicated), gestionado (managed), etc. El libre es habitualmente usado para crear sitios web de phishing.
IP Adress domain – Utilización de números de IP como nombres de dominio
Typosquatting – Es una técnica basada en los eventuales errores tipográficos en que puede incurrir
un internauta a la hora de introducir en su navegador la URL de una página web. De este modo, a
Julio 2013 – Pág. Nº 114/185
sociedad civil
todo aquel usuario que accidentalmente introduzca una dirección web incorrecta, se le mostrará
una información alternativa en una página web distinta, gestionada por un cybersquatter, y que no
se corresponde con la página realmente buscada. 128
A continuación se presenta la composición provista por Symantec Corporation. 129
A priori no podemos establecer si el alojamiento (hosting) de Websense es igual al conjunto de categorías utilizadas por Symantec. También APWG hace una distinción semejante a la de Symantec Corporation.
WEBSENSE, INC 2012 – 2011
Los datos obtenidos durante 2012 indican que los cibercriminales están usando lenguajes y eventos
locales para alcanzar los negocios y usuarios de regiones o áreas específicas.
A comienzo de 2012, IDC y otros analistas reportaron que las defensas basadas en firmas no podrían
atender las amenazas emergentes.
Estos datos, así como otros que figuran en este informe dan cuenta de que a medida que transcurrió el
año la situación empeoró, que la defensa tradicional ya no alcanza y que es necesario cambiar las estrategias.
El SPEAR-PHISHING ha aumentado y muchos de los notables ataques del 2012 mostraron el valor que los
cibercriminales dan a esta técnica. Un ataque de spear-phishing comienza con un cibercriminal
realizando un "reconocimiento" en línea para recopilar información sobre el trabajo, educación, pasatiempos u otros intereses de la víctima que será el sujeto de ataque. Esto permite que el delincuente
crea un mensaje personalizado que va a atraer a la víctima a actuar, sin levantar sospechas.
Ataques como Flame14, Zeus15, Stuxnet16 y October17 Roja fueron entregados a menudo como resultado de mensajes spear-phishing altamente orientados, enviados individuos o grupos seleccionados.
Muchos de estos ataques tienen una vida útil larga. Mediante la construcción de nuevos correos elec128
#TCBlog El Marketing en español - El typosquatting en los nombres de dominio - Consultado el 27/03/2013 http://www.territoriocreativo.es/etc/2012/03/el-typosquatting-en-los-nombres-de-dominio.html
129
Symantec Corporation – Symantec Intelligence Report: December 2012 - Consultado el 20/02/2013 http://www.symanteccloud.com/en/gb/mlireport/SYMCINT_2012_12_December.pdf
Julio 2013 – Pág. Nº 115/185
sociedad civil
trónicos, los cibercriminales puede utilizar el mismo malware repetidamente durante varios años con
sólo cambios menores.
Botnet
En los siguientes enlaces:
http://www.symantec.com/threatreport/topic.jsp?id=spam_fraud_activity_trends&aid=spam_botnets_
analysis, y
http://www.symantec.com/threatreport/topic.jsp?id=threat_activity_trends&aid=bot_infected_comput
ers es posible encontrar un análisis realizado por Symantec Corporation en su informe anual 2011, donde se puede ver el comportamiento y la estrategia utilizada por varias botnets importantes.
ESET 2010 – 2009
El laboratorio de ESET Latinoamérica en su informe “Tendencias 2011: las botnet y el software malicioso
dinámico” 130 plantea una idea novedosa respecto de la evolución del software malicioso.
Expresa que años atrás, un desarrollador de este tipo de software decidía al momento de crear un código malicioso cuáles serían las tareas que realizaría el mismo luego de infectar un sistema. Por ejemplo,
qué archivos serían modificados, qué información sería capturada o a qué dirección del atacante sería
enviada la misma, entre otros. Al aparecer los troyanos del tipo puerta trasera (Ver pág 47) aparecen los
primeros indicios de código malicioso dinámico. Se entiende por código malicioso dinámico aquél que
primero infecta el sistema y luego, a través de algún acceso remoto al equipo afectado, permite al atacante realizar diversas tareas mientras el equipo no sea desinfectado.
Los troyanos del tipo puerta trasera han dejado el lugar en los últimos años a aquellos del tipo bot, diseñados para armar redes de computadoras infectadas: botnets.
Una colección de computadoras es inútil sin algún mecanismo de control. El Comando de Control, o
C&C, constituye la interface entre la botnet y su dueño. El dueño dirige el C&C y así comanda los bots.
Ataques originados en la Web/Amenazas en la Web y Redes Sociales
WEBSENSE, INC 2012 – 2011
En su informe 2012, la compañía expone que la capacidad de utilizar nombres acortados para enlaces
web en la mensajería, que es especialmente útil en formatos comprimidos como los de Twitter, ha existido durante varios años. Los cibercriminales a menudo usan esta táctica para confundir a las soluciones
de filtros web de gama más baja. Este acortamiento de los nombres de los link también permite a los
ciberdelincuentes superar un "efecto secundario" de usar anfitriones (host) comprometidos para sus
ataques cibernéticos. Por ejemplo, para evitar la detección los cibercriminales tratan de minimizar cualquier actividad maliciosa en las páginas populares del host. Por lo tanto, una vez que obtienen el acceso
a un host, suelen ocultar sus propias páginas maliciosas en la profundidad del árbol de directorios. Este
130
ESET Latinoamérica - Tendencias 2011: las botnet y el malware dinámico – Consultado el 23/04/2011 http://eset-la.com/pdf/prensa/informe/tendencias_2011_las_botnet_y_el_malware_dinamico.pdf
Julio 2013 – Pág. Nº 116/185
sociedad civil
proceso genera enlaces muy largos y complejos que pueden alertar a un usuario precavido. El acortamiento del nombre del enlace resuelve ese problema.
Las regulaciones gubernamentales, los controles de los ISP, la conectividad y otros factores influyen
sobre la manera en que los cibercriminales usan ciertos países en diferentes aspectos de sus planes de
ataque. Por ejemplo, para alcanzar víctimas en Brasil un cibercriminal puede elegir armar un sitio web
para phishing en EE.UU., enviar SPAM desde Alemania, alojar malware en Rusia y establecer un “Comando y Control” (C&C) en China.
Los protocolos encriptados comenzaron a ser usados por varios sitios lo cual transforma a las comunicaciones inaccesibles para los cibercriminales, pero también para los mecanismos de defensa. Si bien la
explosión de las redes sociales, los dispositivos móviles y el crecimiento de internautas alrededor del
mundo habían sido previstos, la actividad criminal excedió cualquier cálculo previo.
Desde hace unos pocos años atrás, los proveedores de productos de seguridad, los analistas de la industria y otros han avisado que los cibercriminales estaban efectuando ataques dirigidos de manera creciente. Los datos que se obtienen actualmente (2012) indican que los cibercriminales están usando lenguajes y eventos locales para alcanzar los negocios y usuarios de regiones o áreas específicas.
En el informe de 2011, dice que la Web se ha transformado en la mayor plataforma de entretenimiento
y justamente por ello, es un lugar apropiado para los señuelos que naturalmente atraen la curiosidad
humana.
Los videos engañosos han sobresalido en 2011, a menudo con expresiones sobre temas impactantes o
exhibicionistas.
Los engaños y las redirecciones se han movido hacia los blogs, las redes sociales y los tweets. Por la costumbre que tienen las personas de usar las mismas contraseñas en todos los ámbitos, acceder a las contraseñas de redes sociales puede ayudar a acceder información financiera o confidencial en línea. Los
Las redes sociales siguen siendo la base de las comunicaciones privadas entre los socios, amigos y familiares. Cosechar credenciales de dichas redes sociales abre la puerta a la ciberdelincuencia para aprovechar una relación de confianza para introducir señuelos.
El consumismo es alimentado por las ofertas de regalos gratis o recompensas por muy poco esfuerzo. El
aumento de las comunicaciones en línea desarrollan patrones de comportamiento de anonimato, extroversión, multi-tarea que lleva a una mayor desviación, la gratificación instantánea, y la impaciencia. La
creación de un ambiente óptimo para la ciberdelincuencia para aprovechar las debilidades de la humanidad. La mayoría de las amenazas de hoy en día tienen un componente web para señuelos, redirecciones, encontrar vulnerabilidades, entrega de malware o robo de datos. Un entorno web inseguro socava
la confianza, la confidencialidad, la reputación e impide la realización de negocios. La seguridad en la
Web hoy en día es sobre el contexto y la contención en un entorno de análisis predictivo en tiempo real
es necesaria para reducir el riesgo.
En resumen, las redes sociales continúa dominando las comunicaciones, así como la movilidad y la
computación en la nube extienden los perímetros de seguridad a los dispositivos, redes y aplicaciones
cuyo control es sumamente dificultoso. Lo que debe quedar bajo nuestro control son nuestros datos. Y
Julio 2013 – Pág. Nº 117/185
sociedad civil
el cambio hacia la gestión de riesgos y las defensas para proteger los datos confidenciales es urgente e
imperativo.
Cabe señalar que en estos años no existía esta categoría entre las actividades maliciosas. Fue incorporada a partir de 2011. Esto muestra cómo fue cambiando de estrategia la actividad maliciosa.
Ciber Espionaje
Resulta complicado hacer una catalogación de los diferentes tipos de cibercrimen a partir de los informes de los distintos analistas ya que cada uno utiliza su propia tipificación. Por ejemplo, la violación de
datos podría alcanzar, además de datos personales, la propiedad intelectual o la información altamente
sensitiva de algunos sectores de la producción y del gobierno.
Las compañías no tienen el mismo nombre para los hechos resultantes del impacto de las ciberamenazas. Por ej. PANDA identifica como CIBERDELINCUENCIA al robo de información para convertir en dinero, pero también a ataques contra empresas, periodistas, modelos y artistas, etc. Todas son violaciones
de datos pero el efecto es distinto y difícil de clasificar.
De acuerdo con lo que pudimos analizar en los reportes utilizados, vamos a incluir en este punto aquellos ataques que han sido dirigidos específicamente para obtener información de alto valor del gobierno
o el sector privado, o bien para causarles daño.
Es importante señalar que se ha avanzado mucho y exitosamente en la lucha contra el cibercrimen, incluso produciendo arrestos y condenas, si bien es cierto que estos avances no logran detener el evolución constante de los grupos de cibercriminales.
Websense, Inc en su informe respecto de 2012 nos dice que la IP (propiedad intelectual) no sólo involucra secretos militares o avances médicos por ser considerados muy valioso por los cibercriminales. En la
industria del juguete por ejemplo, un blogger fue demandado el año pasado por filtración de información sobre productos Nerf (armas de juguete) que aún no habían sido puestos a la venta. Ni siquiera se
salvan las agencias de seguridad. Los secretos compartidos por varios gobiernos sobre la lucha contra el
terrorismo pudieron haber sido comprometidos por un robo masivo de datos perpetrado por un técnico
de TI que trabajaba en el Switzerland’s intelligence service (NDB ). En cualquier lado, siempre la IP es
valiosa para alguien.
En su informe 2011, Symantec Corporation dice que los ataques dirigidos aumentaron dramáticamente
durante 2011 de un promedio de 77 por día en 2010 a 82 en 2011. Symantec asocia estos ataques a las
ATP (siglas del inglés, Advanced Persistent Threat o Amenaza Avanzada Persistente, en idioma castellano), las cuales atrajeron más atención pública como resultados de algunos bien publicitados incidentes.
Los ataques dirigidos usan malware personalizado y refinada ingeniería social con el objetivo de ganar
acceso a información sensitiva. Ésta es la siguiente evolución de la ingeniería social, donde las víctimas
son investigadas profundamente y específicamente direccionadas. Típicamente, los criminales usan los
ataques dirigidos para robar información valiosa tal como datos financieros de clientes para obtener
Julio 2013 – Pág. Nº 118/185
sociedad civil
ganancias financieras. Las APT usan ataques dirigidos como parte de una campaña de larga duración de
espionaje, típicamente alcanzando información o sistemas de alto valor en el gobierno o la industria. En
el 2010 sobresalió Stuxnet: un gusano que se distribuyó ampliamente que lleva un PAYLOAD especializado diseñado para alcanzar sistemas que controlan y monitorean procesos industriales. Su creación despertó la sospecha de que había sido usado para alcanzar las instalaciones nucleares en Irán y mostró que
los ataques dirigidos podían ser usados para causar daño físico en el mundo concreto, haciendo real el
espectro del ciber-sabotaje. (Ver pág. 123).
En octubre 2011, apareció Duqu que es descendiente de Stuxnet, el cual si bien presagiaba otro sabotaje, a la fecha del presente informe no se encontró evidencia de ninguno.
Varios ataques de larga duración se produjeron contra la industria del petróleo, la química y algunas
organizaciones no gubernamentales en 2011.
Los ataques dirigidos afectan a todos los sectores de la economía. Sin embargo, dos tercios de las campañas de ataque se centran en un número muy limitado de organizaciones
en un determinado sector y más de la mitad se focalizan en la defensa y en el sector aeroespacial, a
veces atacando la misma compañía en diferentes países al mismo tiempo, utilizando en ocasiones ZERODAY exploits que las hacen especialmente potentes. Sin embargo, es un error suponer que sólo las grandes empresas sufren de ataques dirigidos. De hecho, mientras que muchos propietarios de negocios
pequeños creen que nunca serán víctima de un ataque dirigido, más de la mitad buscaban alcanzar a las
organizaciones con menos de 2.500 empleados y, además, el 17,8% fueron dirigidas en las empresas con
menos de 250 empleados. Es posible que las pequeñas empresas sean utilizadas como un trampolín
para llegar a una organización más grande, ya que pueden estar en su cadena de suministro o ecosistema de socios.
Advanced Persistent Threats (APT) - Esta expresión está en boga en los medios y sus consecuencias
pueden ser realmente peligrosas. Por ejemplo, utilizando este tipo de mecanismos se han robado en
marzo de 2011, 24.000 archivos de un proveedor del Departamento de Defensa de los Estados Unidos,
relacionados con un sistema de armamento en desarrollo. Los gobiernos están tomando este tipo de
amenazas muy seriamente y han comenzado a invertir en programas para enfrentarlas.
Todas las APT conforman ataques dirigidos específicos, usando diferentes tipos de vectores de ataque
que involucran phishing y SPAM entre otros. Difieren de los ataques dirigidos convencionales en varias
cuestiones significativas, entre las que se pueden mencionar:
1. Usan herramientas y técnicas de intrusión personalizadas.
2. Usan sigilosos, pacientes y persistentes métodos para reducir el riesgo de detección.
3. Su objetivo es recolectar objetivos nacionales de alto valor tales como militares, políticos o económicos.
4. Tienen suficientes fondos y recursos, quizás operando con el soporte de organizaciones de inteligencia militar o estatal.
5. Prefieren las organizaciones de importancia estratégica tales como agencias gubernamentales, proveedores para la defensa, industriales de alto perfil, operadores de infraestructura crítica y sus ecosistemas.
Julio 2013 – Pág. Nº 119/185
sociedad civil
El Instituto Nacional de Estándares y Tecnología del Gobierno Federal de los Estados Unidos (NIST), establece la siguiente definición de APT: Un adversario que posee niveles sofisticados de experiencia e
importantes recursos que permiten crear oportunidades para lograr sus objetivos mediante el uso de
ataques de múltiples vectores (por ejemplo, cibernética, física y engaño). Estos objetivos típicamente
incluyen el establecimiento y extensión de puntos de apoyo dentro de la infraestructura de tecnología
de información de las organizaciones a alcanzar con el propósito de filtrar información, menoscabar o
impedir los aspectos críticos de la misión, programa u organización, o posicionarse a sí mismo para llevar a cabo estos objetivos en el futuro. La APT: (i) persigue sus objetivos repetidamente durante un período prolongado de tiempo, (ii) se adapta a los esfuerzos de los defensores para resistir, y (iii) se propone firmemente mantener el nivel de interacción necesario para ejecutar sus objetivos. 131
MC AFEE 2012 - 2011
En su in informe de 2012, Mc Afee expone que en los meses recientes apareció un malware que se dirige a bases de datos comerciales. Su nombre es "Narilam" y es un mecanismo de primera clase para sabotear bases de datos. Este gusano se instala en las máquinas de una manera típica para el malware. Sin
embargo, su función es inusual. El gusano trata de acceder a las bases de datos de Microsoft SQL Server.
Narilam fue diseñado para dañar las bases de datos de tres aplicaciones financieras denominadas Maliran, Shahd y Amin desarrolladas por TarrahSystem Azarbyjan, Inc.
También en 2011 existieron varios ataques dirigidos a sistemas industriales e infraestructuras críticas.
Por ejemplo, el 18 de noviembre, un atacante conocido como Pr0f publicó capturas de pantalla que
muestran una interfaz de usuario que se utilizaba para supervisar y controlar el equipo en el Departamento de Agua y Alcantarillado de la ciudad de South Houston, Texas. Desde el 7 al 10 de diciembre un
malware detectado en algunas redes de Georgia, forzaron al cierre de un hospital ubicado en dicha área.
PANDA 2012 - 2011
En su reporte de 2012, la compañía informa que en el caso de fraudes relacionados con entidades financieras, es habitual ver avanzados ataques cuyo objetivo es robar la identidad de los usuarios para así
hacerse pasar por ellos y vaciar sus cuentas. Sin embargo, según indica la empresa, ese año comenzó
con un caso bastante atípico. En Sudáfrica, el South African Postbank sufrió pérdidas de 6,7 millones de
dólares en un ataque sucedido durante los 3 primeros días del año. El grupo de ciberdelincuentes detrás
del ataque lo estaba planeando desde hacía meses, y además había conseguido el control del ordenador
de un empleado de la entidad.
En el mes de mayo de 2011 todo el catálogo de Michael Jackson de Sony Music fue robado, incluyendo
material inédito. Esto sucedió después de que Sony fuera atacada en ese mismo año, cuando la información personal de varios millones de clientes fue sustraída en 2 incidentes diferentes que afectaron a
la PlayStation Network y a Sony Online Entertainment. Los responsables fueron arrestados y serán juzgados en algún momento del año 2013.
131
National Institute of Standards and Technology (NIST) - Special Publication 800-39, Managing Information Security Risk, Organization, Mission, and Information System View - USA - 2011 - Consultado el 27/03/2013 http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf
Julio 2013 – Pág. Nº 120/185
sociedad civil
En noviembre, la Agencia Internacional de Energía Atómica dependiente de la ONU fue atacada por un
grupo denominado “Parastoo”, que publicó parte de la información robada en Pastebin 132. Este mismo
mes, la Agencia de Exploración Aeroespacial de Japón descubrió que el ordenador donde almacenaban
información de su programa de investigación de combustible sólido para cohetes estaba infectado con
un troyano diseñado para sustraer información.
Sin embargo, el protagonista del año fue el gusano Flame, cuyo objetivo es el robo de información y que
ha infectado computadoras en países de Oriente Medio. Este lugar de destino ha posibilitado que pudiera estar trabajando durante años hasta que las compañías de seguridad consiguieran detectarlo.
Se trata claramente de un caso de ciberespionaje, y además está relacionado con el famoso Stuxnet
mencionado previamente. Normalmente los ataques dirigidos se llevan a cabo con troyanos, sin embargo en esta ocasión se utilizó un gusano.
Una de las características más llamativas de Flame es que puede robar información de múltiples formas
al mismo tiempo, y tiene una serie de módulos que le dan la capacidad de robar todo tipo de información de su objetivo, incluso puede llegar a encender el micrófono para grabar cualquier conversación
que esté manteniéndose cerca del ordenador.
También fue posible observar varios casos de ciberespionaje dirigido a periodistas. Por ejemplo, en Marruecos una serie de periodistas locales premiados por Google por su trabajo durante la “Primavera
Árabe” fueron infectados con un troyano para Mac. En China, corresponsales extranjeros en Pekín fueron víctimas mediante dos oleadas de ataque de malware a través de mensajes de correo semanas antes del congreso del Partido Comunista Chino.
Asimismo, en el último trimestre han aparecido un par de casos de infecciones en empresas energéticas
de Oriente Medio, sobre los cuales no es posible saber si están relacionados entre sí y si se trata de algún tipo de ciberataque. Saudi Aramco (Saudi Arabian Oil Co) fue víctima de una infección que llevó a la
empresa a cortar completamente la conexión al exterior de todos sus sistemas informáticos de forma
preventiva. Por otro lado RasGas, compañía qatarí de energía dedicada al gas natural licuado sufrió una
infección. Ni en este caso ni en el de Saudi Aramco, la producción de ambas compañías fue afectada.
El reporte de 2011 informa que en marzo, RSA hizo público que habían detectado una intrusión que
había conllevado el robo de información sobre el diseño de su conocido sistema de doble factor de autenticación “SecureID”. En mayo Lockheed Martin, el primer contratista del Departamento de Defensa
de Estados Unidos sufrió una intrusión gracias al uso de la información robada meses atrás a RSA. Se
supone que los que robaron la información han conseguido comprometer el algoritmo utilizado para
generar las claves, lo que obligó a RSA a cambiar los más de 40 millones de SecurID que habían distribuido entre sus clientes, algunos de los cuales son las más importantes empresas del mundo. Meses
más tarde RSA dijo que estaba convencida que había algún gobierno detrás del ataque que sufrieron, y
el popular blogger de seguridad Brian Krebs reveló en octubre un listado de 760 empresas que podrían
haber sido afectadas en dicho ataque.
132
Pastebin.com - Es un sitio web donde se puede almacenar un texto durante un determinado período de tiempo.
Es utilizado principalmente por los programadores para almacenar piezas de código fuente o información de configuración, pero cualquiera es más que bienvenido a pegar cualquier tipo de texto. La idea detrás del sitio es hacer
que sea más conveniente para la gente compartir grandes cantidades de texto en línea.
Julio 2013 – Pág. Nº 121/185
sociedad civil
En junio se descubrió que el Fondo Monetario Internacional había estado comprometido durante meses, aunque debido a la escasa información que se ha hecho pública se desconoce la motivación del
ataque. Es bastante probable, debido al tipo de información delicada que maneja la institución, que se
trate de un ataque dirigido. Sin embargo tampoco es posible descartar que se trate de un caso de cibercrimen común.
También hizo aparición Duqu, conocido como “Stuxnet 2.0” o “el hijo de Stuxnet”, del que se pensó
podría ser un nuevo mecanismo de ciberespionaje, pero resultó ser un troyano que reutiliza varias partes de Stuxnet para el robo de información. Se distribuyó a través de mensajes de correo dirigidos a
víctimas específicas con documentos de Word adjuntos que tenían una vulnerabilidad zero-day.
ESET 2012 - 2011
El Laboratorio de análisis e investigación de ESET Latinoamérica anunció el descubrimiento de un ataque
dirigido con la intención de robar información sensible a instituciones y empresas de Perú. Se trataría
del primer caso reportado de ciberespionaje a través de códigos maliciosos exclusivamente orientado en
América Latina y El Caribe.
La Operación Medre, denominada del mismo modo que el malware que ejecuta el ataque, se encontró
activa desde el 2009 y desde entonces, logró recolectar más de 10.000 archivos de planos y proyectos
realizados con el programa Autodesk AutoCAD. Las detecciones se reportaron en un 95% en Perú, de
modo que los especialistas infieren que se trata de un ataque con un objetivo claramente definido, tal
como ha sucedido anteriormente con los casos de Stuxnet, Duqu y Flamer.
De acuerdo a la investigación de ESET Latinoamérica, el código malicioso fue identificado, entre otros,
en dos dominios pertenecientes al gobierno peruano, uno de ellos relativo al sistema por medio del cual
las empresas pueden participar de los procesos de selección convocados por entidades gubernamentales para contrataciones públicas.
Aparentemente, la Operación Medre ha sido diseñada por los cibercriminales con el claro objetivo de
robar proyectos de índole industrial, probablemente con el foco en aquellos presentados por empresas
al Estado peruano, tal como evidencian los índices de propagación de la amenaza, sus funciones y los
dominios afectados. Se trataría de un caso de ciberespionaje industrial de gran escala y el primero de
esta clase en valerse de códigos maliciosos como herramienta en la región 133.
SYMANTEC CORPORATION Y PANDA SECURITY 2010 - 2009
•
A comienzos del año 2010 sorprendió la noticia de que un sofisticado y coordinado ataque bautizado “Operación Aurora” había afectado a más de 30 grandes compañías multinacionales. Los atacantes aprovechaban una vulnerabilidad de Internet Explorer para instalar un troyano de manera silenciosa en los ordenadores de los usuarios y conseguir, de esta manera, tener acceso remoto a toda su
información personal. Dicha vulnerabilidad ZERO DAY afectaba a las tres versiones del navegador Internet Explorer (6, 7 y 8) en sistemas operativos Windows 2000 SP4, WXP, 2003, Vista y Windows 7.
Existen dos hipótesis sobre el objetivo final que querían lograr los cibercriminales: una versa sobre la
133
ESET - Operación Medre: más de 10 mil proyectos robados en supuesto caso de ciberespionaje - Publicado el
21/06/2012 - Consultado el 23/03/2013 - http://www.eset-la.com/centro-prensa/articulo/2012/operación-medremás-mil-proyectos-robados-supuesto-caso-ciberespionaje%20%20/2779
Julio 2013 – Pág. Nº 122/185
sociedad civil
intencionalidad de robar información de propiedad intelectual a grandes compañías y la otra apunta
al robo de información de cuentas de Gmail de supuestos y conocidos activistas de derechos humanos en China.
Algunas fuentes de información indican que las personas que recibieron el e-mail, o sea las “víctimas” no eran aleatorias, sino que se trataba de directivos y empleados de altos cargos que supuestamente tenían permisos de acceso a diferentes aplicaciones con privilegios. Este tipo de ataque es
conocido como “dirigido”, en contraposición a los ataques masivos o indiscriminados, donde no se
selecciona el potencial receptor. 134
•
Stuxnet fue la estrella del año 2010. Aprovechando varias vulnerabilidades Zero Day de Windows
tuvo la habilidad de tomar como blanco a infraestructuras industriales específicas y dañar sistemas
físicos. Una de las vulnerabilidades que pudo explotar le permitió infectar “SIMATIC”, sistema tipo
Supervisory Control and Data Acquisition (SCADA) de Siemens, el cual es usado para monitorear y
controlar sistemas industriales. El sistema infectado podría alterar por ejemplo, la frecuencia de motores, y potencialmente dañarlos o interferir con su operación. La mayoría de las infecciones de
Stuxnet afectó sistemas ubicados en Irán. En el mes de noviembre el gobierno iraní reveló que algunas de esas infecciones habían dañado los centrifugadores usados en el programa de enriquecimiento de uranio de ese país, lo cual llevó a los investigadores a especular sobre la posibilidad de que el
software malicioso fuera diseñado y distribuido específicamente para interrumpir el programa. 135
Ciberactivismo
En su reporte de 2012 informa que en enero, la conocida página Megaupload fue cerrada por el FBI,
acusada de “copyright infringement” (violación de copyright). El FBI informó los detalles del caso mediante una nota de prensa, donde se podía leer que los acusados podrían enfrentar hasta a 50 años de
cárcel. La reacción de Anonymous no se hizo esperar, comenzando un ataque DDoS contra varias páginas web, entre las que se encontraban la del Department of Justice (Ministerio de Justicia estadounidense), la de la RIAA (Recording Industry Association of America) y la de Universal Music.
Tanto el grupo Anonymous como LulzSec han estado presentes a lo largo de 2012. En enero, con la polémica de la ley SOPA norteamericana y el ACTA 136, desde una de sus cuentas de Twitter el grupo dejó
claras sus intenciones y luego comenzaron ataques contra webs oficiales de diferentes países del mundo. En Febrero hicieron pública la grabación de una conferencia entre el FBI y Scotland Yard. Surgieron
muchas especulaciones sobre cómo habrían podido conseguir la grabación, hasta que Anonymous filtró
un email, enviado por un agente del FBI con el número de teléfono y los códigos de acceso de la confe134
135
136
"Ley SOPA" (Stop Online Piracy Act): Proyecto de ley de Estados Unidos que tiene como finalidad expandir las
capacidades de la ley estadounidense para combatir el tráfico de contenidos con derechos de autor y bienes falsificados a través de Internet. “ACTA” (Anti- Counterfeiting Trade Agreement): tratado global que permitiría a gobiernos y corporaciones crear un organismo anti-falsificación que autorizaría la vigilancia de todo lo que se hace en
Internet.
Julio 2013 – Pág. Nº 123/185
sociedad civil
rencia, por lo que parecen haber conseguido acceso a la cuenta de correo de alguno de los destinatarios,
todos ellos miembros de las fuerzas de seguridad en diferentes países.
A principio de marzo, en una operación policial que llevaba en marcha desde el año anterior, varios
miembros de LulzSec fueron arrestados. Inmediatamente se supo que Sabu, su líder, llevaba desde agosto de 2011 trabajando con el FBI para conseguir datos del resto de miembros del grupo para poder identificarlos y arrestarlos.
Poco más tarde decidieron ir a por El Vaticano, cuya página web quedó inaccesible. Cinco días más tarde
volvieron a la carga, accediendo además a una base de datos de Radio Vaticana, emisora oficial de la
Santa Sede, y publicando diferentes nombres de usuario y contraseñas.
Pero Anonymous y Lulzsec no son los únicos que realizan este tipo de ataques. En febrero, la tienda de
Microsoft en India fue atacada por un grupo de ciberdelincuentes chinos. Además de realizar un defacement (sustitución de la página principal de la tienda), se robaron datos personales de sus clientes.
En su informe de 2011 la compañía informa que en Egipto, Internet se convirtió en una especie de campo de batalla entre el gobierno egipcio y los protestantes, principalmente en lugares como Facebook o
en páginas de grupos como Anonymous. El gobierno egipcio llegó a sentirse tan acorralado, que en una
acción sin precedentes cortó completamente el acceso a Internet y las redes de telefonía móvil de todo
el país.
Otra “batalla” digna de mención ha sido la protagonizada por la firma de seguridad norteamericana
HBGary Federal y el grupo Anonymous. Todo comenzó cuando el CEO de la compañía americana, Aaron
Barr, dijo tener datos de los cabecillas de Anonymous y que pensaba hacerlos públicos. Simpatizantes de
Anonymous se sintieron aludidos, por lo que ni cortos ni perezosos trataron de colarse en la compañía y
lo consiguieron en apenas unas horas. No sólo atacaron su página web y su cuenta de Twitter, sino que
consiguieron robar decenas de miles de correos electrónicos que acto seguido, fueron distribuidos desde The Pirate Bay. Por si esto no fuera suficiente, el contenido de algunos de estos correos ha resultado
ser realmente comprometedor para la compañía norteamericana, ya que han sacado a la luz prácticas
claramente inmorales (como la propuesta de desarrollo de un rootkit), que han colocado a la empresa
en una situación tan delicada que su CEO, Aaron Barr, no ha tenido más remedio que dimitir.
Asimismo, durante los últimos meses de 2011 han perpetrado ataques contra la web de la Cámara de
Comercio de Estados Unidos, Sony, la Policía Nacional española y webs de diferentes gobiernos, entre
otros.
Otro grupo autodenominado LulzSec, opina que el vandalismo y la delincuencia es algo divertido (sic). Su
principal método de “trabajo” ha sido robar bases de datos de diferentes empresas (PBS, Fox, etc.)
además de alguna denegación de servicio (como el llevado a cabo a la página web de la CIA). Por si esto
no fuera suficiente, han publicado los datos personales de usuarios que previamente habían robado,
incluyendo direcciones de correo, contraseñas, etc. lo que ha facilitado que se realicen todo tipo de
secuestros de cuentas y robos.
A finales de junio, LulzSec y Anonymous lanzaron una operación conjunta llamada “Operation: AntiSecurity” con el objetivo de atacar a páginas de cualquier gobierno o entidad gubernamental que se
cruce en su camino.
Julio 2013 – Pág. Nº 124/185
sociedad civil
En Estados Unidos Anonymous fue un paso más allá entrando en la empresa Booz Allen Hamilton (contratista del Departamento de Defensa –DoD) y robando 90,000 direcciones de correo militares y sus
respectivas contraseñas. Consiguieron entrar a través de un servidor que se encontraba completamente
desactualizado y desprotegido, ni siquiera contaba con protección antivirus.
Todos estos ataques no quedaron sin respuesta, ya que el FBI detuvo en Estados Unidos a 16 personas
relacionadas con Anonymous, quienes deberán enfrentarse a penas de entre 5 y 10 años de cárcel si
son declarados culpables. Sin embargo, días después de estos arrestos Anonymous publicó un documento confidencial de la OTAN. Confirmó que tenía 1 Gb de datos más que no iba a publicar porque sería
“irresponsable”.
Mientras, en Italia Anonymous robó más de 8 Gb de datos del CNAIPIC (centro nacional contra el crimen
informático para la protección de infraestructuras críticas).
Además, robaron y publicaron miles de datos de policías norteamericanos, incluyendo sus direcciones
de correo, nombres de usuario, contraseñas y en algunos casos hasta su número de la seguridad social.
Semanas más tarde repitieron la operación, en este caso dirigida a policías de la ciudad de San Francisco. Por si no fuera suficiente, volvieron a atacar a una empresa contratista del DoD (Vanguard Defense
Industries) robando 1 Gb de datos con correos electrónicos y documentos privados pertenecientes a
uno de los ejecutivos de la compañía.
Para despedir el año, un grupo que se autoproclamaba perteneciente a Anonymous, robó miles de números de tarjetas de crédito de clientes del think tank Stratfor, y las utilizó para realizar donativos a
diferentes organizaciones. Asimismo publicó parte de la información robada, que en total ocupa 200 Gb.
Cabe resaltar que, dentro de esta lista de clientes fue posible encontrar a empresas como Apple o la
mismísima Fuerza Aérea norteamericana. Sin embargo, a posteriori, Anonymous se desvinculó del hecho y acusó a LulzSec.
MC AFEE 2012 - 2011
En su informe 2012, Mc enuncia varias acciones de Anonymous, entre las cuales figura que durante los
meses de octubre y noviembre se ocuparon de la crisis palestina-israelí en Gaza y del cierre de Internet
en Siria. Por algunos días dejaron no operativos a cientos de sitios web tales como el Jerusalem Bank, el
Israeli Ministry of Foreign Affairs, el Home Front Command y la oficina del Prime Minister, todos sitios
vinculados al Estado de Israel.
También violaron otros sitios pobremente asegurados y expusieron información privada de decenas de
miles de ciudadanos israelíes y los datos personales de 5.000 oficiales gubernamentales.
En su informe de 2011, la compañía anuncia que algunos disensos internos en el grupo Anonymus podrían haber detenido o minimizado ataques anunciados sobre la New York Stock Exchange y la Toronto
Stock Exchange.
DOXING es una técnica que no sólo ha alcanzado a la policía sino también a figuras públicas tales como
políticos, a medida que los activistas percibieron que éstos tomaban posiciones desfavorables respecto
de sus ideales. En diciembre Anonymus liberó información sobre senadores estadounidenses que habían
aprobado la National Defense Authorization Act (NDAA). En Francia, luego de que varios políticos del ala
Julio 2013 – Pág. Nº 125/185
sociedad civil
derecha emitieran varias controvertidas opiniones, se pudo encontrar su información personal diseminada en la web.
Cyberskirmishes (Ciber-escaramuzas)
MC AFEE 2012 - 2011
En su informe de 2011, comenta que el activismo comenzó a ser popular en el 2010 más allá de las acciones ocurridas en Estonia (2007) y Georgia (2008). Sin embargo, han aparecido durante este año de
2011 varios eventos que aparentan estar más allá del activismo siendo posiblemente patrocinados por
el gobierno o la política.
En noviembre, varios comunicados del Ministro palestino Mashur Abu Daqqa culparon a los hackers de
atacar los servidores de Palestina y de discontinuar los servicios telefónicos y de Internet en el West
Bank y Gaza, así como los del propio ministerio. El incidente ocurrió luego de que los palestinos ganaron
la membresía en UNESCO, a pesar de las objeciones formuladas por Estados Unidos e Israel. El ministro
sugirió que Israel estaría detrás de los ataques.
En Corea del Sur, en el mes de diciembre la National Police Agency’s Cyber Terror Response Center
anunció que habían sido aprehendidos cuatro individuos acusados de ordenar un ataque de denegación
de servicio contra el sitio web de la National Election Commission, en la mañana de la fecha electoral del
26 de octubre. Este ataque dejó inaccesible la información en las ubicaciones destinadas para la votación. Uno de los sospechosos es un ex asesor de un legislador del gobernante Gran Partido Nacional. Se
rumoreaba que se habría transferido una suma de ₩ 10 millones (8619 dólares estadounidenses) seis
días antes de elecciones, desde la cuenta bancaria de un secretario del ex presidente de la Asamblea
Nacional hacia la del sospechoso. Cinco días más tarde, también se detectaron varias transferencias de
dinero a otro individuo, quien presuntamente llevó a cabo el ataque.
Estando Rusia a punto de celebrar elecciones a principios de diciembre, la salida de los medios de comunicación rusos populares liberales y de los organismos de control electoral, fue obstaculizada por
ataques de denegación de servicio coordinado. También se vieron afectados por ataques otros sitios de
medios independientes que habían cubierto posibles fraudes durante la votación.
Los atacantes autodenominados Fuerzas Marroquíes de Disuasión llevaron a cabo lo que ellos llaman "la
venganza marroquí" atacando varios sitios web oficiales del canal de Qatar después de que presentara
fotos de la delegación marroquí en los Juegos Pan Árabes (9 diciembre hasta 23 diciembre) junto a un
mapa marroquí que excluía el Sahara marroquí. Los eventos patrocinados por los gobiernos son difíciles
de precisar.
Cyberextremism (Terrorismo en Internet)
MC AFEE 2012 - 2011
Julio 2013 – Pág. Nº 126/185
sociedad civil
En su reporte de 2012, la compañía informó que el grupo al-Qassam Cyber Fighters publicó en Pastebin
las demandas realizadas y las amenazas utilizadas en los ciberataques lanzados en setiembre sobre
compañías bancarias y financieras de Estados Unidos.
El sitio web de la Wells Fargo fue atacado con gran volumen de tráfico el 18 y 19 de diciembre, lo cual
impidió o limitó el acceso por parte de los clientes. Este evento podría ser responsabilidad de al-Qassam
Cyber Fighters.
En octubre, la United Nations Office on Drugs and Crime publicó un artículo denominado “The Use of
the Internet for Terrorist Purposes” en el que explica la manera en que los grupos terroristas y partidarios usan Internet para distribuir propaganda y reclutar, financiar, entrenar e incitar a sus seguidores
para cometer actos de terrorismo.
En diciembre, los medios iraníes anunciaron que el país había usado técnicas de ciberdefensa en sus
ejercicios militares y navales Velayat. Dijeron que los ejercicios cubrieron una vasta área incluyendo el
Estrecho Hormuz, el Mar de Oman, la zona norte del Océano Índico, el Golfo de Aden, y el Estrecho de
Bab-el-Mandeb. Un comandante iraní agregó que durante una de las prácticas fuerzas agresivas lanzaron un ciberataque contra la red de computadoras de las fuerzas defensivas con el objetivo de infiltrar la
red, robar información o distribuir virus.
Ciberguerra – ciberataque
VARIOS 2013
•
•
•
Expertos británicos en ciber seguridad de los servicios de inteligencia tales como MI5 unirán fuerzas
con 160 de las más importantes firmas británicas para defender al país de los ciberataques, a través
de una unidad denominada "fusion cell". Los analistas trabajarán desde una ubicación no revelada
en Londres para construir una descripción de la inteligencia de las amenazas al reino unido, la cual
será compartida con las compañías. Estas últimas corresponden en principio al ámbito financiero,
energía, defensa, telecomunicaciones y farmaceútico, pero se espera expandir el espectro.
La edición internacional semanal The New York Times, en colaboración con el periódico argentino
Clarín, de fecha 30/03/2013 publica un artículo donde se informa que la responsable del Departamento de Seguridad Interior de los Estados Unidos ha dado cuenta de que hackers extranjeros han
estado atacando los sistemas informáticos de su organismo, también tratando de robar secretos
comerciales valiosos y han empezado a poner a prueba la infraestructura estadounidense que comprende la red eléctrica y los sistemas de agua y transporte. Por lo tanto, estiman que necesitan tener sus propios hackers, en número de alrededor de 600; quienes actuarán por ahora en actitud defensiva.
También informa que en China, el Ejército de Liberación del Pueblo cada primavera lleva a cabo
concursos para identificar a la próxima generación de guerreros digitales.
En el informe correspondiente a 2012, la compañía informa que el 2 de enero tuvo lugar el robo de datos de miles de tarjetas de crédito de ciudadanos israelíes. Este robo fue reivindicado por un tal
Julio 2013 – Pág. Nº 127/185
sociedad civil
0x0mar, identificándose a sí mismo como saudí. Investigaciones posteriores revelaron la verdadera
identidad de esta persona: Omar Habib, joven de 19 años de los Emiratos Árabes Unidos que vive en
México. Posteriormente 0x0mar desmintió esta información.
Esta fue la primera acción que trajo tras de sí una serie de ataques y contraataques de todo tipo: robos
de información de atacantes israelíes a ciudadanos saudís y viceversa, así como bloqueo de los sitios
web de la Bolsa de Tel Aviv y la aerolínea israelí El Al, entre otros. Un grupo israelí afirmó haber intervenido páginas web en Arabia Saudí (Tadawul) y los Emiratos Árabes Unidos (ADX), incluyendo las de las
Bolsas de Arabia Saudí y Abu Dhabi, en venganza por ataques previos de sitios web israelíes, donde habrían dejado un mensaje en la web diciendo: “Operamos en el nombre de las Fuerzas de Defensa de
Israel. Si no dejáis de atacarnos, paralizaremos vuestra economía”.
Por si los ánimos no estaban suficientemente crispados, Tariq al-Suwaidan, influyente predicador televisivo kuwaití, llamó a unir fuerzas en una "cyberyihad" (guerra santa cibernética) contra Israel. Sin alejarnos de Oriente Medio, en Siria tuvo lugar otro incidente, donde un atacante saudí consiguió hacerse de
correos electrónicos del mismísimo presidente del país, Bashar Asad.
Por su lado en Japón el ministerio de Defensa encargó a Fujitsu el desarrollo de una “ciberarma”, un
virus que supuestamente sería capaz de identificar, localizar y desactivar ciberataques. La información al
respecto de este tema es confusa.
Respecto a los protagonistas de siempre, China y Estados Unidos, en enero se publicó que atacantes
chinos habían utilizado un troyano para romper el código de las tarjetas inteligentes utilizadas por el
Departamento de Defensa estadounidense, dispositivos necesarios para acceder tanto a lugares físicos
como a la propia red, que requieren un acceso restringido. Si realmente consiguieran romper la seguridad de las tarjetas podrían acceder de forma relativamente sencilla a información confidencial.
Desde China se ha estado espiando a la empresa Nortel, tras comprometer las credenciales de 7 ejecutivos de la compañía, incluido su CEO. Al menos desde el año 2000 habrían estado accediendo a información interna de la empresa. En la mayoría de casos de ciberguerra o ciberespionaje sólo podemos deducir / especular con que hay un país detrás de un determinado ataque. No es usual que un país diga
abiertamente que ellos han sido los atacantes. Sin embargo, las cosas están cambiando y cada vez se
habla más abiertamente de estos temas. Sin ir más lejos, Hillary Clinton, en su rol de Secretaria de Estado estadounidense en mayo de 2012, hizo declaraciones donde reconoció que EE.UU. había violado
páginas web pertenecientes a un grupo de Al Qaeda que operaba en Yemen.
En Corea del Sur, un alto oficial denunció que Corea del Norte está tratando de robar secretos militares
y sabotear sus sistemas de defensa de la información utilizando expertos entrenados específicamente
para penetrar en su red de información militar.
En su reporte de 2011, Panda Security informa que en enero se supo que un ataque dirigido había alcanzado de lleno al Ministerio de Economía canadiense. Las primeras investigaciones apuntaban a China, si
bien es cierto que es muy difícil demostrar quién estaba realmente detrás del ataque. No se ha hecho
pública qué información ha sido robada.
En febrero la compañía americana McAfee hizo público un informe en el que se hablaba de la operación
“Night Dragon”, donde una serie de compañías energéticas habían sido víctimas de espionaje en una
operación que había estado activa al menos durante dos años. Posteriormente se ha podido conocer
Julio 2013 – Pág. Nº 128/185
sociedad civil
que entre las compañías víctimas del ataque se encontraban Exxon Mobil, Royal Dutch Shell, BP, Marathon Oil, ConocoPhillips, y Baker Hughes. Los ataques venían desde China, aunque no se puede demostrar que el gobierno chino esté directamente implicado.
En marzo, se conoció que ordenadores militares de Noruega habían sido atacados en ese mes. Unos 100
militares –muchos de ellos de alto rango- recibieron un correo electrónico en noruego, que incluía un
archivo adjunto, el cual era un troyano creado para robar información. Según la información hecha pública, uno de los ataques tuvo éxito aunque desde ese ordenador no se tenía acceso a información crítica.
En el mismo mes se hizo público que el Ministerio de Economía francés fue víctima de otro ataque varios meses antes –cuyo origen apunta de nuevo a China - con el objetivo de robar documentos sobre la
reunión del G-20 en febrero, que tenía lugar en París. Más de 150 ordenadores estaban afectados, y
otros ministerios franceses habían sufrido intentos de intrusiones sin éxito.
También en marzo, 40 páginas web pertenecientes principalmente al gobierno de Corea del Sur, fueron
víctimas de un ataque de denegación de servicio. Este ataque ha sido muy similar a otro que tuvo lugar
en 2009, del que se culpó a Corea del Norte, pero tras la investigación todo apuntaba a China.
En mayo el portavoz del ministerio de defensa de China, Geng Yansheng, confirmó que ese país contaba
con una unidad de élite de ciberguerreros. Diferentes fuentes de inteligencia del Reino Unido comentaron que dicho equipo había sido formado al menos hacía 2 años. A finales del mismo mes, el Pentágono
declaró que cualquier tipo de ciberataque llevado a cabo por un gobierno extranjero puede ser clasificado como un acto de guerra.
En julio, el segundo funcionario en rango de la Secretaría de Defensa del Gobierno estadounidense, Bill
Lynn, hizo público un ataque recibido en marzo, durante el que habían robado 24.000 documentos pertenecientes a un sistema armamentístico secreto. El Departamento de Defensa (DoD) del mismo país
dijo que lo más posible es que se tratara de un ataque perpetrado por el servicio de inteligencia de una
potencia extranjera.
Unos días más tarde, el general de los Marines James ‘Hoss’ Cartwright hizo unas declaraciones en las
que decía que el departamento de IT del DoD estaba en la edad de piedra. Si algo se puede decir de los
ataques de ciberguerra o ciberespionaje, es que en la mayoría de los casos se mira hacia China como la
gran sospechosa que está detrás de todos ellos. Sin embargo es obvio que por una parte, China no es la
responsable de todos los ataques, y por otra, ese país se encuentra muy posiblemente siendo blanco de
ataques. Una de las características que distinguen a un país democrático de uno que no lo es, es la información que se hace pública a sus ciudadanos. Cuando por ejemplo Estados Unidos o la Unión Europea recibe un ataque cibernético, o tantos otros casos que han sucedido este mismo año, llegan al conocimiento de los ciudadanos porque se hacen públicos. Sin embargo, en otros países no se conocen
casos. ¿Es esto debido a que no sufren ataques? En absoluto, normalmente se debe al oscurantismo
informativo. Y China, por una vez, se ha abierto y en agosto confesó que el año pasado recibió 500.000
ataques, la mayoría de ellos con procedencia de países extranjeros.
En septiembre se conoció que la empresa japonesa Mitsubishi Heavy Industries fue atacada. Casi 100
ordenadores habían sido infectados, aunque la empresa dijo que ninguna información confidencial había sido robada. Esta empresa fabrica material muy delicado, como misiles guiados, motores de cohetes
Julio 2013 – Pág. Nº 129/185
sociedad civil
y equipamiento para centrales nucleares. Tras las primeras investigaciones se descubrió que los atacantes habían utilizado herramientas de software en chino, por lo que de nuevo las miradas se dirigieron al
gigante asiático. Y los peores temores vinieron después, cuando se confirmó que sí habían tenido acceso
a información confidencial, tanto de motores de aviones y helicópteros de combate como de diseño de
plantas de energía nuclear.
En octubre se hizo público que varios UAV (vehículo aéreo no tripulado) utilizados por Estados Unidos
habían sido víctimas de una infección. Tras las primeras sospechas sobre si era un ataque dirigido con
algún tipo de intención bélica, se supo que había sido una “accidente” debido a que los UAV se actualizan mediante llaves USB, y algunos de estos dispositivos estaban infectados. En diciembre, el gobierno
iraní hizo pública la foto de un UAV norteamericano que habían capturado en perfecto estado. Lo llamativo de este caso es que habían conseguido hackear la señal del GPS del aparato para que aterrizara en
su territorio, mientras el aparato creía que estaba de vuelta en su base.
Tendencias 2013
Se expresa aquí lo recogido en los informes de las diferentes compañías, referenciadas en el presente
capítulo y en el anterior, respecto de las tendencias en materia de amenazas para el corriente año.
•
•
•
•
•
•
•
•
•
•
•
•
Se espera que continúe la explotación de sitios web legítimos.
Las tiendas de aplicaciones legítimas para dispositivos móviles crecerán en el alojamiento de malware.
Las amenazas multiplataformas van a crecer para involucrar a los dispositivos móviles.
Los ataques a dispositivos móviles aumentarán de manera exponencial y serán más complejos.
Se incrementarán los ataques apoyados por los gobiernos.
Las amenazas tendrán como objetivo los entornos virtuales.
Se verá cada vez más extendido el uso de Android, desde televisores a todo tipo de electrodomésticos, lo cual abre un mundo aún desconocido de posibles ataques.
Crecerá la "carrera ciberarmamentística" en función de la necesidad de las principales naciones del
mundo de prepararse tanto para la defensa como para el ataque en la ciberguerra.
El crecimiento exponencial de la cantidad de malware que se ha venido repitiendo desde hace 2
décadas parece que está muy lejos de llegar a su fin. Las cifras son desalentadoras ya que aparecen
decenas de miles de nuevos ejemplares de malware por día.
Seguirán en aumento los ataques de malware para MAC, en respuesta a su cada vez mayor número
de usuarios sumado a las falencias de seguridad y la falta de concientización de los usuarios respecto a la seguridad (por un exceso de confianza).
Otro de los objetivos del cibercrimen será el almacenamiento en la nube dado su crecimiento durante 2012.
Siendo la ingeniería social una de las tácticas más utilizadas, las redes sociales pasan a ser el coto de
caza preferido por los cibercriminales dado los cientos de millones de usuarios que intercambian información, en muchas ocasiones de índole personal, a través de ellas.
Julio 2013 – Pág. Nº 130/185
sociedad civil
Capítulo V - Impacto Económico
Introducción
Los dos capítulos precedentes reflejan cómo los países de Latinoamérica y El Caribe siguen siendo tanto
origen como blanco de numerosos tipos de incidentes, como las botnets, el SPAM, el phishing, el robo
de identidad, etc. En efecto, al ritmo de una tendencia creciente de incorporación de tecnologías en sus
sociedades, se mantienen amenazas preexistentes y surgen nuevas, de la mano de la telefonía móvil, la
computación en la nube y de otros avances registrados en los últimos años.
Como ya fuera expresado en el informe publicado por LACNIC en el año 2011, a la hora de dimensionar
la magnitud del problema, un ejercicio imprescindible es estimar el impacto económico de estos ataques, que efectiva o potencialmente podrían afectar tanto a los gobiernos como a las organizaciones y a
las personas que residen en la región. Avanzando en esta línea, cabe preguntarse también si lo que efectivamente se invierte en mecanismos de seguridad, tanto preventivos para la defensa, como correctivos
cuando se trata de investigar, identificar y neutralizar el accionar de quienes cometen cibercrímenes,
resulta suficiente o por lo contrario, es excesivo o si debería asignarse de otra manera.
En efecto, en todo el mundo se destina una considerable cantidad de fondos para asegurar la información. Dichos fondos son por naturaleza escasos, por lo que se deberá irremediablemente seleccionar
objetivos y determinar prioridades, es decir, decidir cuánto invertir y en qué. Esto crea la necesidad de
contar con datos precisos sobre la actividad maliciosa en Internet y de determinar lo más precisamente
posible, las pérdidas que éstas generan.
Sin embargo, intentar determinar el impacto económico, aunque sea aproximado, es una labor compleja, fundamentalmente por las dificultades para acceder a datos concretos y confiables sobre la ocurrencia de los incidentes de seguridad y para conocer en forma integral sus efectos y sus características. Esto
lleva a que cualquier afirmación requiera la consideración de una serie de supuestos justificados y de
presunciones sobre las cuales basar las conclusiones a las que se pueda arribar, a la hora de determinar
total o parcialmente, el impacto económico del cibercrimen.
En junio de 2012, un grupo de investigadores de varias universidades europeas y estadounidenses publicaron un artículo 137 sobre la medición del costo de la actividad ilícita en Internet, elaborado como respuesta a un requerimiento del Ministerio de Defensa del Reino Unido. Este trabajo, considerado como la
primera revisión sistemática y completa del impacto económico del cibercrimen realizado desde la Academia, será tomado como base para la desarrollo de parte del presente capítulo, adaptándolo en la
medida de lo posible, a la realidad de la región.
137
R. Anderson, C. Barton, R. Bohme, R. Clayton, M. J.G van Eeten, M. Levi, T. Moore, S. Savage - Measuring the
Cost of Cybercrime – Proceedings of Eleventh Workshop on the Economics of Information Security (2012)
Julio 2013 – Pág. Nº 131/185
sociedad civil
Porqué medir el impacto económico
Como fuera indicado en el informe de 2011, estimar el impacto económico de los ataques cibernéticos
habilita la posibilidad de establecer la real dimensión del problema y facilita la asignación de recursos
suficientes, bajo una ecuación equilibrada de costo/beneficio. Contar con estimaciones lo más precisas
posible de dicho impacto, constituye uno de los pilares fundamentales para la adopción de medidas de
protección para los datos y para los recursos de información que se utilizan para administrarlos a todo
nivel.
Como contracara, una incorrecta asignación de fondos expone a la entidad o a la persona a mayores
riesgos e incrementa las posibilidades de sufrir otro ataque, con lo que aumenta el impacto potencial,
se desperdician recursos valiosos y el problema tiende a retroalimentarse.
Por otra parte y ya a nivel de una organización, al justificar la incorporación de una nueva herramienta
de seguridad, un mecanismo de control o cualquier iniciativa para el fortalecimiento del marco de protección de la información, se hace inevitable que deban responderse preguntas vinculadas a los beneficios esperados. En otras palabras, se deberá tener en claro cuáles serían las consecuencias de no realizar
esa acción y específicamente, cuánto se podría perder o dejar de ganar en términos económicos, en
caso de no avanzar en su instrumentación.
A nivel de un país, contar con estimaciones del impacto económico permitiría orientar las acciones de
los organismos reguladores y de investigación hacia las áreas más susceptibles a pérdidas por ataques
cibernéticos o a aquéllas cuyas consecuencias podrían tener un efecto negativo sobre toda o parte de la
sociedad. Por otro lado, estas estimaciones económicas pueden ser también expresadas como valor
agregado de los efectos sobre determinadas personas (clientes, ciudadanos, etc.) o sobre ciertas organizaciones (Bancos, Hospitales, Compañías de aviación, Organismos estatales, Servicios Públicos, etc.), de
manera de identificar la población o los sectores más vulnerables.
Si bien desde la perspectiva de los gobiernos, a diferencia de lo que ocurre en las empresas, el aspecto
económico no suele ser un componente esencial en razón de que los objetivos se dirigen más hacia el
bienestar de la población, su consideración en dicho ámbito tampoco puede ser dejada de lado.
Desde el punto de vista de las Fuerzas Policiales y de la Justicia, una estimación lo más precisa posible de
las pérdidas económicas ocurridas o eventuales, resulta importante a la hora de priorizar la respuesta a
la actividad ilícita en Internet y constituye un elemento a tener en cuenta a la hora de asegurar una sanción o penalidad acorde con el daño producido.
Finalmente, cabe acotar que a diferencia de otras actividades delictivas o ilícitas que suelen tener consecuencias locales o en áreas geográficas limitadas, el cibercrimen tiene hoy como escenario el planeta
entero y su impacto impone altos costos de protección tanto a las sociedades como a cada uno de las
personas u organizaciones que aprovechan los beneficios de Internet. A manera de ejemplo, la botnet
Mega-D, que de acuerdo al FBI 138, era responsable del 32% del SPAM del mundo, significó para los ciberdelincuentes que la desarrollaron una ganancia de 2.7 millones de dólares estadounidenses. Como
contracara, los costos asociados al combate de dicho SPAM probablemente excedieron globalmente los
138
Portal Switched - FBI Hunts Russian Man Behind One-Third of the World's Spam - 02/12/2012 - Consultado el
21/04/2013 - http://www.switched.com/2010/12/02/oleg-nikolaenko-fbi-hunt-one-third-world-spam/
Julio 2013 – Pág. Nº 132/185
sociedad civil
mil millones de dólares, según el informe de los investigadores citado precedentemente. Al decir de
dichos autores, tal vez el mundo está siendo ineficiente a la hora de combatir el cibercrimen, ya que
como se verá más adelante, los costos que éste impone sobre las personas, las organizaciones, los gobiernos y las sociedades en su conjunto, exceden los ingresos de los cibercriminales y no logran neutralizar en forma efectiva sus consecuencias o al menos, minimizar significativamente su impacto.
Dificultades para la estimación
Estimar el impacto económico de la actividad maliciosa en Internet no es una tarea sencilla. El informe
publicado por LACNIC en el año 2011 ya reflejaba esta realidad, al igual que lo hace la aún escasa bibliografía existente en esta materia específica. En este sentido, la escasez de datos confiables sobre la cantidad real de casos registrados y las dificultades para establecer los costos directos e indirectos y dimensionar la población afectada, son una parte importante del problema.
Si bien existe un número considerable de fuentes de datos sobre el cibercrimen, estimado en más de
cien por los autores citados precedentemente, las estadísticas disponibles son todavía insuficientes y
fragmentadas y muchas de ellas despiertan sospechas de presentar resultados sobre o sub dimensionados, según quienes las formulan. Estas desviaciones podrían ser atribuidas a la intencionalidad, cuando
se trata de actores con intereses en el mercado de los productos y servicios de seguridad, o a la utilización de metodologías inadecuadas, cuando no se utilizan técnicas apropiadas para obtener o analizar los
datos.
Las fuentes que producen un mayor volumen de datos sobre la actividad maliciosa en Internet provienen de encuestas y relevamientos realizados por organismos internacionales o consultoras, entidades
gubernamentales o institutos especializados, o bien responden a la recolección de observaciones directas de ataques, realizadas en su mayor parte por empresas del sector tecnológico y de organizaciones
profesionales sin fines de lucro. Sin embargo, y como ya se explicó, estos datos no siempre permiten
estimar la cantidad real de víctimas. En el terreno de las estimaciones económicas del impacto de esa
actividad maliciosa, los informes, análisis y encuestas son mucho más escasos.
Ahondando en las dificultades para estimar el impacto del cibercrimen, influye también el bajo nivel de
seguimiento y registro del tiempo y los recursos asignados al momento de enfrentar un ataque. Mayores complicaciones provienen de los problemas para determinar sus consecuencias en el tiempo, todo lo
cual dificulta la posibilidad de conocer el gasto total de remediación y compensación por las pérdidas
registradas.
Un artículo publicado 139 recientemente indica los siguientes obstáculos a la hora de obtener datos precisos sobre el impacto económico:
•
Reticencia a informar: muchas organizaciones perciben que informar que han sido víctimas de un
cibercrimen puede afectar negativamente su reputación o imagen, causándoles pérdida de clientes,
desvalorización frente a empresas de similar propósito, desventajas competitivas, sanciones de entidades reguladoras o un perjuicio similar. En este sentido, es altamente probable que muchas entidades cuenten con datos parciales respecto a los incidentes registrados, pero sean reticentes a
139
Communications of the ACM – “Cybercrime: It´s serious, but exactly how serious”, Paul Hyman – Marzo 2013 –
Consultado el 05 de marzo de 2013 - http://cacm.acm.org/magazines/2013/3/161196-cybercrime-its-serious-butexactly-how-serious/fulltext
Julio 2013 – Pág. Nº 133/185
sociedad civil
compartirlos con otros o a divulgarlos por cualquier medio, ante la posibilidad de que se afecte la
confianza sobre ellas, se genere publicidad negativa para la organización, los accionistas se enteren,
las entidades regulatorias o de seguridad impongan sanciones o bien, que otras empresas del ramo
obtengan ventajas competitivas, entre otras posibles razones.
•
Sesgo por autoselección: se ha comprobado que las organizaciones que han sido víctimas de un
cibercrimen son menos proclives a responder encuestas o a participar en relevamientos sobre actividades ilícitas, que aquellas que no los han sufrido. Del mismo modo, aquellas que fueron expuestas públicamente debido a la dimensión de los ataques o a las pérdidas sufridas, responderán en
mayor medida que aquellas cuyos ataques no se han difundido, o que han sufrido menores pérdidas.
•
Inexistencia de mecanismos acordados o estandarizados para contabilizar las pérdidas: no existe
acuerdo en el tipo de ítems a incluir al momento de contabilizar las pérdidas, como por ejemplo, si
se debe considerar el tiempo de inactividad producto de un ataque, el costo de adquisición de nuevo equipamiento de protección, la actualización de los servicios de seguridad o la contratación de
consultores externos. Tampoco si las pérdidas accidentales de datos deben ser consideradas en la
ecuación.
•
Pérdidas no detectadas: es habitual que las empresas e inclusive las personas, no sepan que han
sido afectadas, que se enteren mucho tiempo después o que conozcan tardíamente la magnitud y el
alcance de los efectos del cibercrimen del que han sido víctimas.
El mismo artículo analiza la perspectiva desde el punto de vista de las empresas y de las personas. En el
primer caso, destaca que a la hora de calcular la dimensión de las pérdidas causadas por el cibercrimen,
confluyen distintas facetas que van desde daños en la reputación de difícil cuantificación, a quebrantos
económicos. Por el lado de las personas, pueden identificarse rápidamente los fondos extraídos de una
cuenta bancaria o el uso no autorizado de los datos de la tarjeta de crédito para realizar compras por
Internet. El panorama se complica cuando se consideran activos digitales, como por ejemplo, las fotos o
los documentos profesionales producto de meses o años de trabajo y la propia identidad digital. Muchas
víctimas pasan días, semanas y hasta meses tratando de recuperar sus identidades y de recrear información perdida, con la perspectiva de que tal vez, nunca pueda ser completamente recuperada. Una de las
preguntas clave es en consiguiente, cómo cuantificar el valor de ese tiempo insumido.
Otro factor a considerar es la falta de una metodología establecida de cálculo y las dificultades para
formular instrumentos de evaluación, tales como encuestas o relevamientos que acoten el riesgo de
interpretaciones erróneas o parciales.
Por otro lado, y a diferencia de la determinación de la cantidad de casos de ataques registrados cuyo
análisis se desarrolló en los capítulos precedentes y cuya estimación puede basarse en herramientas
automatizadas de recolección, en el caso de la ponderación económica, se hace necesaria la denuncia o
reporte de al menos un número significativo de entidades o usuarios afectados, a fin de aproximar la
cuantificación económica del daño producido, sea en costos directos o indirectos.
Cabe acotar que es un error grave suponer que la falta de estimaciones sobre la real dimensión del impacto económico deba ser leída como su inexistencia. Si bien es dable reconocer que establecer la dimensión completa del incidente es posiblemente una tarea casi imposible en la mayoría de los casos,
Julio 2013 – Pág. Nº 134/185
sociedad civil
contar con valores estimados permitirá considerar su alcance, determinar tendencias a lo largo del
tiempo y como ya fuera expresado, realizar las previsiones necesarias priorizando los escenarios de mayor riesgo. En otras palabras, permitirá justificar la asignación de recursos, respaldando las decisiones
que se adopten.
A continuación siguen algunas preguntas que podrían plantearse frente a un ataque real o potencial:
•
¿Cuántas personas/entidades denunciaron haber sido afectadas?
•
¿Cuál es la estimación del número de personas/entidades que pudo verse afectado pero no detectó
aún el fraude o prefirió no denunciarlo?
•
¿Cuál es la pérdida promedio por persona y/o entidad afectada?
•
¿Cuál es el valor de la información y de los recursos perdidos?
•
¿Cuánto costará recuperar la información afectada?
•
¿Cuál fue el efecto sobre el trabajo cotidiano de las personas, es decir cuántas no pudieron trabajar
o efectuar algún tipo de transacción?
•
¿Cuál es el salario de estas personas o bien la pérdida promedio por esta imposibilidad de llevar
adelante sus actividades?
•
¿Cuántas personas trabajaron en atender el incidente?
•
¿Cuántas horas destinaron al proceso de gestión del incidente?
•
¿Cuál será la previsión que se realizará para la atención de los costos posteriores, en términos de
posibles demandas legales o sanciones?
Con esta información disponible, aunque sea parcialmente, luego es cuestión de mero cálculo arribar a
un valor estimado base, que si bien posiblemente no refleje el incidente en su total dimensión, fija un
piso para la estimación de su impacto económico. En este sentido, por ejemplo a nivel de una organización, si se utiliza un método consistente de cálculo en forma sucesiva, surgirán tendencias que pueden
ser utilizadas a lo largo del tiempo para determinar la evolución, precisar si las medidas implementadas
fueron pertinentes y adoptar decisiones al respecto.
Costos asociados a los incidentes informáticos
El artículo del equipo de académicos al que se hizo referencia en la introducción de este capítulo, propone la siguiente clasificación para el flujo de fondos asociado a los cibercrímenes:
•
Ingresos de los ciberdelincuentes: resulta del equivalente monetario de los ingresos que obtienen
los ciberdelincuentes por la actividad maliciosa que realizan en Internet. En esta categoría no se
contempla ningún gasto lícito, como podría ser lo pagado por un servicio de hosting a un proveedor
de servicios de internet legítimo, a valores de mercado. Esta distinción hecha por los autores apunta
a no incluir gastos lícitos en esta categoría, ya que estos contribuyen al producto bruto legítimo de
la economía en la que opera el proveedor.
•
Pérdidas directas: incluye los quebrantos que sufren las víctimas, incluyendo no solo el dinero que
pueden perder, sino el valor monetario del tiempo y de los esfuerzos que deben realizar para con-
Julio 2013 – Pág. Nº 135/185
sociedad civil
trarrestar el daño. Comprende asimismo los costos derivados de compras diferidas, de la imposibilidad de disponer de los fondos, de las oportunidades de negocio perdidas, etc.
•
Pérdidas indirectas: comprende las pérdidas y los costos de oportunidad que son impuestos sobre la
sociedad y que no pueden ser atribuidos a una víctima en particular. Ejemplo de esta categoría es la
menor confiabilidad en la banca en línea o en el comercio electrónico, que puede devenir del público conocimiento de un cibercrimen. Los costos indirectos se proyectan tanto sobre la actividad ilícita
concreta, como sobre la infraestructura que le da soporte.
•
Costos defensivos: son aquellos que reflejan los esfuerzos que realizan las organizaciones, los gobiernos y las personas para prevenir la ocurrencia de cibercrímenes. En esta categoría los autores
incluyen tanto los costos defensivos directos, como por ejemplo los que surgen del desarrollo, la
implementación y el mantenimiento de medidas preventivas, como los indirectos, que devienen del
costeo de los efectos de los inconvenientes asociados a la adopción de este tipo de medidas. Ejemplos de estos últimos son un mayor retraso para arribar a los puestos de trabajo por la necesidad de
atravesar varios niveles de acceso o las pérdidas de productividad causadas por demoras para recuperar credenciales de acceso. Los costos asociados a la capacitación y concientización de usuarios y
empleados, los desembolsos por filtros anti-spam y antivirus se inscriben también en esta categoría.
Los costos defensivos, al igual que los indirectos, no pueden ser atribuidos a una víctima en particular.
•
Costos para la sociedad: representa la suma de los costos directos, indirectos y defensivos.
Los autores refieren también como costos indirectos a aquellos correpondientes a la infraestructura que
da soporte al cibercrimen, tales como el desarrollo y despliegue de botnets y los servicios de instalación
de código malicioso (“pay per install” o PPI). Dicha infraestructura es utilizada para facilitar muchos tipos
de actividades ilícitas en Internet y por ello, no pueden ser considerados como costos directos, es decir,
atribuibles a un ciberataque en particular. La inversión realizada con fines defensivos por su parte, pueden destinarse a proteger los activos de la organización de los cibercrímenes o apuntar a neutralizar la
infraestructura de soporte.
La siguiente figura refleja los conceptos vertidos precedentemente y fue tomada de la versión en inglés
del artículo referido:
Julio 2013 – Pág. Nº 136/185
sociedad civil
Costos defensivos
Costo para
la sociedad
Pérdidas indirectas
Ingresos de la ciberdelincuencia
Pérdidas directas
Cibercrimen
Infraestructura
de Soporte
Anderson et al - “Measuring the Cost of Cybercrime” - Marco para el análisis de los costos del cibercrimen
Para clarificar esta clasificación, los autores del trabajo presentan el siguiente ejemplo 140 sobre un caso
de phishing bancario:
•
Ingresos de los ciberdelincuentes:
 Sumatoria de los valores monetarios extraídos de las cuentas bancarias de las víctimas
 Ingresos del “Spammer” por el envío de los correos electrónicos de phishing (considerando que
parte de lo que obtiene el “phisher” que comete el cibercrimen, será transferido al “spammer”)
•
Pérdidas directas:
 Ingresos de los ciberdelincuentes
 Tiempo y esfuerzo para restablecer las credenciales de las cuentas bancarias afectadas
 Costos secundarios producto de la falta de los fondos robados (compras diferidas, oportunidades perdidas, etc.)
 Mermas en la productividad asociadas al SPAM, como por ejemplo, el tiempo insumido en leer
mensajes de correo electrónico de publicidad no solicitada, adquisición de filtros, menor disponibilidad de banda ancha, etc.
•
Pérdidas indirectas
 Afectación de la confianza de los clientes en la banca en línea
 Imposibilidad de utilización del correo electrónico para comunicarse con clientes por parte de
los bancos, lo que obligará a utilizar procedimientos alternativos más onerosos
140
11th Workshop on the Economics of Information Security, Berlin, Germany – Measuring the cost of Cybercrime
– Anderson, Ross et al – 26/06/2012
Julio 2013 – Pág. Nº 137/185
sociedad civil
 Esfuerzos para limpiar computadoras infectadas
•
Costos defensivos
 Adquisición de productos de seguridad (por ejemplo, elementos de autenticación y antivirus)
 Capacitación para empleados y clientes bancarios personales y corporativos
 Esfuerzos de detección, seguimiento y recuperación frente al fraude
 Esfuerzos de las fuerzas de seguridad especializadas para la investigación y la detención de los
responsables
Los autores distinguen los siguientes tipos de cibercrímenes, a los fines de asociarles sus costos respectivos:
•
Genuinos, aquellos que surgen a partir del advenimiento de la tecnología, como los antivirus falsos,
los códigos maliciosos, etc.
•
Transicionales, aquellos si bien se realizaban antes del surgimiento de las nuevas tecnologías, a partir de ellas cambian sensiblemente en la manera en que se realizan, en su alcance o en alguna otra
característica.
•
Tradicionales, aquellos que siempre se realizaron, solo que ahora utilizan distintas herramientas
para cometerlos con el mismo modus operandi, como es el caso de fraude ligado a la presentación
de declaraciones impositivas o de la seguridad social, con datos falsos.
Adicionalmente, como ya se dijo, se consideran también los costos asociados a la protección de las infraestructuras tecnológicas, como son la adquisición de licencias de antivirus y otros dispositivos de
protección, la administración de parches de seguridad y otros costos asociados a la defensa.
Desde el punto de vista de los ciberdelincuentes que buscan lucrar con la actividad maliciosa, una posible clasificación identifica cuatro grandes tipos de criminales que emplean Internet para su actividad
maliciosa:
•
Programadores, especializados en poner a prueba la seguridad de los servidores y en desarrollar
técnicas para robar datos, para luego ofrecer las herramientas que han generado a otros ciberdelincuentes que las utilizan para controlar sistemas susceptibles de ser infectados de manera remota, y
así cometer phishing o instalar troyanos bancarios, entre otras opciones.
•
Vendedores de infraestructura, que cuentan con una red de equipos infectados y la ofrecen para la
realización de diferentes tipos de cibercrímenes. En su oferta de elementos, este grupo ofrece conjuntos de computadoras infectadas, acceso a otros equipos, paquetes de códigos maliciosos, servicios de SPAM con enlaces de phishing o infecciones de troyanos y capacidades para ocultarse en la
red.
•
Vendedores de datos, que ofrecen al mercado sitios de comercio electrónico ya comprometidos,
información de contacto de personas que se postulan para recibir mercancías robadas o fondos sustraídos ilegítimamente, sitios de venta de datos de tarjetas de crédito, herramientas para averiguar
si la tarjeta todavía está vigente y su nivel de crédito, entre otros elementos.
Julio 2013 – Pág. Nº 138/185
sociedad civil
•
Defraudadores que se dedican a organizar pequeñas bandas con personas que probablemente nunca lleguen a verse físicamente, pero que tienen habilidades útiles para la organización y conforman
así redes para el cibercrimen organizado, incluyendo la gestión de los fondos producidos.
Objetivo y alcance del capítulo
Al igual que en el informe publicado por LACNIC en el año 2011, el objetivo principal de este capítulo es
proveer un marco para la medición del impacto económico del cibercrimen en Latinoamérica y El Caribe,
que pueda ser actualizado y mejorado cuando se disponga de información más precisa y de análisis más
profundos, facilitando estimaciones futuras.
Se propone asimismo, realizar algunas aproximaciones y proyecciones globales respecto a la dimensión
que podría estar teniendo el cibercrimen en la región. Estas proyecciones son realizadas en base a una
serie de supuestos y especulaciones, ante la ausencia de datos concretos y representativos sobre la cantidad y el impacto de los incidentes ocurridos. En otras palabras, los valores que se indican en este capítulo son el resultado de estimaciones, más que de datos específicos de casos de ataques, frente al panorama de escasez de información agregada y precisa de los casos registrados.
Dichas estimaciones se basan en datos obtenidos de fuentes públicas y en modelos utilizados mayormente en informes producidos en otros países o regiones, tanto por organizaciones públicas como por
entidades privadas, calculados usando factores locales, cuando fue posible. Asimismo, se han tenido
también en cuenta las opiniones de expertos locales e internacionales, cuyo aporte ha sido invaluable
para la realización de este trabajo.
En el mismo sentido, las actividades cubiertas en este capítulo son aquéllas que llevan a cabo los delincuentes para acceder en forma no autorizada a la información y a los servicios que utilizan las personas
y organizaciones de Latinoamérica y El Caribe. Sólo se incluirá aquéllas que tengan un impacto financiero, no contemplándose por ejemplo, daños a la reputación, debido a las dificultades para su determinación. Esta decisión se adopta para evitar el agregado de mayores complejidades en los modelos utilizados para realizar las proyecciones, al aumentar la cantidad de supuestos y especulaciones que es necesario realizar.
En esta oportunidad, se tomó particularmente como base el trabajo de investigación realizado por un
grupo de especialistas de universidades europeas y de los EEUU, tal como se planteo en la introducción.
Los cibercrímenes cubiertos son:
•
Fraudes bancarios
 Costos asociados al phishing
 Inversión de los bancos en seguridad
•
•
Fraude en comercio electrónico
Robo de identidad
Otros cibercrímenes tales como la distribución de pornografía por Internet, la extorsión, el robo de propiedad intelectual en soporte electrónico y la piratería de software u otras facetas de la actividad ilícita
como el ciberterrorismo, no son abarcados en el presente capítulo debido a que no fue posible obtener
información suficiente para estimar su impacto económico. Dada la amplitud del impacto económico de
Julio 2013 – Pág. Nº 139/185
sociedad civil
la actividad ilícita en Internet, que excede el listado anterior y ante la ausencia de datos concretos para
ponderar otro tipo de incidentes, no ha sido posible en esta instancia llevar adelante otro tipo de análisis.
Para cada uno de los cibercrímenes analizados, en la medida de lo posible, se citan datos provenientes
de publicaciones de los países de la región que detallan estimaciones del impacto económico de dicha
actividad ilícita dentro de sus fronteras.
Al final del capítulo se agrega una serie de valores y estimaciones referidas a otros cibercrímenes, así
como una sección dedicada a la economía sumergida que da base a la actividad ilícita, que fueron encontrados durante la revisión bibliográfica, con la idea de que puedan ser utilizados cuando se disponga
de información más completa.
Informes internacionales
Desde la publicación del informe anterior, han aparecido nuevos estudios realizados por entidades académicas y empresas del sector tecnológico y de productos y servicios de seguridad informática, que
buscan identificar el impacto económico del cibercrimen a nivel global o regional.
En los EEUU por ejemplo, la Federal Trade Commission 141, un organismo del Estado Federal que tiene
como objetivo la protección de los consumidores, mantiene desde hace varios años una base de datos
de reclamos muy completa sobre fraude en Internet y robo de identidad, a partir de la cual se obtienen
estadísticas sobre la cantidad de casos de cibercrímenes registrados y se estiman las pérdidas sufridas
en forma individual y agregada.
En una de sus publicaciones, este organismo indica que durante el año 2012 recibió 2 millones de quejas, de las cuales el 18% se vinculaba con el robo de identidad. El informe 142 indica que un 52% del total
de los reclamos recibidos se relacionó con fraudes, causando un impacto financiero estimado en 1.400
millones de dólares estadounidenses, con una media de 535 dólares por persona afectada. Un 57% de
las quejas por fraude se correspondieron con situaciones en las que hubo un contacto inicial. De esos
contactos, un 38% se realizó a través de mensajes de correo electrónico, es decir que tomando el total
de los casos reportados, un 11,3% tuvieron un contacto inicial vía correo electrónico. El siguiente cuadro, extraído del documento mencionado muestra la relación anterior:
141
Informes publicados en el sitio de Internet de la Federal Trade Commission – http://www.ftc.gov/
Informe Consumer Sentinel Network Data Book – Enero a Diciembre 2012 – Federal Trade Commission, Gobierno de los EEUU. – Consultado el 02/04/2013 - http://www.ftc.gov/sentinel/reports/sentinel-annualreports/sentinel-cy2012.pdf
142
Julio 2013 – Pág. Nº 140/185
sociedad civil
Otro
7%
Teléfono
34%
Sitios web
Correo postal
Correo electónico
12%
9%
38%
Federal Trade Commission del Gobierno de los EEUU - Quejas por fraudes según el método utilizado para contactar al consumidor - 2012
En cuanto al Reino Unido, y como ya fuera explicado, el Ministerio de Defensa de ese país, a través de su
Científico en Jefe, solicitó a un grupo de académicos la realización de una revisión del informe producido
en febrero de 2011 por la consultora Detica y su correspondiente actualización. Producto de ese análisis,
surge el trabajo de investigación sobre el que se basan algunas estimaciones del capítulo.
Por otro lado, un informe 143 del Instituto Ponemon, cuya realización fue auspiciada por Hewlett Packard,
a partir de una muestra de organizaciones de los EEUU, concluyó que al costo promedio anualizado del
cibercrimen para el año 2012 en ese país, fue de 8,9 millones de dólares estadounidenses, lo que significó un aumento del 6% respecto al año anterior. También se registró un aumento del 42% en el número
de ataques, en comparación con el mismo período.
Respecto a Europa, un estudio 144 de Böhme y Moore analizó las respuestas a una encuesta realizada
entre marzo y junio de 2012, para determinar en qué medida las experiencias e inquietudes de los cibernautas respecto al cibercrimen condicionaban sus decisiones respecto a Internet. Dicha encuesta
abarcó a 26.593 ciudadanos europeos mayores de 15 años. Un hallazgo interesante de los autores
muestra que las preocupaciones sobre el cibercrimen llevaban a un 17,5% de los encuestados a evitar la
realización de compras en línea y a un 14% a preferir no efectuar operaciones bancarias a través de Internet. Estos porcentajes podrían ser la base para la estimación de los costos indirectos del cibercrimen,
ya que tienen un efecto en la confianza de los usuarios en las operaciones que pueden realizar en Internet.
Por otro lado, el mismo estudio mostró que un 8% de los encuestados manifestó haber sufrido algún
tipo de ataque de robo de identidad, un 37,4% un phishing y un 12,2%, un fraude vinculado a operaciones de comercio electrónico.
143
Ponemon Institute – 2012 Cost of Cybercrime Study: United States – Consultado el 20/02/2013 http://www.ponemon.org/local/upload/file/2012_US_Cost_of_Cyber_Crime_Study_FINAL6%20.pdf
144
Bohme, R. y Moore, T. – How do consumers react to cybercrime? - APWG eCrime Researchers Summit - Septiembre 2012 - Consultado el 27/04/2013 – http://lyle.smu.edu/~tylerm/ecrime12eurobarpres.pdf
Julio 2013 – Pág. Nº 141/185
sociedad civil
Es interesante destacar que entre las conclusiones de los autores, se encuentra el hecho de que las
preocupaciones sobre la actividad ilícita en Internet, condicionaban en mayor medida a los participantes
respecto a la realización de operaciones en línea, que la experiencia directa de haber sido víctima de un
cibercrimen.
Existen también informes de empresas dedicadas a la seguridad informática que intentan cuantificar a
nivel internacional el impacto económico producido por distintos tipos de ataques. Entre estos informes, se encuentran los realizados por la empresa Symantec Corporation 145, el cual concluye que el cibercrimen le costó al mundo en el año 2012, 110.000 millones de dólares estadounidenses. Sin embargo, un trabajo similar de McAfee Inc., competidor de la compañía antes citada, lo ubica en 1,1 billones 146
de la misma moneda, es decir, 10 veces mayor. Cabe acotar que en el caso del primer informe, se hace
referencia al mostrar las extrapolaciones, que los valores presentados resultan de las encuestas correspondientes a 24 países.
Por otro lado, la empresa Canalys 147 anunció en diciembre de 2011 que esperaba un incremento del
8,7% en el mercado global de productos y servicios para el aseguramiento de la información, que alcanzaría un total de 22.900 millones de dólares estadounidenses.
Como ya se explicó en el Capítulo III, existe un fuerte debate sobre la credibilidad de estas empresas,
que al participar activamente en el mercado de venta de productos y servicios de seguridad, tienen intereses comerciales. Sin embargo, no puede negarse que conocen la actividad, tienen la capacidad y los
medios para implementar mecanismos de identificación de los principales actores y han desarrollado
diversas herramientas para el conteo de los ataques. Posiblemente sea necesario que dichos informes
especifiquen en forma más precisa, los mecanismos que se utilizaron para la recolección de información
y divulguen los supuestos que se realizaron para arribar a sus resultados y conclusiones. Con esto se
facilitaría la identificación de los desvíos entre los resultados publicados y se contribuiría a dar mayor
confiabilidad a la información disponible, que sin duda es de utilidad para combatir el cibercrimen.
En lo que respecta en particular a Latinoamérica y El Caribe, la información es mucho más escasa que en
otras regiones. Un informe publicado en el portal de Internet AeTecno 148 indica que diferentes analistas
ubicaron entre 93 y 114 millones de dólares estadounidenses las pérdidas atribuibles a la infección de
códigos maliciosos que permiten robar datos o información relevante en empresas y organizaciones de
la región.
En cuanto a los países, una publicación 149 de Colombia de octubre de 2012 indica que se estima en más
de 9,7 millones la cantidad de personas que han sido víctimas del cibercrimen en los doce meses ante145
Symantec Corp. - 2012 Norton Cybercrime report - Consultado el 01/03/2013 - http://nowstatic.norton.com/now/en/pu/images/Promotions/2012/cybercrimeReport/2012_Norton_Cybercrime_Report_M
aster_FINAL_050912.pdf
146
Tal como fuera indicado en el Capítulo III, en el presente informe se toma como base que un billón es equivalente a un millón de millones.
147
Nota de prensa de la empresa Canalys – Enterprise security market to exceed $22 billion in 2012 – Consultado
el 02/03/2012 - http://www.canalys.com/newsroom/enterprise-security-market-exceed-22-billion-2012
148
Ae Tecno - Cibercrimen ocasiona cada año pérdidas por US$100 millones en Latinoamérica – 13 de agosto de
2012 – Consultado el 20 de marzo de 2013 - http://tecno.americaeconomia.com/noticias/cibercrimen-ocasionacada-ano-perdidas-por-us100-millones-en-latinoamerica
149
Portal El nuevo siglo – Cibercrimen: usuarios pierden $771 millones – 28/10/2012 - Consultado el 02/04/2013 http://www.elnuevosiglo.com.co/articulos/10-2012-ciber-crimen-usuarios-pierden-771-mil-millones.html
Julio 2013 – Pág. Nº 142/185
sociedad civil
riores y que éstas tuvieron pérdidas financieras directas por un monto cercano a los 43 millones de dólares estadounidenses.
El informe de Symantec citado precedentemente estima para Brasil pérdidas de 8.000 millones de dólares estadounidenses y para México, de 2.000 millones, siempre para el año 2012. Estos son los dos únicos países de la Región incluidos en el informe global citado más arriba.
Fuentes de datos y metodología
Para la formulación de este capítulo se ha obtenido información de fuentes de dominio público, complementada por las opiniones de especialistas en ciberseguridad de organizaciones públicas y privadas,
de Latinoamérica y El Caribe y de algunos centros de investigación en el mundo. La lista de los informes
consultados puede ser accedida en los anexos de este informe.
La mayoría de los cálculos realizados son adaptaciones de proyecciones efectuadas para otros trabajos
de similar propósito para otras regiones o países. En todos los casos en que fue posible, se utilizaron
valores de la región, o bien se tomaron indicadores de otras áreas, corregidos por la realidad local. Las
fuentes fueron verificadas y sopesadas, privilegiando siempre las más reconocidas por tratarse de entidades académicas o internacionales, organismos nacionales o bien, empresas de trayectoria reconocida
en el sector. Ante más de una fuente posible de similar nivel de confianza, se utilizó la más conservadora. De igual forma, se privilegiaron los datos más recientes ya que se ha comprobado que los ataques
cibernéticos van cambiando y reinventándose, a medida que aparecen medidas para neutralizarlos.
Calcular el impacto del cibercrimen en un país o región es una tarea compleja. Las estimaciones que
siguen se basan en supuestos y evaluaciones fundamentadas, más que en datos reales, dado que como
fuera ya consignado, no se encuentran accesibles bases completas que registren la actividad maliciosa y
mucho menos, sus efectos económicos. Esta realidad puede observarse a nivel mundial pero es particularmente compleja cuando se trata de información de países de Latinoamérica y El Caribe, donde los
datos son más escasos aún. En consiguiente, los valores que se exponen deben ser interpretados como
guías ilustrativas, más que como estadísticas o datos concretos del impacto económico del cibercrimen
en la Región.
En primer lugar se plantearán algunas derivaciones que surgen del trabajo de los académicos, citado
precedentemente. En su artículo, los autores calculan para una variedad de actividades ilícitas en Internet, el monto global que implican, sobre la base de diversas publicaciones mayormente provenientes de
la academia. Para el cálculo de la proporción correspondiente al Reino Unido utilizan como base en la
mayoría de los cibercímenes analizados, su participación en el Producto Bruto Mundial. En los casos
aplicables, se seguirá el mismo criterio, tomando como base la participación de Latinoamérica y El Caribe, que es de un 8,07%, según lo indican informes del Banco Mundial 150.
Costos para el sector bancario
Analizando la geografía del cibercrimen en Latinoamérica, un artículo 151 publicado en septiembre de
2012 indicaba que la mayoría de los ciberataques en esta región tenían como objetivo la información
150
Informe del Banco Mundial para el año 2011 – http://www.worldbank.org – Consultado el 02/03/2013
PC World México – “Analiza Kaspersky la geografía del ciberdelito en AL” – 14/09/2012 –
http://www.pcworld.com.mx/Articulos/25262.htm - Consultado el 02/03/2013
151
Julio 2013 – Pág. Nº 143/185
sociedad civil
financiera. A esta conclusión llegaba al precisar que el uso de Internet en los países que la conforman
crece año a año y que millones de personas guardan su dinero en cuentas bancarias y utilizan sus tarjetas de crédito para hacer compras en línea.
Un informe estadístico 152 de la firma RSA publicado en agosto de 2012 aseguraba que en el primer semestre de 2012 las pérdidas a nivel mundial debidas a los ataques de phishing superaban los 687 millones de dólares estadounidenses. Este valor, de acuerdo al informe, fue calculado utilizando una media
relativamente baja en cuanto al tiempo de publicación del sitio malicioso y aún así, mostraba un incremento 32% respecto al mismo semestre del año 2011 y una merma pequeña respecto al segundo semestre de dicho año.
Cabe acotar que como ya fuera explicado en el Capítulo III aludiendo a los datos del APWG, mientras el
crecimiento del phishing en el mundo fue del 83%, en Latinoamérica y El Caribe, ese porcentaje alcanzó
el 108%. Del mismo modo, la cantidad de dominios maliciosos registrados descendieron a nivel global
pero en la región bajo análisis, registraron un aumento.
Una publicación de BN Américas 153, citando como fuente a la Federación Brasileña de Bancos FEBRABAN 154, estimaba en 750 millones de dólares estadounidenses las pérdidas de los bancos locales
atribuibles al fraude electrónico durante el año 2011, con una proyección similar para el año 2012. En
este sentido, se explicaba que dicho monto corresponde a todos los canales electrónicos de atención al
cliente (teléfono, Internet, banca móvil, cajeros electrónicos y tarjetas de crédito y débito) y que representa menos del 0,007% del monto correspondiente a todas las transacciones bancarias del país. El
mismo artículo precisaba que la inversión anual de los bancos para combatir el fraude en ese país superaba los 4500 millones de dólares para el año antes citado.
Con referencia al mismo país, un artículo 155 publicado en el portal de Terra, precisaba que la industria
bancaria redujo un 7% las pérdidas por fraude electrónico en el 2012, principalmente mediante sistemas
más estrictos de autenticación. El texto, citando cifras oficiales, indicaba que las denuncias de ataques
de phishing se habían incrementado en un 95% en el 2012.
En el Perú, un ejecutivo de Kunak Consulting 156 estimaba en 500 la cantidad de robos de datos bancarios
que se registra al día a en ese país, través de “infecciones” por virus, que permiten a los cibercriminales
ingresar a cualquier computadora. De acuerdo al especialista, el 5% de quienes reciben un correo electrónico de phishing, lo responden.
152
RSA FraudAction Research Labs – Phishing in Season: A Look at Online Fraud in 2012 – Consultado el
10/12/2012 - http://blogs.rsa.com/phishing-in-season-a-look-at-online-fraud-in-2012/
153
BN Américas - Mexico, US countries with most card frauds – 23/11/2012 – Consultado el 05/03/2012 http://subscriber.bnamericas.com/Subscriber/index.jsp?idioma=I&tipoContenido=detalle&pagina=content&idCon
tenido=601883&tipoDocumento=1
154
Portal de FEBRABAN - FEBRABAN dá dicas de segurança eletrônica – 12/11/2012 – Consultado el 05/03/2013 http://www.febraban.org.br/Noticias1.asp?id_texto=1886&id_pagina=154&palavra=
155
Portal de Terra – “Brasil busca poner orden en su ciberespacio sin ley” - Consultado el 15/02/2013http://economia.terra.com.mx/noticias/noticia.aspx?idNoticia=201302261454_RTI_SIE91P04N
156
Portal de Perú Press - Cibercrimen : “Perú registra 500 robos de datos bancarios al día” – 11/11/2012 – Consultado el 18/03/2013 - http://www.perupress.com/2012/11/28/cibercrimen-peru-registra-500-robos-de-datosbancarios-al-dia/
Julio 2013 – Pág. Nº 144/185
sociedad civil
En Colombia, según una publicación157, que citaba un informe de la empresa RSA, se calcula las pérdidas
por phishing fueron en el año 2011 de seis millones de dólares estadounidenses, siendo el segundo país
en América Latina y El Caribe con mayor índice de robos a través de Internet. El mismo artículo indicaba
que al mes se registran alrededor de 187 denuncias por robos informáticos, siendo los más comunes los
que se realizan bajo la modalidad del phishing.
Estimaciones
Costos asociados al phishing
En este tipo de fraudes, las credenciales de un cliente bancario, es decir su nombre de usuario y contraseña o inclusive, los datos de su tarjeta de coordenadas, son robadas por un delincuente que luego se
conecta con el banco y realiza transferencias a una cuenta perteneciente, en la mayoría de los casos, a
un intermediario que trabaja para él. El impacto directo de esta actividad maliciosa se produce sobre los
clientes y los bancos e indirectamente, sobre todo el sistema bancario. Este tipo de ataques se realiza
mayormente a través de la creación de un sitio de internet similar al de la institución bancaria y de un
envío masivo de mensajes de correo electrónico, buscando encontrar clientes bancarios desprevenidos
que crean que efectivamente proviene del banco.
Varios estudios 158 159 ubican la cantidad de usuarios que anualmente caen víctimas de un ataque de
phishing, ingresando sus credenciales o contraseñas en un sitio web, entre un 0,4 y 0,5% de los usuarios
de Internet. Esto en América Latina y El Caribe significaría que entre 1 millón y 1,3 millones de personas
son estafadas año a año con esta mecánica.
El estudio realizado por Anderson y demás colaboradores estima que las pérdidas globales por phishing
ascienden a 320 millones de dólares anuales. Si se aplica el porcentaje de participación de la región de
Latinoamérica y El Caribe en el producto bruto global, se arriba a un total aproximado de 26 millones de
dólares estadounidenses.
Las pérdidas por phishing bancario para los clientes ascienden en la Región a 26 millones de
dólares estadounidenses
Otra forma de robar datos bancarios es el denominado “SPEAR-PHISHING”. A través de esta técnica se instala en forma deliberada código malicioso en las computadoras de determinadas organizaciones, como
las pequeñas y medianas empresas, buscando alcanzar al departamento de Finanzas, el de sueldos o el
de Cuentas a Pagar. Sobre la base de datos del FBI del año 2011, Anderson y sus colaboradores estiman
que las pérdidas globales serían de aproximadamente 300 millones de dólares estadounidenses. Nue157
Portal Mattica - Colombia: Los ataques de phishing crecen – 10/04/2012 – Consultado el 12/03/2013 http://www.mattica.com/2012/04/colombia-los-ataques-de-phishing-crecen/
158
Frost and Sullivan - Retos Clave Contra el Fraude Electrónico en las Instituciones Bancarias y Financieras de
Latinoamérica 2010 – Consultado el 29/03/2013 - http://www.frost.com/prod/servlet/market-insighttop.pag?docid=213433779
159
Florencio, Dinei y Herley, Cormac. Evaluating a Trial Deployment of Password Re-Use for Phishng Prevention –
2007
Microsoft
Research
–
Consultado
el
02/04/2013
http://research.microsoft.com/pubs/74163/APWG_sub.pdf
Julio 2013 – Pág. Nº 145/185
sociedad civil
vamente calculando la proporción que le corresponde a la región en función de su participación en el
Producto Bruto Global, se arriba a un total estimado en 24 millones de dólares.
Las pérdidas para la Región de Latinoamérica y El Caribe atribuibles al denominado “spear
phishing” ascenderían a 24 millones de dólares estadounidenses.
Los datos bancarios también pueden ser obtenidos de computadoras de usuarios comunes mediante la
instalación de código malicioso que registra los datos ingresados por teclado, buscando identificar aquellos que corresponden a información bancaria. En este caso, y en base a datos del FBI del año 2010 obtenidos a partir de una investigación de gran envergadura sobre el que trabajó este organismo, los autores proyectan un monto de 70 millones de dólares estadounidenses como piso a nivel mundial. En consecuencia, la proyección para Latinoamérica y El Caribe sería de 6 millones de dólares.
Las pérdidas para la Región de Latinoamérica y El Caribe atribuibles al robo de datos bancarios
a través de la instalación de código malicioso, ascenderían a 6 millones de dólares estadounidenses.
Inversión de los bancos en seguridad
Los bancos desembolsan una cantidad considerable de fondos para prevenir una amplia gama de eventos vinculados al fraude bancario en línea, entre los cuales se encuentran el phishing y la instalación de
código malicioso por distintas vías. Dichos fondos se destinan, entre otros, a la adquisición de herramientas para la autenticación de usuarios y clientes, así como los correspondientes a desarrollos internos de las entidades bancarias.
Anderson y sus colaboradores estiman los costos defensivos para prevenir el fraude bancario a nivel
global en 1000 millones de dólares estadounidenses, lo cual lleva a una estimación de 81 millones de
dólares anuales para la región de Latinoamérica y El Caribe.
La inversión en seguridad de la información en los bancos de la Región de Latinoamérica y El
Caribe para prevenir el fraude bancario en línea ascendería a 81 millones de dólares estadounidenses.
Cabe recalcar que este valor, si bien puede ser considerado muy conservador si se lo compara con lo
indicado precedentemente en el informe de FEBRABAN, en el cual se señalaba que la inversión anual en
seguridad informática por parte de los bancos del Brasil en el año 2011, fue de 4500 millones de dólares
estadounidenses, es solo atribuible a la inversión vinculada a la prevención del fraude bancario en línea.
Otros valores de interés
Se citan a continuación otras métricas que podrían tenerse en cuenta para estimaciones futuras del
impacto económico de este tipo de cibercrimen en el sector bancario, en la medida en que sea posible
acceder a datos adicionales confiables para el cálculo:
Julio 2013 – Pág. Nº 146/185
sociedad civil
•
De acuerdo a un informe 160 de la empresa RSA, en el año 2011 se presumía que uno de cada 300
mensajes de correo electrónico que circulaban en Internet, contenía elementos vinculados al phishing. Cabe señalar que Symantec Corporation, según lo expuesto en el Capítulo III - Phishing, encontró que este valor pasó a ser en 2012, uno de cada 377,4 mensajes.
•
Otro aspecto interesante del informe de RSA es la manera en que los ataques de phishing se empezaron a orientar a los teléfonos celulares. En efecto, el informe señala que en muchos casos, las direcciones de los sitios apócrifos fueron enviados vía mensajes SMS, situación en la cual resultaba
más complejo determinar si se trataba de un sitio genuino, una vez que se había ingresado, ya que
la mayoría de los mensajes muestran sitios abreviados o la versión del sitio para teléfonos móviles.
El estudio agregaba que quienes se conectaban vía telefonía celular eran tres veces más proclives a
proveer su nombre de usuario y contraseña cuando les eran requeridos, que quienes accedían a través de una computadora personal.
•
Finalmente, el informe señalaba que en promedio, cada ataque de phishing proporciona al delincuente una ganancia aproximada de 4500 dólares estadounidenses en fondos robados.
•
Tal como se mencionó en el Capítulo III, Websense Security Labs realizó un estudio en el año 2012
en el que revelaba que el porcentaje total de SPAM que puede considerarse phishing es de aproximadamente el 1,62 %. Al respecto, agregaba que las campañas de envío de correo electrónico no
solicitado pueden alcanzar más de 250.000 mensajes por hora y que los intentos de phishing son
superiores a los correspondientes a ejecutables maliciosos, respecto al volumen del correo electrónico enviado.
Fraude en el comercio electrónico
El comercio electrónico alcanzó durante el año 2011 en la región de Latinoamérica y El Caribe los 43.000
millones de dólares estadounidenses, según un artículo publicado en el portal VISA América Economía 161, registrando un 98,5% de crecimiento bianual.
Este crecimiento se debe a diversos motivos, entre los que se encuentran el uso cada vez mayor de Internet, conexiones más veloces de banda ancha, una creciente confianza del consumidor, una mayor
cantidad de comerciantes que utilizan este canal de venta y una mayor difusión de uso de los medios de
pago electrónicos.
Un estudio realizado por el Instituto Latinoamericano de Comercio Electrónico en conjunto con VISA 162,
muestra la evolución a partir del año 2003, de los ingresos generados en la región y su proyección para
los años 2012 y 2013:
160
RSA
–
The
year
in
phishing,
January
2012
–
Consultado
el
02/03/2013
http://www.rsa.com/solutions/consumer_authentication/intelreport/11635_Online_Fraud_report_0112.pdf
161
Portal América Economía - “Los años del boom” - Consultado el 16/02/2013 http://especiales.americaeconomia.com/2012/comercio-electronico-america-latina-2012/estudio.php
162
Instituto Latinoamericano de Comercio Electrónico - Estudio del Comercio Electrónico en América Latina - Consultado el 06/04/2013 - http://especiales.americaeconomia.com/2012/comercio-electronico-america-latina2012/pdf/Estudio_de_comercio_electronico_en_America_Latina_Mayo_2012.pdf
Julio 2013 – Pág. Nº 147/185
sociedad civil
70
54,4
43
30,3
1,7
3
4,9
7,5
2003
2004
2005
2006
10,6
2007
15,6
2008
21,8
2009
2010
2011
2012 2013
(proy.) (proy.)
Instituto Latinoamericano de Comercio Electrónico - Ingresos en millones de dólares estadounidenses por comercio electrónico en Latinoamérica y El Caribe
En cuanto a la distribución por país, Brasil ocupa un papel preponderante con casi un 60% del ingreso
total producto del Comercio Electrónico en la región, seguido de lejos por México, con un 14,2%, como
lo muestra el siguiente gráfico del mismo informe:
Instituto Latinoamericano de Comercio Electrónico - Participación por país en los ingresos del comercio electrónico de la región
Finalmente, el trabajo señala la ponderación de los usuarios frente a la decisión de transaccionar en un
sitio de comercio electrónico. En una escala de 1 a 4, el cuarto punto es la seguridad, interesante aspecto que demuestra la consideración que los usuarios dan al tema.
Julio 2013 – Pág. Nº 148/185
sociedad civil
Instituto Latinoamericano de Comercio Electrónico - Factores más relevantes al comprar por Internet
Estimaciones
Como ya se explicó, el comercio electrónico en América Latina y El Caribe prácticamente se duplicó en
sólo dos años, registrando en el año 2011 ventas por 43 mil millones de dólares estadounidenses. Durante el mismo año, de acuerdo al informe antes citado, la tasa promedio de fraude, entendido como los
créditos y la anulación de cargos generada por reclamos de los clientes, fue del 1% del ingreso total por
las ventas. Los grandes comercios mostraban menores porcentajes de pérdida (4%) mientras que los
pequeños reportaban pérdidas que triplicaban dicha tasa, posiblemente porque los primeros cuentan
con mejores capacidades para la prevención del fraude. Los porcentajes de fraude también se encuentran influenciados por otras cuestiones, tales como el volumen de ventas, los tipos de productos comercializados y la forma de entrega y pago.
Un estudio 163 más reciente de la firma CyberSource Corporation, una unidad de VISA, referido a datos
del año 2011 reflejando datos obtenidos de relevamientos en Canadá y los EEUU, coincide con el valor
de fraude del 1% antes indicado. De acuerdo al estudio, un 41% de ese total puede adjudicarse a la anulación de cargos de cliente.
Para el caso de Latinoamérica y El Caribe, un artículo del portal Tecnovirus, citando a la empresa antes
mencionada, indica que luego de analizar 5.000 millones de operaciones electrónicas de comercio electrónico mediante 260 pruebas de autenticación, se pudo determinar que de cada 100 dólares estadounidenses, 1,8% corresponde a actividades ilegales.
Otro dato que aporta el informe es que un 2,8% de las órdenes de compra recibidas, son rechazadas
por sospecha de fraude. Sin embargo, el Director comercial para Latinoamérica y El Caribe de la empresa
CyberSource sostiene que el porcentaje de órdenes rechazadas debido a la sospecha de fraude es mucho mayor en dicha región.
163
Cybersource - 13th On line Fraud Report 2012 – Consultado el 22/03/2013
http://forms.cybersource.com/forms/NAFRDQ12012whitepaperFraudReport2012CYBSwww2012
Julio 2013 – Pág. Nº 149/185
-
sociedad civil
El informe concluye además que se mantiene la tendencia de mejora reportada por los comerciantes
frente al fraude, evolución que puede apreciarse en el siguiente cuadro que muestra el porcentaje de las
pérdidas atribuido a los fraudes en los pagos en línea, entre los años 2000 y 2011, siempre referidos a
datos del hemisferio norte de América:
Cybersource - Evolución del porcentaje de las pérdidas atribuido a los fraudes en los pagos en línea - 2012
Para realizar una estimación en este caso, si bien se cuenta con información para la región, se adopta
una posición conservadora, por lo que se tomará entonces el 1% sobre el monto total que generó el
comercio electrónico en Latinoamérica y El Caribe en el año 2011. Aplicando este porcentaje, se proyecta en consecuencia como el límite inferior del monto del fraude un monto, de 430 millones de dólares
estadounidenses para toda la región.
El fraude en el comercio electrónico en Latinoamérica y El Caribe originado en reclamos de los
clientes podría estar alcanzando un piso de 430 millones de dólares estadounidenses.
impacto económico del fraude en el comercio electrónico, en la medida en que sea posible acceder a
otros modelos y a datos confiables adicionales para su cálculo:
•
El informe “13th On line Fraud Report” de la firma Cybersource referido precedentemente, señala
que existe una mayor tendencia al rechazo de órdenes de compra de países extranjeros, que se calcula que es tres veces mayor que los valores correspondientes a las compras locales. Como respuesta, los comerciantes rechazan un 7,3% de las órdenes provenientes del exterior, contra 2,8% en el
caso de aquellas generadas en el propio país.
•
El mismo informe señala que un 25% de los comerciantes alcanzados por la encuesta gastó en el año
2011 un mínimo de un 0,5% de sus ingresos para enfrentar el fraude por pagos en línea, mientras
que un 75% gastó una cifra menor a ese porcentaje. Estos valores corresponden a la gestión del
riesgo y no alcanzan los quebrantos asociados a las devoluciones, a la pérdida de mercadería y de
Julio 2013 – Pág. Nº 150/185
sociedad civil
sus costos de envío asociados, ni a los costos de oportunidad devenidos del rechazo de órdenes de
compra válidas.
•
El presupuesto destinado a enfrentar el fraude en el comercio electrónico se distribuye de la siguiente manera: un 21% se utiliza para el desarrollo y la implementación de sistemas y herramientas
internas, un 27% para herramientas de terceros y el mayor porcentaje, 52%, para la revisión manual
de las órdenes de compra. Estos valores pueden apreciarse en el siguiente cuadro.
21%
Sistemas y
herramientas internas
Herramientas de
terceros
52%
27%
Personal para revisión
Cybersource - Porcentaje promedio de distribución del presupuesto de fraude en las empresas - 2012
Fraudes vinculados al robo de identidad
Bajo este tipo de fraude se incluye el uso de identidades falsas o robadas para obtener servicios o bienes
mediante distintos tipos de engaño o ardid. En su versión tradicional, tiene lugar a partir del robo o la
falsificación de documentos de identidad, tales como documentos nacionales de identificación, pasaportes, licencias de conducir, etc. A partir del advenimiento del uso de las tecnologías de información y
particularmente de Internet, este delito toma nuevas formas y se encadena de alguna manera a los vectores de ataque de otros cibercrímenes, tales como el phishing, el pharming, el SPAM, las infecciones de
código malicioso, etc.
En consiguiente, el fraude en el comercio electrónico y el bancario, tratados precedentemente, pueden
tener componentes vinculados al robo de identidad, como pasos del proceso de comisión de la actividad
ilícita. Sin embargo, se los presenta en forma separada debido a la magnitud que representa el robo de
identidad entre los actos ilícitos cibernéticos, crecimiento que surge a partir del incremento de la disponibilidad de datos personales en línea que se viene registrando en los últimos años y de la explosión en
el uso de las redes sociales.
En efecto, diversos estudios coinciden en afirmar que el robo de identidad es el delito de mayor crecimiento en el mundo, amparado además en el volumen creciente de datos disponibles, en la facilidad
con que se puede obtener información de usuarios desprevenidos, en los bajos presupuestos de las
fuerzas de la ley, en las insuficientes campañas de prevención, en el ya mencionado explosivo crecimiento de las redes sociales y sus múltiples usos que exceden lo meramente “social”, y en un mercado delictivo cada vez más atractivo para el tráfico de este tipo de información.
Julio 2013 – Pág. Nº 151/185
sociedad civil
En línea con lo anterior, el informe de la Federal Trade Commission, citado precedentemente afirma que
hace ya más de una década, el robo de identidad es la queja más frecuente, alcanzando un 18% del total
de denuncias recibidas en el año 2011.
En consecuencia, es dable esperar que el impacto económico de este tipo de delitos sea alto. En este
caso, deben tenerse en cuenta diversos factores como la pérdida económica directa para la persona
afectada, el valor asociado al tiempo que le lleva realizar las gestiones para solucionarlo, el costo de
reparación y resarcimiento para la entidad en donde el usuario tenía sus datos, las posibles sanciones a
las que dicha entidad podría verse expuesta, entre otros.
El Identity Theft Resource Center, entidad sin fines de lucro que funciona en los EEUU, publica semanalmente reportes 164 de casos ocurridos en el año del informe, detallando la organización afectada por
casos de robo de identidad, su localización, el total de registros expuestos y el total de fallas registrado.
Para el informe, una falla se define como un evento por el cual el nombre de un individuo, más su número de seguridad social, los datos de su licencia de conducir, sus registros médicos o financieros o los
de su tarjeta de crédito o débito, son puestos en riesgo potencial, sea que éstos se encuentren en soporte papel o electrónico. Los casos son obtenidos de fuentes confiables como sitios gubernamentales,
medios de prensa, etc.
Un artículo 165 publicado en el periódico argentino Diario Popular indicaba que se calcula que en el año
2013 se registrarán unos 10.000 casos de robos de identidad, es decir alrededor de 27 por día, generando una ganancia para los delincuentes que podría superar los 200 millones de dólares estadounidenses.
Estimaciones
Una manera de estimar el impacto del robo de identidad parte de la cantidad de ciudadanos con acceso
a Internet, valor que es luego multiplicado por la probabilidad de que cada uno de ellos sea blanco de un
robo de esta naturaleza, ponderando que ese delito sea cometido en línea. El total obtenido es luego
multiplicado por un monto estimado de pérdida por caso.
De acuerdo a lo señalado previamente en el Capítulo III - Una aproximación sobre la actividad global en
el ciberespacio, en junio 2012 había en Latinoamérica y El Caribe aproximadamente 255.000.000 de
personas conectadas a Internet.
Por otra parte, información publicada 166 por Javelin Strategy, sobre la base de una encuesta realizada en
los EEUU, indica que en el año 2011 un 4,9% de los estadounidenses adultos sufrió un robo de identidad, reflejando un incremento del 13% respecto al año anterior. Este incremento fue motivado fundamentalmente por la mayor exposición que implica el uso de redes sociales sin adoptar adecuadas precauciones. La evolución de este porcentaje desde el 2004 puede apreciarse en el cuadro que sigue.
164
Identity Theft Center – 2013 Data Breach Stats - Consultado el 07/04/2013 http://www.idtheftcenter.org/ITRC%20Breach%20Stats%20Report%202013.pdf
165
Diario Popular – En Argentina hay unos 27 delitos diarios por robo de identidad – Consultado el 07/04/2013 http://www.diariopopular.com.ar/notas/126188-en-argentina-hay-unos-27-delitos-diarios-robo-identidad
166
Javelin Strategy & Research - 2012 Identity Fraud Report – Consultado el 07/04/2013 https://www.javelinstrategy.com/brochure/239
Julio 2013 – Pág. Nº 152/185
sociedad civil
Javelin Strategy & Research - Cantidad de víctimas y tasa de incidencia del fraude por robo de identidad en los
EE.UU - 2012
Un informe 167 de la Oficina de Protección de la Privacidad del Estado de California indica que cada víctima perdió, en promedio, 354 dólares estadounidenses y 12 horas para resolver el problema.
En cuanto a la proporción de los casos de robo de identidad que se realizan a través de Internet, un informe 168 del Reino Unido referido al tema, lo estima en un 25%. Este coincide con la publicación de la
firma Edgar, Dunn & Company, que analizando las estimaciones de varias agencias globales de prevención del delito, observan que la mayoría coincide en estimar que un 25% de todos los reclamos por fraude por parte de consumidores estaban relacionados con el uso de Internet.
Tomando los factores antes citados, se estima que el monto total de la pérdida para Latinoamérica y El
Caribe sería de 1.100 millones de dólares estadounidenses.
Se estima que el monto total de la pérdida para Latinoamérica y El Caribe por robo de identidad
sería de 1.100 millones de dólares estadounidenses.
impacto económico del robo de identidad, en la medida en que sea posible acceder a otros datos y modelos confiables para su cálculo.
•
El informe correspondiente al año 2012 de la Federal Trade Commissión indica que los fraudes por
robo de identidad vinculados a documentos y beneficios otorgados por entidades de gobierno fue el
167
Identity Theft First Aid - Oficina de Protección de la Privacidad del Estado de California - Consultado el
28/03/2013 - http://www.privacy.ca.gov/consumers/identity_theft.shtml
168
Cabinet Office of United Kingdom – “The cost of Cybercrime – A Detica report in partnershipo wiht the Office of
Cybere
Security
and
Information
Assurance
in
the
Cabinet
Office”
–
https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/60943/the-cost-of-cyber-crimefull-report.pdf - Consultado el 24/03/2013
Julio 2013 – Pág. Nº 153/185
sociedad civil
más común de los reportados en esa categoría, correspondiendo a uno de cada cuatro casos denunciados.
•
Un informe del Servicio de Prevención de Fraudes del Reino Unido 169 (CIFAS, por su sigla en inglés)
indica que en el dicho país, un 80% de todos los robos de identidad fueron realizados en línea, confirmando la importancia de Internet para los defraudadores modernos. Téngase que en cuenta que
para la estimación de la sección anterior se utilizó un valor menor, respetando la consigna de privilegiar las estimaciones más conservadoras.
•
Un estudio 170 de la firma ESET a partir de una encuesta realizada a usuarios de Latinoamérica y El
Caribe mostraba los siguientes resultados cuando se les preguntaba el tipo de información que se
les requería a través de mensajes fraudulentos de correo electrónico: usuarios y contraseñas (81%),
las tarjetas de crédito con (46%), de débito (19%), token de seguridad (9%) y tarjetas de coordenadas (6%). El siguiente gráfico muestra la información referida.
9%
Contraseñas
6%
Tarjetas de Crédito
19%
81%
46%
Tarjetas de Débito
Token de Seguridad
Tarjetas de
coordenadas
ESET - Tipo de datos requeridos con fines fraudulentos a través de mensajes de correo electrónico
Otros tipos de incidentes
La falta de información referida a otros tipos de incidentes ha hecho imposible presentar valores de
impacto económico para los países o para la región sobre ellos. Sin embargo, en el decurso de esta investigación se han encontrado algunos datos que pueden tener valor para investigaciones futuras a la
hora de dimensionar su magnitud económica y entender sus principales causas y consecuencias, cuando
sea posible disponer de mayor información.
Siguen a continuación las estimaciones y proyecciones encontradas:
169
CIFAS – The UK’s Prevention Service - Informe Fraudscape
– Consultado el 06/04/2013 https://www.cifas.org.uk/secure/contentPORT/uploads/documents/CIFAS%20Reports/ExternalFraudscape_2013_CIFAS.pdf
170
Phishing: webmail, redes sociales y bancos son los servicios más suplantados – ESET – 19/01/2013 – Consultado
el 09/01/2013 - http://blogs.eset-la.com/laboratorio/2013/01/09/phishing-webmail-redes-sociales-bancosservicios-mas-suplantados/
Julio 2013 – Pág. Nº 154/185
sociedad civil
•
Según el informe del APWG 171 del segundo semestre del 2011, el 39% de las computadoras del
mundo están infectadas con algún tipo de código malicioso.
•
La encuesta de la empresa Symantec Corporation referida precedentemente, realizada sobre 13.000
usuarios de Internet localizados en 24 países repartidos en los cinco continentes, indica que el 66%
de ellos ha sido víctima de algún tipo de cibercrimen en su vida y un 46% lo padeció en el año del informe. La pérdida promedio por individuo fue de 197 dólares estadounidenses.
•
El informe indica que de los costos totales atribuibles al cibercrimen, un 42% corresponde a fraude,
un 26% a reparaciones, un 17% a robos o pérdidas y un 15% a otros motivos.
•
De acuerdo a un informe 172 de la Asociación de Control del Fraude en las Comunicaciones, a nivel
mundial en el año 2011 se registraron pérdidas estimadas en 40.000 millones de dólares estadounidenses en esa categoría, cifra que demuestra valores decreciente a partir del 2008. La cifra mencionada representa aproximadamente un 1,88% de los ingresos de las empresas de telecomunicaciones. Un fraude en este sector tiene lugar cuando se utilizan productos o servicios sin la intención de
pagarlos, encareciendo los costos operativos de los proveedores de servicios.
•
El informe del Ponemon Institute citado precedentemente en este capítulo reveló que en los Estados Unidos, el tiempo promedio para la resolución de un ataque cibernético a una organización es
de 24 días, mientras que el costo promedio incurrido en ese lapso es de 591,780 dólares estadounidenses.
•
Citando datos del Instituto antes mencionado, un artículo 173 publicado en el año 2011 en el sitio
Hackmageddon, indicaba que el costo promedio para la organización derivado de una violación de
datos, es de 214 dólares estadounidenses por cada registro.
•
El mismo artículo recopilaba una serie de casos relevantes que afectaron a empresas de todo el
mundo en el año antes citado, indicando para algunos de ellos, los costos estimados. A continuación
se listan los más relevantes, utilizando los valores considerados conservadores por la publicación:
 Compromiso de 100.000 registros de la empresa EPSILON, que fueron expuestos por una falla en
el servidor de correo. Costo estimado en 100 millones de dólares estadounidenses
 Robo de datos de millones de usuarios de la Red de Play Station de SONY. Costo estimado en
13,4 millones de dólares estadounidenses.
 Robo de información de 250.000 personas perpetrado por el grupo de ciberdelincuentes
LULZSEC. Unos días después del robo seguido del hackeo de varias cuentas de Linkedin. Costo
estimado en 15 millones de dólares estadounidenses.
171
APWG – Phishing Activity Trend Report – 2nd Half 2011 - Consultado el 07/04/2013 http://docs.apwg.org/reports/apwg_trends_report_h2_2011.pdf
172
Communications Fraud Control Association – 2011 Global Fraud Loss Survey – Consultado el 04/03/2013 http://www.cfca.org/pdf/survey/Global%20Fraud_Loss_Survey2011.pdf
173
Portal Hackmageddon.com - 2011 Cyber Attacks (and Cyber Costs) Timeline (Updated) – 28/06/2011 - Con-
sultado el 13/04/2013 - http://hackmageddon.com/2011/06/28/2011-cyber-attacks-and-cyber-costs-timelineupdated/
Julio 2013 – Pág. Nº 155/185
sociedad civil
 Descubrimiento de una falla en la plataforma en línea del Banco City, a través de la cual se robaron los datos de 200.000 empleados. Costo de la falla estimado en 22 millones de dólares estadounidenses, mientras que se calcula que los atacantes obtuvieron 2,7 millones de dólares.
 Adquisición por parte de un delincuente de 200.000 registros conteniendo nombres de usuario,
cuentas de mail, direcciones postales y contraseñas, a través del sitio web de la Librería en línea
de la NATO. Costo estimado en 720.000 dólares estadounidenses.
•
En su informe sobre seguridad informática 2013, PWC 174 recabó información entre enero y abril de
2012, de ejecutivos de 128 países. De los encuestados, un 14% correspondía a personas residentes
en Latinoamérica y El Caribe. Entre estos últimos, un 62,6% estimaba que en comparación con el
año anterior, en los siguientes 12 meses, el presupuesto de seguridad de la información se incrementaría. El promedio para esta pregunta de todos los encuestados a nivel mundial, fue de 45,4%. El
siguiente cuadro muestra la comparativa entre el total de las respuestas y aquellas correspondientes a la Región.
PWC - En comparación con el año anterior, el presupuesto del corriente año tendrá el siguiente comportamiento
(respuestas globales y de Latinoamérica y El Caribe)
•
En el mismo informe y ante la consulta sobre la manera en que la organización fue impactada
por los incidentes de seguridad, el ítem que tuvo un mayor nivel de selección fue el de Pérdidas
Financieras, con un 28,5% a nivel global y un 36,7% en el caso de la Región de Latinoamérica y el
Caribe.
•
Un estudio de empresa ESET citado precedentemente indicó que el 58,6% de los usuarios encuestados afirmó que le habían robado su teléfono móvil, siendo el dispositivo más sustraído
de los que permiten conectarse a Internet. El siguiente cuadro grafica la información recolectada:
174
PWC – Resultados de la encuesta global sobre seguridad de la información 2013 – Consultado el 13 de abril de
2013 - http://www.pwc.com/gx/en/consulting-services/information-security-survey/assets/2013-giss-report.pdf
Julio 2013 – Pág. Nº 156/185
sociedad civil
58,6%
36,7%
6,1%
Teléfono móvil
Nunca me
robaron
Computadoras
portátiles
3,0%
1,6%
Netbooks
Tabletas
ESET - Robo de dispositivos de conexión a Internet
Los valores de la ciberdelincuencia
Este capítulo se centró en las pérdidas a las que se exponen los usuarios y las organizaciones cuando son
afectados por el cibercrimen. Pero cabe preguntarse cuán lucrativo es este negocio ilícito y en cuánto se
benefician los ciberdelincuentes como consecuencia de las fallas de seguridad. Siguen algunos valores
obtenidos de los trabajos de un académico de la Universidad de Michigan, EEUU 175 176:
•
La siguiente tabla muestra los valores de referencia para la venta de botnets publicados en un sitio
web. En la descripción de los elementos ofrecidos se destacaba que se trataba de bots “frescas y listas para ser vendidas”, y que se entregaban en lotes de entre 500 y 4000 instalaciones.
Cantidad de instalaciones
Precio total
500
US$5
1000
US$10
2000
US$20
3000
US$30
4000
US$40
175
Science Direct – A.K. Sood, R.J. Enbody – Crimeware-as-a-service – A survey of commoditized crimeware in the
underground market, International Journal of Critical Infrastructure Portection (2013) –01/04/2013 - Consultado el
01/04/2013 . http://dx.doi.org/10.1016/j.ijcip.2013.01.002
176
Science Direct – Cybercrime: Dissecting the State of Undergroung Enterprise
Julio 2013 – Pág. Nº 157/185
sociedad civil
•
•
El siguiente cuadro muestra los valores de venta de los datos correspondientes a tarjetas de crédito.
Como puede apreciarse, los precios varían según el país. Alemania y EEUU presentan los montos
más elevados, posiblemente por el mayor poder de compra de los potenciales clientes de esos países. Los datos por cada tarjeta incluyen apellido y nombre del titular, el número, el número de documento, la fecha nacimiento, la dirección de correo electrónico, la contraseña e inclusive, información utilizada para verificar el origen, como las respuestas a los desafíos de preguntas. Estos datos le
permiten a los estafadores presentarse como el titular de la tarjeta y realizar operaciones financieras.
País
Valor estimado (por tarjeta)
EEUU
US$4 a 10
Australia
US$6 a 8
Canadá
US$5 a 7
Alemania
US$9 a 12
Reino Unido
US$6 a 8
En cuanto a los servicios de ofuscación, los valores que se pagan son los siguientes:
Archivos ofuscados
Precio por archivo
Ejecutables (exe)
US$20 – 25
Dynamic link library (DLL)
US$20 – 25
Código HTML
US$5 – 10
Código iFRAME
US$5 – 10
Código JavaScript/DOM
US$5 – 10
PDF
US$25 – 30
Flash
US$25 – 30
PHP/JSP/ASP scripts
US$25 – 30
Otros datos respecto a la economía sumergida siguen a continuación:
•
De acuerdo a lo publicado en el blog 177 de Dancho Danchev, consultor independiente en seguridad,
sobre la base del análisis de 20 gateways activos para la compra de datos financieros, puede observarse lo siguiente:
 Decenas de miles de registros de datos de tarjetas robadas se ofrecían a la venta diariamente en
un mercado que permite a los “clientes” hacer todo ellos mismos (tipo “DiT” - Do it Yourself)
177
Blog de Dancho Danchev – Exposing the market for Stolen Dredit Cards Data – 31/10/2011 - Consultado el
09/04/2013 - http://ddanchev.blogspot.com.ar/2011/10/exposing-market-for-stolen-credit-cards.html
Julio 2013 – Pág. Nº 158/185
sociedad civil
•
 La mayoría de los sitios de venta de datos de tarjetas de crédito se encontraba en Ucrania y los
Países Bajos
 Liberty Reserve era la opción de pago en la mayoría de los portales
 Para el registro de dominios, cuatro de ellos utilizaban cuentas de Yahoo y el resto, cuentas de
Live
 Cuatro dominios utilizan servidores con nombres idénticos
 Cada servicio incorporaba un verificador tarjetas de crédito u ofrecía enlaces a sitios externos
que prestaban ese servicio
 Varios de los portales fraudulentos ofrecían servicios de tipo “proxy-as-a-service”, lo cual permitía a los delincuentes ocultar su IP real, utilizando equipos de usuarios infectados con código
malicioso como intermediarios
Otro artículo 178 del mismo autor presentaba los siguientes resultados a la hora de comprar acceso a
hosts pasibles de ser infectados por código malicioso:
Ubicación
En todo el mundo
En Europa
En los EEUU
En Dinamarca, Canadá y
Gran Bretaña
Cantidad de Hosts
Precio total
1.000
US$25
5.000
US$110
10.000
US$200
1.000
US$50
5.000
US$225
10.000
US$400
1.000
US$120
5.000
US$550
10.000
US$1.000
1.000
US$80
5.000
US$350
10.000
US$600
178
Blog de Dancho Danchev – How much does it costs to buy 10,000 US-Based malware infected? – 28/02/2013 Consultado el 13/04/2013 - http://blog.webroot.com/2013/02/28/how-much-does-it-cost-to-buy-10000-u-sbased-malware-infected-hosts/
Julio 2013 – Pág. Nº 159/185
sociedad civil
Capítulo VI – Encuesta sobre Ciberseguridad
Introducción
Como fuera explicado en capítulos precedentes, existen pocos informes sobre el cibercrimen o sobre
aspectos específicos de la ciberseguridad, focalizados exclusivamente en Latinoamérica y El Caribe. La
mayoría de ellos reflejan la situación de los países más representativos de la Región y suelen focalizarse
en aspectos específicos, como el phishing, las botnets o el código malicioso.
A partir de esta realidad, y con el objetivo de profundizar el conocimiento sobre el estado de la ciberseguridad, y del cibercrimen en particular, LACNIC realizó entre mediados de febrero y fines de marzo de
2013, una encuesta destinada a usuarios de tecnologías en la Región. Entre las preguntas se incluyeron
algunas vinculadas a cuestiones preventivas, como por ejemplo el uso de contraseñas y el criterio de
aceptación de invitaciones en redes sociales, y otras relacionadas con la exposición de los encuestados a
instancias de actividad maliciosa.
Por tratarse de la primera encuesta de este tipo llevada a cabo por dicha entidad, se fijó como objetivo
la obtención de al menos 500 respuestas, meta que fue mejorada en un 68%, al obtenerse 844 respuestas. Si bien se superaron las expectativas iniciales, se espera que de realizarse nuevamente, este número
pueda incrementarse para lograr una muestra más representativa.
Objetivo del capítulo
El objetivo de este capítulo es presentar los resultados de la encuesta, detallando en forma descriptiva y
gráfica las respuestas obtenidas para cada una de las preguntas formuladas.
Metodología
La encuesta consistió en 15 preguntas de opción múltiple, de las cuales 3 estuvieron destinadas a perfilar a los encuestados. A través de las 12 preguntas restantes, se buscó determinar si el encuestado:
•
•
•
•
había sido víctima de algún tipo de ilícito durante el año 2012, para lo cual se le presentó un listado de situaciones en las que se registraban actividades maliciosas y se preguntó si había sufrido el robo o la pérdida de algún dispositivo usado para procesar o almacenar información o para
conectarse a Internet o las redes
tomaba precauciones de seguridad para proteger la información contenida en dichos dispositivos
incorporaba medidas de seguridad al momento de conectarse a Internet o acceder a sus correos
electrónicos
protegía la información contendida en sus perfiles de redes sociales
Se obtuvieron respuestas de 26 países, con mayores porcentajes de Argentina y México y una escasa
presencia de Brasil, Perú y Chile.
Julio 2013 – Pág. Nº 160/185
sociedad civil
La encuesta fue publicada en el sitio de LACNIC 179 y replicada por varios sitios en Latinoamérica y El Caribe 180. Asimismo, fue difundida a través de diversa listas de correo de dicha organización y en otras
específicas de entidades de países de la región. También se publicó en Facebook. Por el tipo de sitios y
listas utilizadas, si bien esta información no surge de la encuesta en sí, se estima que un porcentaje importante de quienes respondieron la encuesta, son usuarios con experiencia elevada o media en el campo de las tecnologías de información y en el uso de dispositivos. Esto se desprende también, como se
verá más adelante, de los porcentajes relativamente altos que se obtuvieron al consultar sobre la adopción de mecanismos de seguridad para proteger la información o navegar en forma segura.
El texto de la invitación y las preguntas se redactaron en español, portugués e inglés, de manera de facilitar la comprensión del cuestionario y acotar cualquier posible malinterpretación idiomática. Como
resultado, se obtuvieron 844 respuestas, de las cuales 819 fueron completas. Sin embargo, se optó por
realizar el análisis sobre la totalidad de muestra, por considerar que quienes respondieron parcialmente
también aportaron información de utilidad a los fines de la encuesta. En esos casos, las preguntas no
contestadas se englobaron en un ítem denominado “Sin respuesta”.
La encuesta tuvo carácter anónimo y se distribuyó en todos los países de la Región. Sin embargo, no se
logró una muestra representativa ya que como se explicó, hubo una elevada participación de Argentina
y México, seguida de un grupo de países, pero en el otro extremo, Brasil, Perú y Chile, entre otros, casi
no se vieron reflejados en la muestra. Esta circunstancia también condicionó las conclusiones que pueden extraerse del análisis de las respuestas.
Análisis de las respuestas
A continuación se presenta un análisis de las respuestas a las 15 preguntas de la encuesta, agrupadas
según la siguiente clasificación:
a.
b.
c.
d.
e.
f.
Perfil de los encuestados
Utilización de dispositivos para acceder a Internet y redes
Medidas de protección a la información
Mecanismos de seguridad para el acceso a Internet
Precauciones para el ingreso a las redes sociales
Exposición a cibercrímenes
Perfil de los encuestados
Esta sección consistió en 3 preguntas destinadas a conocer el país de residencia del encuestado, su rango etario y su sexo. Del análisis de las respuestas, se observa que los países más representados fueron
México (246 respuestas, 29%) y Argentina (205 respuestas, 24%), que en conjunto representan más del
50% de las respuestas obtenidas. Le siguen República Dominicana, Uruguay, Colombia y Costa Rica, con
porcentajes inferiores al 10%. Llama la atención el bajo nivel de respuestas de Brasil (36 respuestas, 4%),
lo cual representa un condicionante importante al momento de analizar las respuestas por tratarse del
país con mayor número de usuarios conectados a Internet (31% del total de conectados en la Región).
179
Ver http://www.lacnic.net.uy/vote/index.php?sid=57553 – Consultado el 14/04/2013
Se agradece especialmente los esfuerzos de difusión que se hicieron desde distintas instituciones. En particular,
se expresa el reconocimiento de las autoras a la Sra. Elia Fernández, el Sr. Rubén Aquino Luna y la Sra. Célica Martínez.
180
Julio 2013 – Pág. Nº 161/185
sociedad civil
Algo similar aunque en menor magnitud, mismo ocurre con Venezuela, Perú y Chile, que apenas alcanzaron el 2% de representación en la encuesta.
Saint Maarten,
1, 0%
San Eustaquio
1, 0%
País de Origen
Trinidad y
Tobago, 13, 2%
República
Dominicana, 73, 9%
Las referencias muestran
el país, la cantidad de
respuestas y el porcentaje
Uruguay, 42, 5%
Venezuela, 16, 2%
Argentina, 205, 24%
Perú, 9, 1%
Belice, 2, 0%
Paraguay, 7, 1%
Panamá, 7, 1%
Bolivia, 4, 0%
Nicaragua, 3, 0%
Brasil, 36, 4%
Sin respuesta, 6, 1%
Chile, 15, 2%
Colombia, 39, 5%
Costa Rica, 40, 5%
México, 246, 29%
Cuba, 15, 2%
Martinica, 1, 0%
Curazao, 1, 0%
Guatemala, 12, 1%
Honduras,
6, 1%
Ecuador, 21, 2%
El Salvador, 23, 3%
Distribución de respuestas por país
Respecto al sexo, dos tercios de los encuestados eran hombres (576 respuestas, 68%), algo menos de un
tercio, mujeres (254 respuestas, 30%) y una cantidad menor de personas no respondieron la pregunta
(14 respuestas, 2%).
Sin respuesta
14, 2%
Femenino
254, 30%
Las referencias
muestran el el sexo, la
cantidad de respuestas
y el porcentaje
Masculino
576, 68%
Distribución de respuestas según el sexo del encuestado
Julio 2013 – Pág. Nº 162/185
sociedad civil
Finalmente, y con referencia al rango etario, la mayor cantidad de respuestas provino de individuos de
entre 31 y 40 años (272 respuestas, 32%), seguidos de quienes tenían entre 21 y 30 años (228 respuestas, 27%) y entre 41 y 50 años (180 respuestas, 21%). En suma, un 80% de las respuestas corresponde a
la franja ubicada entre los 21 y 60 años, es decir la población considerada activa. El 20% restante, correspondiente a los grupos menos representados fueron los que tenían más de 60 años (40 respuestas,
5%) y menos de 20 años (21 respuestas, 2%). Solo 5 (menos del 1%) personas no respondieron esta pregunta.
5; 1%
40; 5%
Las referencias muestran el
el rango etario, la cantidad
de respuestas y el
porcentaje
21; 2%
51 a 60 años
98; 12%
Menor a 20 años
228; 27%
21 a 30 años
31 a 40 años
41 a 50 años
180; 21%
41 a 50 años
51 a 60 años
Mayor a 60 años
Sin respuesta
272; 32%
Distribución de respuestas según el rango etario del encuestado
Utilización de dispositivos para acceder a Internet y redes
Se consultó sobre la utilización de distintos dispositivos para conectarse a Internet y redes. En este caso,
las personas consultadas podían seleccionar más de una opción. Con porcentajes similares de alrededor
del 75%, los usuarios indicaron que utilizan PC y notebooks (627 y 614 respuestas, respectivamente). Los
teléfonos móviles siguieron con un orden de magnitud similar (599 respuestas, 73%). En menor cantidad
respondieron respecto a las tabletas (320, 39%) y los equipos de acceso público (91, 11%). Finalmente,
19 personas (2%) indicaron utilizar otro tipo de dispositivos.
Julio 2013 – Pág. Nº 163/185
sociedad civil
76,56
74,97
73,14
Porcentaje
39,07
11,11
PC
Notebook
Teléfono
móvil
Tableta
Equipo de
acceso
público
0
2,32
No me
conecto
Otro
Utilización de dispositivos para conectarse a Internet
Medidas de protección a la información
Bajo esta categoría se incluyeron 4 preguntas, vinculadas al uso de contraseñas, el cifrado de información y la instalación de software antivirus.
En el caso de las contraseñas, dos preguntas apuntaban a determinar si eran efectivamente utilizadas
para proteger el acceso a los dispositivos antes mencionados y si se compartían. En el primer caso y en
cuanto a las notebooks, la mayoría de los encuestados indicó que se utilizaban contraseñas (599 respuestas, 72%), un porcentaje menor (97 respuestas, 12%) decía no tenerlas y un 15% señaló no poseer
una dispositivo de esa naturaleza (123 respuestas). Respecto a los teléfonos móviles, un 63% (520 respuestas) precisó que utiliza contraseñas, un 31% (258 respuestas) que no, y solo un 5% (123 respuestas)
indicó no ser propietario de un celular. En cuanto a las tabletas, los porcentajes son mucho menores con
un 30% (250 respuestas) que emplea contraseñas y un 15% (127 respuestas) que no lo hace, mientras
que un 53% (442 respuestas) señaló no poseer un dispositivo de este tipo.
Respecto a la utilización de contraseñas, el siguiente gráfico muestra la distribución de las respuestas:
Tableta
Notebook
Teléfono
móvil
30%
15%
72%
63%
53%
2
12%
31%
15%
1
5%1
Utiliza
contraseñas
No utiliza
contraseñas
No tengo ese
dispositivo
Julio 2013 – Pág. Nº 164/185
sociedad civil
Utilización de contraseñas para la protección de distintos dispositivos, en porcentaje
La segunda pregunta buscaba determinar si se compartían las contraseñas y con quienes. En ese sentido
las respuestas mostraron que la mayoría (653 respuestas, 78%) no comparte las contraseñas con nadie,
un 18% (153 respuestas) solo con personas de confianza, un 3% (31 respuestas) con individuos de su
trabajo y menos de un 1% (4 respuestas) con otras personas.
78%
18%
3%
Con personas
de confianza
Con
compañeros o
jefes en el
trabajo
1%
Con otras
personas
Con nadie
Tratamiento que le dan a las contraseñas respecto a si se comparten con otras personas
También se incluyó una pregunta que buscaba indagar si se contaba con software antivirus instalado y
actualizado en los distintos dispositivos. Al respecto, los datos recopilados mostraron que una amplia
mayoría tenía instalado un software de ese tipo en su PC (597 respuestas, 72%), seguido de un 62% (517
respuestas) en sus notebooks. Con porcentajes mucho menores siguen los teléfonos celulares (154 respuestas, 19%) y las tabletas (91 respuestas 11%), mientras un 11% (86 respuestas) indicó que no utilizaba antivirus en ningún dispositivo. En el caso de esta pregunta, llama la atención el alto porcentaje de
encuestados que indicó que no utiliza antivirus. Aún en el caso de las PC y notebooks, alrededor de un
30% en ambos casos manifiestan no tener instalado un antivirus, lo cual aumenta notablemente la posibilidad de que distintos tipos de códigos maliciosos se instalen en los dispositivos.
Julio 2013 – Pág. Nº 165/185
sociedad civil
72%
62%
19%
11%
PC
Notebook
Teléfono
móvil
Tableta
11%
No uso
antivirus
Instalación de antivirus actualizado
Finalmente, se consultó si la información almacenada en los distintos dispositivos se guardaba cifrada.
En este sentido, los resultados muestran que en el caso de las PC y notebooks, solo un 23,5% (194 respuestas) y un 25% (209 respuestas) utiliza técnicas de encriptación para proteger su información. En el
caso de otros dispositivos, como celulares (101 respuestas, 12,2%), pendrives (119 respuestas, 14,22%),
discos externos (119 respuestas, 14,22%) y tabletas (43 respuestas, 5,1%), los porcentajes son mucho
menores. Un 58,29% (479 respuestas) indicó no guardar información cifrada en ningún dispositivo.
Almaceno información
cifrada en:
60
50
40
30
20
10
0
PC
Notebook
Porcentaje
23,7
25
Teléfono móvil
12,2
Tableta
5,21
Disco externo
14,22
Dispositivo de almacenamiento tipo
USB (pendrive, memoria flash, etc.)
14,22
No almaceno información cifrada
58,29
Julio 2013 – Pág. Nº 166/185
sociedad civil
Resguardo de información cifrada en distintos dispositivos
Mecanismos de seguridad para el acceso a Internet
Dos preguntas estuvieron enfocadas a determinar si se adoptaban algunas precauciones a la hora de
navegar por Internet. En una de ellas se preguntó si había configurado opciones de seguridad en el navegador, mientras que la segunda buscaba determinar si se accedía a través de redes públicas para efectuar distintas acciones en Internet.
Respecto a la primer pregunta, un 74% (608 respuestas) indicó haber configurados opciones de seguridad, mientras que el 25% (211 respuestas) dijo no haberlo hecho. El porcentaje restante (1%) no respondió la pregunta.
74%
25%
1%
Sí
No
Sin respuesta
Opciones de seguridad configuradas en el navegador
Con relación a la pregunta de si se usaban redes inalámbricas públicas para realizar operaciones financieras, compras, navegar o acceder a cuentas de correo electrónico. Una amplia mayoría (605 respuestas, 75%) indicó haber navegado por Internet, mientras que un 40% (335 respuestas) las utiliza para
acceder a perfiles de las redes sociales y a las cuentas personales de correo electrónico (370 respuestas,
45%). Con porcentajes menores, los encuestados indican haber accedido a cuentas de correo electrónico laboral (183 respuestas, 22%), con posible exposición de información de la organización en la que se
desempeña, efectuado operaciones bancarias (97 respuestas, 12%), con posible compromiso de credenciales de acceso, efectuado compras en línea (60 respuestas, 7%), con posible ingreso de datos de tarjeta de crédito. Finalmente, un 15% (119 respuestas) indica no utilizar redes inalámbricas públicas para
realizar ninguna de las acciones antes mencionada.
Julio 2013 – Pág. Nº 167/185
sociedad civil
Accedí a mis cuentas
bancarias
73%
45%
Accedí a mis cuentas de
correo electrónico
personales
Accedí a mis cuentas de
correo electrónico laboral
40%
22%
15%
12%
7%
Accedí a mis perfiles de
redes sociales
Realicé compras en línea
Navegué por internet
Utilización de redes inalámbricas públicas
Precauciones para el ingreso a las redes sociales
En esta categoría se formularon 3 preguntas, orientadas a determinar cuáles eran las redes sociales de
mayor utilización en Latinoamérica y El Caribe, si se aceptaban personas desconocidas como contactos
en las redes sociales y si se configuraban medidas de seguridad para proteger dichos perfiles.
Respecto a las redes sociales de mayor utilización, se observó que una amplia mayoría (706 respuestas,
86%), Twitter (527 respuestas, 64%) y Linkedin (495 respuestas, 60%), seguidas de Instagram (132 respuestas, 16%), MySpace (55 respuestas, 7%) y Orkut (35 respuestas, 4%). Un 6% (43 respuestas) indicó
no utilizar ninguna mientras que un 7% (61 respuestas) utiliza otra red social. Como se desprende de los
porcentajes expuestos, la pregunta admitía respuestas múltiples. Respecto a los datos obtenidos, cabe
indicar que el orden en que aparecen las distintas redes coincide con los que ocurre en el resto del
mundo. Sin embargo corresponde indicar que Orkut es una red ampliamente utilizada en el Brasil, que
en el caso de esta encuesta, y como ya fuera explicado, no tuvo una participación representativa de la
cantidad de internautas de ese país. Nótese que la cantidad de usuarios de dicha red es prácticamente
coincidente con la cantidad de respuestas obtenidas para dicho país.
Julio 2013 – Pág. Nº 168/185
sociedad civil
86%
64%
60%
16%
4%
Facebook Twitter
Linkedin
Orkut
7%
6%
MySpace Instagram Ninguna
7%
Otra
Utilización de redes sociales
A la pregunta de si aceptaba como contactos de sus redes sociales a personas desconocidas, un 30%
(249 respuestas) indicó que lo hacía, mientras que un 62% (513 respuestas) señaló que no. Un 8% (57
respuestas) no respondió la pregunta.
Sin
respuesta
8%
Sí
30%
No
62%
Aceptación de desconocidos como contactos en redes sociales
Finalmente, se preguntó si se habían configurado opciones de seguridad en los perfiles de redes sociales
para controlar qué información comparte y con quién. En este sentido, un 81% (668 respuestas), un 10%
(81 respuestas) indicó que no y un 9% (70 respuestas) no contestó la pregunta.
Julio 2013 – Pág. Nº 169/185
sociedad civil
81%
9%
10%
Sí
No
Sin respuesta
Configuración de opciones de seguridad en el perfil de red social
Exposición a cibercrímenes
Terminando la encuesta, dos preguntas apuntaban a determinar si la persona había estado expuesta a
situaciones que implicaban alguna actividad maliciosa.
La primera de ellas buscaba conocer si el encuestado había perdido o le habían robado algún dispositivo
utilizado. Las respuestas mostraron que un 77% no perdió ni le fue robado ningún dispositivo y del 23%
restante, un 10% indicó que había perdido o le habían sustraído su teléfono celular, un 13%, un dispositivo tipo USB, un 3% la notebook, y un 1% su PC, en coincidencia con los que perdieron o les fue quitada
su tableta. Entre los encuestados ninguno declaró no disponer de un disco externo.
77%
PC
Notebook
Teléfono móvil
Tableta
Disco externo
13%
10%
1%
3%
1%
0%
Dispositivo de almacenamiento tipó
USB (pendrive, memoria flash, etc.)
No perdí ni me robaron ningún
dispositivos
Robo de dispositivos
La segunda pregunta era también de opciones múltiples y presentaba las siguientes situaciones:
Julio 2013 – Pág. Nº 170/185
sociedad civil
a
b
Un virus o algún otro tipo de código malicioso infectó mi computadora
Me han amenazado, difamado u hostigado por mail o a través de las redes sociales
c
Capturaron mis datos personales, contraseñas o datos financieros
d
Cambiaron la contraseña de mi cuenta de correo electrónico y no pude acceder más
a mi casilla
e
Comprometieron mi perfil de una o varias redes sociales y no pude acceder más
f
Se publicó mi información personal sin mi autorización (por ejemplo, mails, fotos,
videos, datos personales, etc.)
g
Completé mis datos personales en un mensaje de correo electrónico o en un sitio
web que resultaron ser falsos (ejemplo, simulaban ser de mi banco)
Intenté ingresar a un enlace que parecía ser válido pero me llevó a una página en
blanco o a un resultado sospechoso, distinto del esperado
h
i
Se enviaron sin mi autorización mensajes desde mi cuenta de correo electrónico
j
k
Se enviaron sin mi autorización SMS desde mi teléfono móvil
Alguien robo mi identidad haciéndose pasar por mí en un entorno virtual (por ejemplo, red social, foro, correo electrónico, etc.)
l
Hice una compra por Internet, pagué y nunca recibí lo comprado o recibí algo distinto y no respondieron mi reclamo
m
Accedí a un enlace desde un correo electrónico o una página web, se abrió una ventana inesperadamente (o paso algo similar), alertándome sobre algún riesgo e invitándome a solucionarlo (por ejemplo, instalando un antivirus) y luego mi PC tuvo un
comportamiento no deseado (por ejemplo, una infección por virus)
n
Recibí y respondí un correo electrónico en el que me proponían ganar una importante suma de dinero (por una operación financiera, un sorteo o similar) y luego fui
estafado
o
Experimenté algún otro tipo de actividad maliciosa en mi PC (indicar lo ocurrido)
p
Experimenté algún otro tipo de actividad maliciosa en mi tableta, celular o dispositivo móvil (indicar lo ocurrido)
q
r
No fui víctima de ninguna de las situaciones mencionadas
No lo sé
Entre ellas, un 35% indicó que algún código malicioso había infectado su equipo, un 23%, que intentó
ingresar en un enlace que podría haber sido apócrifo por la conducta del navegador y un 12% señaló
haber accedido a un enlace desde un correo electrónico o una página web, a consecuencia de lo cual su
PC tuvo un comportamiento inesperado. Menos de la mitad (42%) precisó que no había sido víctima de
ninguna de las situaciones mencionadas en pregunta.
Julio 2013 – Pág. Nº 171/185
0%
a
b
c
d
e
f
g
h
i
j
k
l
m
n
o
p
q
r
10%
20%
30%
5%
40%
50%
35%
4%
4%
1%
8%
2%
10%
23%
2%
1%
4%
12%
3%
4%
2%
2%
42%
a. Un virus o algún otro tipo de código malicioso infectó mi computadora
b. Me han amenazado, difamado u hostigado por mail o a través de las redes
sociales
c. Capturaron mis datos personales, contraseñas o datos financieros
d. Cambiaron la contraseña de mi cuenta de correo electrónico y no pude
acceder más a mi casilla
e. Comprometieron mi perfil de una o varias redes sociales y no pude acceder
más
f. Se publicó mi información personal sin mi autorización (por ejemplo, mails,
fotos, videos, datos personales, etc.)
g. Completé mis datos personales en un mensaje de correo electrónico o en un
sitio web que resultaron ser falsos (ejemplo, simulaban ser de mi banco)
h. Intenté ingresar a un enlace que parecía ser válido pero me llevó a una página
en blanco o a un resultado sospechoso, distinto del esperado
i. Se enviaron sin mi autorización mensajes desde mi cuenta de correo
electrónico
j. Se enviaron sin mi autorización SMS desde mi teléfono móvil
k. Alguien robo mi identidad haciéndose pasar por mí en un entorno virtual (por
ejemplo, red social, foro, correo electrónico, etc.)
l. Hice una compra por Internet, pagué y nunca recibí lo comprado o recibí algo
distinto y no respondieron mi reclamo
m. Accedí a un enlace desde un correo electrónico o una página web, se abrió
una ventana inesperadamente (o paso algo similar), alertándome sobre algún
riesgo e invitándome a solucionarlo (por ejemplo, instalando un antivirus) y
luego mi PC tuvo un comportamiento no deseado (por ejemplo, una infección
por virus)
n. Recibí y respondí un correo electrónico en el que me proponían ganar una
importante suma de dinero (por una operación financiera, un sorteo o similar) y
luego fui estafado
Exposición a posibles cibercrímenes
Julio 2013 – Pág. Nº 172/185
sociedad civil
Capítulo VII – Conclusiones
El uso cada vez más intensivo de las tecnologías de la información y las comunicaciones para el sostenimiento de la actividad económica y del bienestar de la población, en un mundo cada vez más conectado,
trae aparejado inexorablemente, la necesidad de enfrentar y paliar la actividad ilícita en Internet.
Al igual que en el resto del mundo, el presente informe mostró que en Latinoamérica y El Caribe, el panorama del cibercrimen sigue mostrando una realidad de características cambiantes, con singularidades
que le otorgan entidad propia. Efectivamente, los delincuentes van adaptando sus estrategias utilizando
ataques cada vez más sofisticados, combinados y dirigidos, entre los que se puede mencionar el spear
phishing y el ciberespionaje. En este periodo se observa un interés cada vez mayor en los dispositivos
móviles, las redes sociales y las infraestructuras críticas. También se ha visto ataques más pacientes,
concentrados en información altamente sensitiva, tales como los producidos por las amenazas persistentes avanzadas (APT), el desarrollo de herramientas para la comisión de cibercrímenes desde dentro
de la propia región y casos locales de hacktivismo.
Cada modalidad delictiva evoluciona de diferentes maneras y los ciberdelincuentes disponen de un mercado sumergido cada vez más desarrollado, que a precios accesibles y de manera organizada, les permite disponer de herramientas variadas para llevar adelante su actividad, incluyendo la gestión de los fondos obtenidos clandestinamente. En efecto, los años bajo estudio no solo mostraron una mayor sofisticación por parte de los ciberdelincuentes, sino también una mayor fortaleza de las estructuras organizacionales en las que operan.
A nivel global, analizando la información que proveen mayormente empresas dedicadas a la comercialización de productos y servicios de seguridad, Brasil sigue destacándose en los primeros puestos para
distintos tipos de incidentes, aunque también aparecen Argentina, Colombia, México y Chile así como
Honduras, Bolivia, Costa Rica, Perú y República Dominicana.
Como se puede deducir de todo lo antedicho, la actividad del cibercrimen es totalmente fluctuante y
está condicionada a la conveniencia de los delincuentes y a las herramientas disponibles en cada momento, así como a las oportunidades que se les brinde para desarrollar su actividad. En consiguiente,
dependerá de las medidas que adopten los usuarios, las organizaciones y los países para enfrentarlo, del
accionar de las fuerzas de seguridad y de justicia y de las capacidades de los equipos especializados.
Cuanto mejor preparadas se encuentren para dar una rápida y efectiva respuesta a la actividad maliciosa, mejores serán los resultados que se obtengan.
Como en el informe anterior, la premisa central que da fundamento a esta investigación es la certeza de
que cualquier incremento en el conocimiento del impacto de la actividad maliciosa en Internet en la
región, contribuye a dimensionar adecuadamente el problema, asignar prioridades y comprometer recursos en donde realmente se necesitan. Su desconocimiento en cambio, parece invitar a una toma de
decisiones en la penumbra, sin comprender realmente a qué nos estamos enfrentando y en qué medida
son acertadas las acciones que se emprenden. En este sentido, el trabajo buscó generar un marco para
futuras estimaciones y proyecciones, que pueda ser actualizado y mejorado cuando se disponga de información más precisa sobre la actividad ilícita en la región.
Aparece inmediatamente una primera conclusión y es que la escasez de datos concretos sobre la cantidad de ataques, sean estos potenciales o reales, hace difícil o casi imposible conocer su frecuencia, su
Julio 2013 – Pág. Nº 173/185
sociedad civil
verdadera magnitud, sus costos y la profundidad de su impacto. Si bien para algunos tipos de incidentes,
obtener estas cifras es sumamente complejo, para otros es probable que existan o se puedan obtener
con relativa facilidad. Sin embargo, las organizaciones que los han sufrido son reticentes a denunciarlos
por temor a que se vea afectada su reputación. En el caso de las personas, persiste el desconocimiento
sobre instancias de reporte o la creencia de que poco o nada sucederá en caso de hacerlo.
En este sentido, sigue sin definirse claramente una estrategia que implemente mecanismos de comunicación de incidentes, genere confianza entre los usuarios y en las organizaciones en cuanto a la efectividad a la hora de enfrentar este flagelo, establezca instancias de franca colaboración entre el sector público y el privado y contribuya a la creación de una cultura de la ciberseguridad. Basta una recorrida por
la bibliografía y los artículos publicados para comprender que esta situación afecta a todos los países y
regiones, con solo avances considerados como insuficientes, en los países más desarrollados.
La vertiginosidad del desarrollo tecnológico en los países de la región y la consiguiente necesidad de
enfrentar el cibercrimen, hace imprescindible la generación de planes de acción que recogiendo sus
características culturales y de desarrollo, muestren desde la perspectiva de las personas, las organizaciones y las naciones, que es factible generar un entorno seguro que garantice la maximización del aprovechamiento de los múltiples beneficios de las tecnologías de la información y las comunicaciones, minimizando los riesgos que las acompañan.
La actividad maliciosa en Internet representa altos costos para las sociedades, organizaciones y personas
que habitan la región. Para enfrentarla, se requiere conocer sus características y no sólo estar en condiciones de anticipar el impacto, sino también incrementar las instancias de respuesta. Si bien existe un
número considerable de fuentes diversas para la región, los datos disponibles son todavía insuficientes y
fragmentados y muchos de los resultados publicados despiertan sospechas de sobre o subdimensionamiento, según quienes los formulan. Existen además muchas asimetrías en los mecanismos
utilizados para contabilizar los casos y las pérdidas que el cibercrimen genera.
Sin embargo, a la hora de dimensionar la magnitud del problema, un ejercicio ineludible es estimar su
impacto para la región, tanto en cantidad de casos como económico. Urge la necesidad de desarrollar
mecanismos de recolección de datos, metodologías de análisis y métricas representativas que guíen las
decisiones que se adopten. Solo así se podrán privilegiar las áreas donde deben profundizarse los esfuerzos y asignarse los fondos, para poder minimizar efectivamente el impacto del cibercrimen en la
región.
Julio 2013 – Pág. Nº 174/185
sociedad civil
Capítulo VIII – Recomendaciones
El presente capítulo detalla una serie de recomendaciones para protegerse de las consecuencias del
cibercrimen e implementar medidas para enfrentarlo, dirigidas a entidades del sector privado, centros
universitarios de formación e investigación y usuarios de Internet en la región. Algunas de ellas ya figuraban en el informe anterior. Sin embargo por su vigencia y actualidad, se optó por incluirlas.
Sector académico
•
•
•
Desarrollar contenidos y programas de formación de profesionales especialistas en seguridad de la
información, que la aborden desde distintas visiones: técnica, legal, educativa, etc.
Desarrollar líneas de investigación que analicen las distintas perspectivas de la ciberseguridad y el
cibercrimen
Trabajar en conjunto con entidades nacionales e internacionales, privadas y públicas, con el fin de
intercambiar información, recolectar datos, crear marcos conceptuales de análisis y métricas y ayudar a gobiernos y al sector privado en la lucha contra este flagelo.
Sector Privado
•
•
•
•
•
•
•
Desarrollar, gestionar y monitorear adecuadamente políticas y procedimientos de seguridad en las
organizaciones, favoreciendo que sean conocidas y entendidas por empleados, clientes y demás entidades involucradas y abordar en forma integral la gestión de riesgos, como base de sus programas
de seguridad.
A partir del crecimiento de las amenazas sobre dispositivos móviles y redes sociales desarrollar políticas y establecer mecanismos de gestión para el uso de dispositivos propios (BYOD) y el acceso a
redes sociales y a la información que en ellas puede publicarse, en su entorno.
Colaborar con los organismos del Gobierno y con el Sector académico y proponer acciones conjuntas para mejorar la ciberseguridad a nivel nacional, facilitando la remoción de sitios fraudulentos o
que contengan código malicioso, la elevación de los parámetros de seguridad de los sistemas, la
concientización de los usuarios, la generación de métricas e instancias de reporte, etc.
A partir de los ataques dirigidos al robo de información sensible, conocer el valor de la información
que administran y clasificarla adecuadamente según su nivel de criticidad, para así invertir adecuadamente en su seguridad. Es importante implementar, en relación con esta actividad, una solución
de "prevención de pérdida de datos" (Data loss prevention - DLP) que puede descubrir dónde residen los datos sensitivos, monitorizar su uso y protegerlos de su potencial pérdida.
Emplear estrategias de defensa en profundidad para la identificación de amenazas, que enfaticen
sistemas de protección múltiples, superpuestos y mutuamente complementarios, aplicándolos en
línea y tiempo real, a partir de la focalización de las amenazas en la web.
Debido a que los cibercriminales buscan vulnerabilidades en las aplicaciones mantenerlas actualizadas, incluyendo los sistemas operativos y adoptar metodologías de desarrollo seguro de aplicaciones web. .
Diseñar una estrategia de concientización entre empleados, clientes y demás entidades con las que
interactúan, sobre la responsabilidad que les compete en el manejo de la información y sus posibles
consecuencias laborales y legales
Julio 2013 – Pág. Nº 175/185
sociedad civil
•
•
Colaborar y notificar a las fuerzas policiales, a los equipos de respuesta a incidentes, a los proveedores de Internet o a toda otra entidad que corresponda, sobre cualquier indicio de un posible incidente de seguridad
Monitorear y evaluar la seguridad regularmente para garantizar que se implementen controles
adecuados y adherir a estándares internacionales en materia de seguridad y control
Usuarios
•
•
•
•
•
•
•
•
•
•
•
Adoptar una actitud responsable frente al uso de las tecnologías de información, capacitándose para
minimizar los riesgos que las acompañan, aceptando que como usuarios, podemos ser el "eslabón
más débil de la cadena" y en consecuencia, a quienes el ciberdelincuente busque engañar más fácilmente, haciendo uso de las técnicas de ingeniería social.
Cuidar la información propia y la de otras personas, cualquiera sea el soporte
Enseñar a los menores los peligros de las redes sociales y entrenarlos en una adecuada utilización de
las tecnologías de la información.
Evitar navegar por sitios desconocidos y abrir archivos origen dudoso y ser muy cuidadoso en el uso
de las redes sociales, implementando la seguridad del perfil y restringiendo el grupo de personas
con la que se comparte información. Se debe tener en cuenta que una de las maneras en la que actúa el cibercriminal para perpetrar sus ataques dirigidos, es estudiando los intereses de la víctima en
las redes sociales.
Utilizar siempre que estén disponibles, las aplicaciones de seguridad para dispositivos móviles, provistas por el proveedor y ser cuidadosos a la hora de establecer los permisos.
Cuidar físicamente los dispositivos móviles a efectos de evitar su robo y utilizar mecanismos de cifrado de la información y de borrado remoto.
Utilizar contraseñas en equipos de escritorio y dispositivos móviles. Elegirlas cuidadosamente utilizándolas en forma exclusiva y realizar resguardos periódicos de la información
Instalar software protección frente a las ciberamenazas y mantenerlos permanentemente actualizados, tanto en los equipos de escritorio como en los dispositivos móviles.
Denunciar los incidentes de seguridad y cualquier sospecha de fraude en operaciones realizadas a
través de Internet, ante las instancias que correspondan, permitiendo su seguimiento y contribuyendo así a su resolución
Destruir toda información personal, sensible y/o confidencial antes de desecharla, cualquiera sea el
soporte en el que se encuentre, de manera que no sea posible accederla bajo ninguna circunstancia.
Revisar de manera regular las liquidaciones de bancos, compañías emisoras de tarjetas de crédito y
compañías de telefonía móvil, contactando inmediatamente a dichas organizaciones ante movimientos sospechosos.
Finalmente, y como ya se manifestó en el informe anterior y a lo largo del presente estudio, una de las
mayores dificultades que acompañaron la realización de este trabajo fue la dificultad para contar con
información confiable, completa y coherente sobre la ocurrencia de la actividad maliciosa en Internet en
la región, sus características y reales consecuencias. Sin datos confiables es imposible dimensionar la
magnitud del problema, estimar el riesgo para asignar prioridades y recursos y adoptar así, decisiones
certeras para proteger la confidencialidad, integridad y disponibilidad de la información. La base de este
Julio 2013 – Pág. Nº 176/185
sociedad civil
problema, si bien atribuible a diversos motivos, es que no se comparten datos. Esta responsabilidad
recae tanto en las entidades públicas como en las empresas dedicadas a las tecnologías de la información y su aseguramiento, en las organizaciones de todo tipo y en todos nosotros, como usuarios de información y servicios en línea.
Sea nuevamente entonces la recomendación con la que se cierra este informe, un llamado a crear mecanismos confiables de reporte y colaboración, contribuyendo así a un mayor conocimiento colectivo
que permita aprovechar a pleno los beneficios de las tecnologías de la información, minimizando cualquier peligro que conlleve su uso.
Julio 2013 – Pág. Nº 177/185
sociedad civil
Fuentes Consultadas
#TCBlog
El
Marketing
en
español
http://www.territoriocreativo.es
Ae Tecno - tecno.americaeconomia.com
América
Economía
especiales.americaeconomia.com
Antiphishing
Working
Group
(APWG)
–
www.antiphishing.org, docs.apwg.org
b:secure - www.bsecure.com.mx
BN Américas - http://subscriber.bnamericas.com
Canalys – www.canalys.com
CIFAS – www.cifas.org.uk
Communications of the ACM – cacm.acm.org
ComScore - http://www.comscore.com
Dancho Danchev – ddanchev.blogspot.com.ar
Diccionario de la Real Academia Española –
www.rae.es
Digitalbuzz - http://www.digitalbuzzblog.com
E-commerce
day
Colombia
www.ecommerceday.co
El país.com - www.elpais.com
ESET Latinoamérica – www.eset-la.com http://blogs.eset-la.com
Federal Trade Commission – www.ftc.gov
F-Secure - www.f-secure.com
Google - http://googleblog.blogspot.se
IANA - www.iana.org
Identity Theft First Aid - www.privacy.ca.gov
InformationWeek - www.informationweek.com
Internet World Stats - www.internetworldstats.com
Javelin
Strategy
&
Research
www.javelinstrategy.com
Mattica - www.mattica.com
Microsoft Research – research.microsoft.com
Netcraft - http://news.netcraft.com
Open Networks – www.opennetla.com
PC
World
www.pcwla.com
http://www.pcworld.com.mx
Pingdom – www.royal.pingdom.com
Proyecto
Amparo
(LACNIC)
www.proyectoamparo.net
PWC – http://www.pwc.com
RSA – www.rsa.com
1080b bloggresivo – www.1080b.com
AllSpammedUp – www.allspammedup.com
Anonymous - http://anonymousnews.blogs.ru/
Australian
Crime
Comisión
www.crimecommission.gov.au
Banco Mundial - www.worldbank.org
Cabinet
Office
of
United
Kingdom
http://www.cabinetoffice.gov.uk, www.gov.uk
CDS Comunicaciones – www.cds11.com
Communications Fraud Control Association www.cfca.org
Communities Dominate Brands - http://communitiesdominate.blogs.com/brands
Cybersource - www.cybersource.com
Diario Popular – www.diariopopular.com.ar
Digital
Forensics
Association
http://www.digitalforensicsassociation.org
Dinero Panamá – www.dineropanama.com
El nuevo siglo - www.elnuevosiglo.com.co
elmundo.es – www.elmundo.es
FEBRABAN - www.febraban.org.br
Frost and Sullivan - http://www.frost.com
Gigaom - http://gigaom.com/
Hackmageddon - http://hackmageddon.com/
Identity Theft Center – www.idtheftcenter.org
Info Spyware – www.infospyware.com
Instituto Latinoamericano de Comercio Electrónico
www.einstituto.org
Internet World Stats - www.internetworldstats.com
Kaspersky
Lab
www.securelist.com/
http://latam.kaspersky.com
McAfee, Inc. –
http://www.mcafee.com
www.secure.mcafee.com
MSDN Blog - http://blogs.msdn.com
NIST - http://csrc.nist.gov
Panda Security – http://www.pandasecurity.com/
http://prensa.pandasecurity.com/
Perú Press - Cibercrimen - www.perupress.com
-
-
-
Ponemon Institute – www.ponemon.org
PWC – www.pwc.com/ar/es
Radicati Group - http://www.radicati.com
RSA FraudAction Research Labs – blogs.rsa.com
Julio 2013 – Pág. Nº 178/185
sociedad civil
Slideshare - http://www.slideshare.net
Terra –economia - terra.com.mx
Verizon - http://www.verizonenterprise.com
Gustavo Saín - “El fenómeno del cibercrimen en
Internet y la World Wide Web: una mirada criminológica” European Journal of Criminology - Yar, Majid
– “The novelty of cybercrime – An Assessment in
light of Routine Activity Theory” (2005) euc.sagepub.com
R. Anderson, C. Barton, R. Bohme, R. Clayton, M. J.G
van Eeten, M. Levi, T. Moore, S. Savage - Measuring
the Cost of Cybercrime – Proceedings of Eleventh
Workshop on the Economics of Information Security
(2012)
Edición Internacional Semanal del New York Times,
en colaboración con el periódico argentino Clarín
Symantec Corporation - www.symantec.com http://www.symanteccloud.com
http://www.messagelabs.com
https://www.emea.symantec.com
nowstatic.norton.com
Verisign - http://www.verisigninc.com
YouTube - http://youtube-global.blogspot.se
Science Direct – A.K. Sood, R.J. Enbody – Crimewareas-a-service – A survey of commoditized crimeware in
the underground market, International Journal of
Critical Infrastructure Protection (2013)
Bohme, R. y Moore, T. – How do consumers react to
cybercrime? - APWG eCrime Researchers Summit Septiembre 2012 - Consultado el 27/04/2013 –
http://lyle.smu.edu/~tylerm/ecrime12eurobarpres.pdf
A continuación se incluye una lista de las páginas consultadas a modo referencial, existiendo la posibilidad de que algunas fueran descartadas por haber considerado que su contenido no era útil para los
propósitos del informe.
•
Antifraude - www.antifraude.org
•
CERT – Software Engineering Institute – Carnegie Mellon - www.cert.org
•
Cnet News - www.news.cnet.com
•
Comisión Económica para América Latina (CEPAL) - www.cepal.org
•
Credit Repair - www.creditrepair.org
•
Defending the Kingdom - www.defendingthekingdom.com
•
Estrategia para la sociedad de la información en América Latina y el Caribe (eLAC) www.eclac.org/socinfo/elac
•
Infobae Profesional - www.iprofesional.com
•
Ingeniería Comercial - www.ingenieriacomercial.com
•
Internet Storm Center - www.isc.sans.edu
•
Javelin Strategy & Research - www.javelinstrategy.com
•
National Institute of Standards and Technology – www.nist.gov
•
Population Reference Bureau - www.prb.org
•
PWC - www.pwc.com/ar/es
Julio 2013 – Pág. Nº 179/185
sociedad civil
•
Seguridad Informática - www.seguinfo.wordpress.com
•
Team CYMRU Community Services - www.team-cymru.org
•
United Nations Conference on Trade and Development (UNCTAD)- www.unctad.org
•
United Nations Statistics Division - http://unstats.un.org/
Julio 2013 – Pág. Nº 180/185
sociedad civil
Glosario Técnico
Advanced Persistent Threat (APT) - Su objetivo es recolectar objetivos nacionales de alto valor tales
como militares, políticos o económicos. Usan herramientas y técnicas de intrusión personalizadas y sigilosos, pacientes y persistentes métodos para reducir el riesgo de detección.
Adware - Recibe esta denominación cualquier programa que ejecuta, muestra o baja publicidad de
Internet en forma automática a la PC de usuario, después de instalar un programa o mientras se está
utilizando una determinada aplicación. El prefijo 'Ad' proviene de la palabra “advertisement”, que en
idioma inglés significa anuncios publicitarios.
Blackhat SEO - Este término hace referencia a una técnica de optimización de los motores de búsqueda
con fines maliciosos que se aprovecha de las funcionalidades de dichos motores para situar páginas maliciosas en los primeros lugares de los resultados de las búsquedas.
Botnet - Es un conjunto de computadoras conectadas a Internet, que interactúan para realizar una tarea
distribuida, controladas por una computadora de “comando y control” (C&C) que las dirigirán para ejecutar lo que necesiten. Estos sistemas son usados para propósitos ilegales y están compuestos por máquinas comprometidas que son utilizadas sin que sus dueños lo sepan. Esas máquinas son denominadas
“zombis” y el software malicioso que corre en ellas “bot”.
Bot – Software malicioso que corre en una máquina comprometida que forma parte de una botnet.
También se utiliza este término para identificar a la computadora comprometida.
BYOD - Esta sigla proviene de las iniciales de la frase en idioma inglés “Bring Your Own Device”, que
significa “Traiga su propio dispositivo”. Se refiere a la posibilidad de que los empleados lleven y utilicen
sus propios dispositivos electrónicos, como teléfonos inteligentes, computadoras portátiles o PDAs, en
sus trabajos y los conecten a la red corporativa.
Crimeware - Este término se aplica a cualquier tipo de software diseñado específicamente, mediante
técnicas de ingeniería social u otros mecanismos de fraude en línea, para la ejecución de delitos financieros en operaciones efectuadas a través de Internet.
Doxing - Es una técnica empleada para seguir a alguien o reunir información sobre un individuo usando
fuentes de Internet. Su nombre deriva de de "Documents" o "Docx". Este método se basa específicamente en la habilidad de hacker para reconocer información valiosa sobre su destinatario y para usar
esta información en su beneficio. Se basa también en la idea que, "Cuanto más sabes sobre el destinatario de tu ataque, mucho más fácil va a ser encontrar su debilidad.
Exploit – Código malicioso que toma ventaja de las vulnerabilidades del software para infectar una
computadora.
Firma – Conjunto de características de los códigos maliciosos que pueden ser usadas para identificarlos
usando productos antivirus.
Gateway – Interfase que provee compatibilidad entre redes convirtiendo velocidades de transmisión,
protocolos, códigos o medidas de seguridad.
Hacking - Por el sentido de los textos donde esta expresión es utilizada, significa violación de computadoras o sistemas. Sin embargo, la palabra técnica para esta acción sería "cracking".
Julio 2013 – Pág. Nº 181/185
sociedad civil
Honeypot – Sistema (por ej. un servidor Web) o recurso de sistema (por ej. un archivo en un servidor)
que es diseñado de manera tal que resulte atractivo a potenciales intrusos y que no tiene otros usuarios
autorizados que no sean los administradores.
Honeycliente – Dispositivos activos de seguridad en búsqueda de servidores maliciosos que atacan
clientes. El honeycliente se posiciona como un cliente e interactúa con el servidor para examinar si ha
ocurrido un ataque. Habitualmente el foco de un honeycliente se sitúa en los navegadores web, pero
cualquier cliente que interactúa con los servidores puede ser parte de un honeycliente (ftp, ssh, email,
etc.).
Ingeniería social – Una técnica que derrota las precauciones de seguridad tomadas, explotando las vulnerabilidades humanas. Las estafas a través de la ingeniería social pueden suceder en línea (tal como
recibir correos electrónicos que solicitan abrir un adjunto, el cual es realmente un software malicioso) o
fuera de línea (como recibir una llamada telefónica de alguien que se hace pasar por un representante
de una compañía de tarjetas de crédito). Independientemente del método seleccionado, el propósito de
un ataque de ingeniería social es siempre el mismo: hacer que el usuario realice la acción que el atacante desea.
Grid computing - Forma de computación distribuida, a través de la cual se genera una “super computadora virtual” compuesta por muchas computadoras en red que actuán en conjunto para hacer tareas
de envergadura. Además este tipo de sistema es un tipo especial de computación paralela que se monta
sobre computadoras conectadas a una red a través de una interface estándar como por ej. Ethernet.
Esto es es contraste con la noción tradicional de supercomputadora, la cual tiene múltiples procesadores conectados por un “bus” local de alta velocidad.
Gusano – Código malicioso que se distribuye espontáneamente enviando copias de si mismo a través
del correo electrónico o usando otros mecanismos de comunicación tales como la mensajería instantánea o las aplicaciones peer-to-peer (P2P).
Keylogger - Es un tipo de software que se encarga de registrar las pulsaciones que se realizan en el teclado, para memorizarlas en un fichero y/o enviarlas a través de Internet. Suele usarse como software
malicioso permitiendo que otros usuarios tengan acceso a contraseñas importantes, como los números
de una tarjeta de crédito, u otro tipo de información privada que se quiera obtener.
Machine learning – Es un tipo de inteligencia artificial que provee a las computadoras la habilidad de
aprender sin que sean explícitamente programadas. Se focalize en el desarrollo de programas de
computadoras que pueden enseñarse a sí mismos a crecer y cambiar cuando se exponent a nuevos datos.
Este proceso de aprendizaje es similar al de data mining. Ambos sistemas buscan patrones a través de
los datos. Sin embargo, en vez de extraer datos que sean comprendidos por los humanos, como en el
caso de las aplicaciones de data mining, este sistema usa los datos para mejorar su propia comprensión;
detecta patrones en los datos y ajusta las acciones del programa de acuerdo con ellos.
Mail Spoofing – Suplantación, en el correo electrónico, de la dirección de correo electrónico de otras
personas o entidades.
Malware – Software malicioso o potencialmente no deseado, instalado sin el consentimiento del usuario, con la intención de comprometer la seguridad de la información y/o los recursos del sistema.
Julio 2013 – Pág. Nº 182/185
sociedad civil
Malicious code - Software or firmware que intenta ejecutar un proceso no autorizado que va a tener un
impacto adverso sobre la confidencialidad, integridad o disponibilidad de un sistema de información.
Virus, troyanos, gusanos u otras entidades basadas en código que infecte una computadora. También el
spyware y algunas formas de adware son ejemplos de código malicioso.
Malicious code intelligence – Conocimiento de la conformación del código: a qué familia pertenece, la
estrategia de ataque, qué objetivo persigue, técnicas de desarrollo, etc.
PayLoad - Es una función adicional que posee cierta amenaza en particular. La traducción exacta del
inglés, es más precisa respecto a su definición: "carga útil". Refiere a acciones adicionales, incluidas en
virus, gusanos o troyanos; como por ejemplo robo de datos, eliminación de archivos, sobre-escritura del
disco, reemplazo del BIOS, etc. Un payload no es necesariamente maligno, sino que refiere también a
efectos secundarios nocivos para el ordenador.
Pharming - Es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain Name
System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de
dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador de internet a la página
web que el atacante haya especificado para ese nombre de dominio.
Phishing - Acrónimo de “password harvesting fishing”, o "cosechar y pescar contraseñas". Es una técnica
que se usa con el propósito de recolectar ilegalmente información personal y financiera, tal como nombres de usuarios, contraseñas, números de tarjeta de crédito, identificación bancaria, etc.
Phishing host - Es una computadora que provee servicios de sitio web, donde se copian los sitios de
conocidas y confiables organizaciones y/o marcas, para ser utilizados como sitios de phishing.
Polimorfismo - Tendencia de los códigos maliciosos a crear tantas variantes de las amenazas como sea
posible para evitar que éstas sean detectadas por los antivirus.
Reputation systems - La seguridad basada en la reputación es una estrategia de identificación de amenazas que clasifica las aplicaciones con base en ciertos criterios o atributos para determinar si son probablemente malignas o benignas. Estos atributos pueden incluir diversos aspectos como la edad de los
archivos, la fuente de descarga de los archivos y la prevalencia de firmas y archivos digitales. Luego, se
combinan los atributos para determinar la reputación de seguridad de un archivo. Las calificaciones de
reputación son utilizadas después por los usuarios informáticos para determinar mejor lo que es seguro
y permitirlo en sus sistemas. La seguridad basada en la reputación debe ser parte de una estrategia de
seguridad estándar de múltiples niveles.
Rogue antivirus (Rogueware) – Es un software que aparece como beneficioso desde una perspective de
seguridad pero que provee limitada o ninguna capacidad de seguridad, generando un significativo número de erróneas o engañosas alertas, o intenta convencer al usuario de participar en transacciones
fraudulentas a través de técnicas de ingeniería social.
Rootkit - Es una herramienta o un grupo de ellas, que tiene como finalidad esconderse a sí misma y
esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al
intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información
sensible. Existen rootkits para una amplia variedad de sistemas operativos, como GNU/Linux, Solaris o
Microsoft Windows.
Julio 2013 – Pág. Nº 183/185
sociedad civil
SPAM – Correos electrónicos basura (junk) o no solicitados enviados masivamente. Los autores de software malicioso pueden usar SPAM para distribuirlo, ya sea adjuntándolo al mensaje o bien enviando un
mensaje que contenga un link al software. También éste puede recolectar direcciones de correo de las
computadoras comprometidas.
Spear-phishing – Un ataque de SPEAR-PHISHING comienza con un cibercriminal
realizando un "reconocimiento" en línea para recopilar información sobre el trabajo, educación, pasatiempos u otros intereses de la víctima que será el sujeto de ataque. Esto permite que el delincuente
crea un mensaje personalizado que va a atraer a la víctima a actuar, sin levantar sospechas.
Spyware – Un tipo de código malicioso que es subrepticiamente en un sistema de inforamación para
juntar información sobre individuos u organizaciones sin su conocimiento.
SQL injection - Es una técnica de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una
base de datos.
Troyano - Códigos maliciosos que no se autopropagan pero toman acciones maliciosas sobre el computador.
Trojan downloader/dropper – Una forma de troyano que instala otros archivos maliciosos en el sistema
infectado ya sea descargándolos desde una computadora remota o bien bajándolos directamente de
una copia contenida en su propio código.
Virus – Código malicioso que se replica, comúnmente infectando otros archivos en el sistema, permitiendo así la ejecución de código malicioso y su propagación cuando esos archivos son activados.
Vulnerability – Una debilidad, error o una técnica pobre de codificación que puede permitir a un atacante explotarla con un código malicioso.
Web hosting service – es un tipo de servicio que provee la infraestructura que permite a individuos y
organizaciones crear su propio sitio web accesible a través de la World Wide Web. Las compañías que
proveen estos servicios, brindan espacio en servidores que les pertenecen o alquilan para uso de sus
clientes, agregando también conectividad a Internet, generalmente en un centro de procesamiento de
datos. También pueden proveer espacio en un centro de procesamiento de datos y conectividad a Internet para que los clientes coloquen sus servidores. Este servicio es comúnmente denominado
“Housing” en Latinoamérica o Francia.
Zero-day (o zero-hour o day zero) ataque o amenaza – Es una amenaza que trata de explotar las vulnerabilidades de aplicaciones que son desconocidas para otros o para el desarrollador del software. El
software que explota los Zero-day es usado o compartido por los atacantes antes que el desarrollador
del software receptor conozca la vulnerabilidad. El término deriva de la antigüedad de la amenaza de
explotación. Un ataque de “zero day” ocurre en o antes del primer día en que el desarrollador conoce la
vulnerabilidad, lo cual implica que el desarrollador no tuvo ninguna oportunidad de distribuir una actualización de seguridad para los usuarios del software.
Zeus - Sofisticada pieza de software malicioso (troyano) diseñada específicamente para automatizar el
robo de identidad y facilitar transacciones no autorizadas sobre las cuentas bancarias de los consumidores.
Julio 2013 – Pág. Nº 184/185
sociedad civil
Zombi/Zombie - Máquinas comprometidas que componen las botnets (Ver botnet y bot en este mismo
Glosario) y que son utilizadas sin que sus dueños lo sepan para propósitos ilegales.
Julio 2013 – Pág. Nº 185/185

Ciberdelito en América Latina y el Caribe

Transcripción

Documentos relacionados

Subastarán lotes de La Estancia Golf Resort

Folleto Exhibición Caribes

FRAUDE EN INTERNET: DEL PHISHING AL PHARMING