Taller Informes de Seguridad

Universidad Pontifica de Salamanca

Alumno: David Saldaa Zurita Profesor: Luis Joyanes Aguilar N Expediente: 64079 Correo electrnico: David.salzu@gmail.com

ndice
Resumen ....................................................................................................................... 2 Palabras clave: .......................................................................................................... 2 Abstract ......................................................................................................................... 2 Key Words: ............................................................................................................... 2 1. Kaspersky Security Bulletin 2012. Desarrollo de las amenazas informticas en 2012 .................................................... 3 1.1. 1.2. 1.3. 2. Las 10 historias de seguridad que perfilaron 2012 ......................................... 3 Conclusiones: Desde lo explosivo hasta lo revelador .................................... 8 Pronstico sobre la ciberseguridad en 2013 ................................................... 9

Informe Anual de Seguridad de CISCO 2013 ........................................................ 16 2.1. 2.2. 2.3. 2.4. 2.5. El nexus de dispositivos, nubes y aplicaciones ............................................ 16 Los servicios se encuentran en muchas nubes ............................................. 19 La fusin del uso personal y laboral; el nuevo milenio y el lugar de trabajo20 La privacidad y los trabajadores del nuevo milenio ..................................... 21 Big-data, La gran oportunidad para las empresas actuales .......................... 22

2.6. Estado de las vulnerabilidades, el peligro se esconde en los sitios ms extraos................................................................................................................... 23 2.7. 2.8. 2.9. 3. Evolucin de las amenazas; Nuevos mtodos, mismas vulnerabilidades .... 27 Spam, ese intruso constante ......................................................................... 29 Previsin de seguridad para 2013................................................................. 32

ESET NOD 32 ........................................................................................................ 33 3.1. 3.2. Informe anual de Seguridad 2012 ................................................................ 33 Informe cuatrimestral de seguridad ............................................................. 43

4. 5.

Conclusiones........................................................................................................... 53 Referencias ............................................................................................................. 54

Resumen
En este taller tenemos vamos a estudiar y comparar los diferentes informes de seguridad de tres compaas importantes, como son Cisco, Kaspersky y ESET NOD32. Comprobamos la clasificacin de amenazas que realiza cada uno de ellos y la previsin para este ao en el que nos encontramos.

Palabras clave:
Seguridad, Mac, Android, software malicioso, troyano, la nube, ciberespionaje, hacktivismo, ciberataque, virus, privacidad, ciberextorsin, BYOD.

Abstract
In this workshop we are going to study and compare three different security bulletins of the major companies such as Cisco, Kaspersky and ESET NOD32. We check the classification of threats made by each one of them and the forecast for this year in which we find ourselves.

Key Words:
Security, Mac, Android, malware, trojan, cloud, cyberspy, hacktivism, cyberattacks, virus, privacy, ciberextortion, BYOD.

1. Kaspersky Security Bulletin 2012. Desarrollo de las amenazas informticas en 2012

1.1. Las 10 historias de seguridad que perfilaron 2012

En base a los acontecimientos y a los actores que definieron las principales historias de seguridad de 2011, Kaspersky hizo algunas predicciones para 2012.

El progresivo aumento de grupos hacktivistas. El crecimiento de los incidentes APT (Advanced Persistent Threat). El surgimiento de la ciberguerra y de ms estados-naciones que buscan imponerse mediante campaas de ciberespionaje.

Ataques contra desarrolladores de software y juegos, como Adobe, Microsoft, Oracle y Sony.

Acciones ms decididas de las autoridades policiales y jurdicas contra los ciberdelincuentes tradicionales.

Una explosin de las amenazas contra Android. Ataques contra la plataforma Mac OS X.

Tras estas predicciones, observamos los 10 principales incidentes de seguridad que perfilaron 2012.

1.1.1.

Flashback ataca a Mac OS X

Basndonos en las estadsticas, Kaspersky estimo que Flashback infect ms de 700.000 Macs, la mayor infeccin conocida de Mac OS X hasta ahora. Aunque este troyano para Mac OS X, Flashback/Flashfake, apareci a fines de 2011, no fue sino hasta abril de 2012 cuando gan mucha popularidad. Gracias a dos factores principales: una vulnerabilidad Java (CVE-2012-0507) y la sensacin generalizada de apata entre los usuarios de Mac cuando se trata de su seguridad. Flashback sigue manteniendo su relevancia porque fue capaz de rebatir el mito de invulnerabilidad que caracterizaba a Mac y porque confirm que los estallidos masivos en realidad pueden afectar no slo a las plataformas Windows.

1.1.2. Flame y Gauss: campaas de ciberespionaje gubernamental A mediados de abril de este 2012, una serie de ciberataques destruyeron sistemas informticos de varias plataformas petroleras en el Medio Oriente. Nunca se detect el programa malicioso responsable de estos ataques, llamado 'Wiper', aunque varias pistas indicaban su cercana con Duqu y Stuxnet. Durante la investigacin, nos topamos con una enorme campaa de ciberespionaje que ahora se conoce con el nombre de Flame. Podra decirse que Flame es uno de los programas maliciosos ms sofisticados que se han creado. Cuando est instalado por completo en un sistema, posee ms de 20 MB de mdulos que ejecutan una amplia gama de funciones como intercepcin de audio, anlisis de dispositivos bluetooth, robo de documentos y capturas de pantalla del ordenador infectado. La parte ms impresionante fue el uso de falsos certificados de Microsoft para realizar un ataque contra Windows Update que le permita infectar sistemas Windows 7 completamente parcheados. La complejidad de esta operacin no dejaba duda alguna sobre su naturaleza gubernamental. Flame es importante porque demostr que durante aos pueden existir programas maliciosos altamente complejos sin que se los detecte. Se calcula que el proyecto Flame tena, por lo menos, unos cinco aos de vigencia. No pas mucho tiempo antes de que aparecieran nuevas amenazas similares a Flame. El descubrimiento de Gauss1, otro troyano altamente sofisticado que se propag ampliamente en Medio Oriente, aadi una nueva dimensin a las cibercampaas gubernamentales. Gauss es significativo por varias razones, algunas de las cuales siguen siendo un misterio. Uno de estos misterios es el uso de una fuente personalizada llamada 'Palida Narrow' o de su contenido codificado que ataca a los ordenadores desconectados de Internet. Adems se trata del primer troyano bancario con respaldo gubernamental que tiene la habilidad de secuestrar los datos de las cuentas bancarias online de sus vctimas, particularmente en Lbano.
1

Gauss: Troyano bancario se utiliza en el espionaje ciberntico gubernamental.

Flame y Gauss inyectaron una nueva dimensin en el escenario blico del Medio Oriente: la ciberguerra.

1.1.3.

La explosin de amenazas contra Android

La cantidad de muestras que se recibieron alcanz su pico en junio de 2012, cuando se identificaron casi 7.000 programas maliciosos para Android. En general, este ao se han identificado ms de 35.000 programas maliciosos para Android, seis veces ms que en 2011, y cinco veces ms que todas las muestras maliciosas para Android desde 2005. La razn de este gigantesco crecimiento tiene dos factores: el econmico y la plataforma. En primer lugar, la plataforma Android ha ganado inmensa popularidad, llegando a ser la ms comn para nuevos Smartphones, con ms del 70% de participacin en el mercado, la naturaleza abierta de este sistema, la facilidad con la que se pueden crear aplicaciones y la amplia variedad de mercados (no oficiales) de aplicaciones han ensombrecido las medidas de seguridad de la plataforma Android. Mirando en perspectiva, no queda duda de que esta tendencia continuar, tal como sucedi con los programas maliciosos para Windows hace muchos aos. Por lo tanto, se prev que 2013 estar lleno de ataques dirigidos contra los usuarios de Android.

1 Crecimiento del Software Malicioso de Android

1.1.4.

Fugas de contraseas de LinkedIn, Last.fm, Dropbox y Gamigo

El 5 de junio de 2012, LinkedIn, una de las mayores redes sociales para usuarios profesionales, sufri ataques de orgenes desconocidos lo que ocasion que los hashes de contraseas de ms de 6,4 millones de usuarios se filtraran en Internet. Gracias a las rpidas tarjetas GPU, los expertos en seguridad ciberntica recuperaron el 85% de las contraseas originales. Esto fue posible gracias a varios factores. En primer lugar, LinkedIn guardaba las contraseas como hashes SHA1. Las modernas tarjetas GPU, mejores que las muy populares MD5, pueden descifrar hashes SHA1 a velocidades impresionantes. Esto, junto a los modernos ataques criptogrficos, como el uso de cadenas Markov para optimizar la bsqueda forzada o los ataques camuflados, ense a los desarrolladores cibernticos nuevas lecciones sobre el almacenamiento de contraseas codificadas.

Cuando DropBox anunci que haba sufrido un ataque y que se haban filtrado datos de las cuentas de sus usuarios, fue una confirmacin ms de que los hackers estaban en busca de valiosa informacin (especialmente los datos de los usuarios) en conocidos servicios web. En 2012, se verificaron similares ataques contra Last.fm y Gamigo, que provocaron la fuga de ms de 8 millones de contraseas. Estos ataques muestran que en la edad de la nube, cuando la informacin sobre millones de cuentas se encuentra disponible en un servidor, y con veloces enlaces en Internet, el concepto de fuga de informacin adquiere nuevas dimensiones.

1.1.5. El robo de certificados de Adobe y la omnipresente APT

El 27 de septiembre de 2012, Adobe anunciaba el descubrimiento de dos programas maliciosos que estaban firmados con un certificado legtimo de Adobe. Los certificados de Adobe estaban guardados bajo medidas de seguridad en un HSM, un dispositivo criptogrfico especial de seguridad. Sin embargo, las hackers se las ingeniaron para infectar un servidor que era capaz de realizar peticiones de firmas de cdigos. Este descubrimiento pertenece a la misma cadena de ataques sofisticados y extremadamente dirigidos, conocidos como APT.

1.1.6. El cierre de DNSChanger

Cuando se arrest a los responsables del programa malicioso DNSChanger en noviembre de 2011 bajo la operacin 'Ghost Click', la infraestructura de este programa ladrn de identidades qued en manos del FBI.

El FBI accedi a mantener los servidores activos hasta el 9 de julio de 2012, de manera que las vctimas tuvieran tiempo de desinfectar sus sistemas. Marcada por los ms nefastos presagios, la fecha pas sin mayores problemas. Esto no hubiese sido posible sin el tiempo y los recursos que el FBI invirti en el proyecto, junto a otras agencias policiales, compaas privadas y gobiernos de todo el mundo. Se trat de una accin a gran escala que demostr que el xito en la lucha contra la ciberdelincuencia puede ser posible gracias a una abierta cooperacin e intercambio de informacin.

1.1.7. El incidente Madi

Entre fines de 2011 y el primer semestre de 2012 se desarroll una campaa para infiltrarse en los sistemas informticos del Medio Oriente, atacando a usuarios individuales en Irn, Israel, Afganistn, y otros pases en el mundo. Se investig y se la ha bautizado con el nombre de "Madi", en base a ciertos strings y handles que usan los atacantes. Aunque Madi no era muy sofisticada, logr infectar muchos sistemas en todo el mundo a travs de la ingeniera social y las tcticas de rescritura conocidas como Right-toLeft. La campaa de Madi introdujo otra dimensin ms en las operaciones de ciberespionaje en el Medio Oriente, y demostr algo muy importante, que operaciones de bajo coste, en contraste con los programas maliciosos promovidos por gobiernos con elevados presupuestos, pueden tener bastante xito.

1.1.8. Los das-cero de Java

En agosto de 2012 se detect una vulnerabilidad da-cero para Java que circulaba masivamente en la red. Este exploit estaba incorporado en el ampliamente popular paquete de exploits BlackHole y se convirti muy rpido en lo ms efectivo del paquete, siendo responsable de millones de infecciones en todo el mundo. Durante el segundo trimestre de 2012, efectuamos el anlisis de software vulnerable instalado en ordenadores, y encontramos que ms del 30% tena instalada una versin

vulnerable de Java. Era sin duda alguna el software vulnerable ms popular instalado en ordenadores. 1.1.9. Shamoon

A mediados de agosto, se descubri un programa malicioso muy destructivo que se us en los ataques lanzados contra Saud Aramco, una de las corporaciones petroleras ms grandes del mundo. Segn los informes, este programa malicioso destruy por completo ms de 30.000 ordenadores. Analizando este programa malicioso se encuentra que tiene incorporado un interruptor para activar el proceso destructivo el 15 de agosto, 8:08 UTC. Ms tarde, se inform sobre otro ataque de este mismo programa malicioso contra otra compaa petrolera en el Medio Oriente. Shamoon es importante porque plante la idea usada en el programa malicioso Wiper que consiste en una carga destructiva cuyo propsito es infectar masivamente las operaciones de una compaa. Tal como sucedi con Wiper, se desconocen muchos detalles, como la forma en que el programa malicioso lleg a infectar los sistemas, y quin estaba detrs del ataque.

1.1.10. Mdems DSL, prohibicin de Huawei y ataques contra hardware En marzo de 2012, el equipo brasileo CERT confirm que ms de 4,5 millones de mdems quedaron infectados debido al ataque y que los ciberdelincuentes los estaban abusando para todo tipo de actividades fraudulentas. El caso de Huawei y el de los routers DSL en Brasil no son incidentes aislados, porque sealan que los routers, como hardware, representan el mismo riesgo de seguridad, o mayor, que el software viejo y olvidado que nunca se actualiza, y que la defensa se ha vuelto ms compleja y difcil que nunca antes, y en algunos casos, incluso imposible.

1.2.

Conclusiones: Desde lo explosivo hasta lo revelador

A medida que nos acercamos a 2013, nos preguntamos acerca de lo que viene. Como hemos podido ver en estas 10 historias, acertamos con muchas de nuestras predicciones. A pesar del arresto de LulzSec's Xavier Monsegur y de muchos e importantes hackers de 'Anonymus', los hacktivistas continuaron con sus actividades. Las campaas de ciberguerra /ciberespionaje alcanzaron nuevas dimensiones con el descubrimiento de Flame y Gauss. Las operaciones APT siguieron dominando los titulares de prensa, con ataques da-cero y otros astutos mtodos empleados para atacar a vctimas de alto perfil. Los usuarios de Mac OS X sufrieron el duro golpe de Flashback, la mayor epidemia para Mac OS X conocida hasta ahora, mientras que las grandes compaas se enfrentaron a programas maliciosos destructivos que inutilizaron decenas de miles de PCs. 8

Los poderosos actores de 2011 siguieron siendo los mismos: grupos de hacktivistas, compaas de seguridad informtica, gobiernos en luchas de ciberespionaje, grandes desarrolladores de software y juegos como Adobe, Microsoft, Oracle y Sony, autoridades policiales y jurdicas y ciberdelincuentes tradicionales, Google, a travs de su plataforma Android, y Apple, gracias a su plataforma Mac OS X. Habamos calificado a 2011 como 'explosivo' y creemos que los incidentes de 2012 nos dejaron pasmados. Hemos comprendido las nuevas dimensiones de las amenazas que ya existen a la vez que se estn incubando los nuevos ataques.

1.3.

Pronstico sobre la ciberseguridad en 2013

1.3.1. Ataques dirigidos y ciberespionaje Los ataques dirigidos se han convertido en una caracterstica constante durante los dos ltimos aos. Estos ataques estn diseados especficamente para penetrar en una determinada organizacin y recopilar informacin crtica que tenga valor monetario en el 'mercado negro". Los ataques dirigidos suelen ser muy sofisticados. Pero muchos ataques comienzan 'hackeando al humano', es decir, utilizando trucos que lo induzcan a revelar informacin que pueda ser til para acceder a recursos corporativos. El enorme volumen de informacin que se comparte de forma virtual y el creciente uso de las redes sociales en el mbito empresarial han contribuido a la consolidacin de estos ataques, y el personal en contacto con el pblico (como el de ventas o marketing) puede ser particularmente vulnerable. Se prev que el crecimiento del ciberespionaje continuar en 2013. Cualquier organizacin puede convertirse en vctima. Todas las organizaciones poseen informacin valiosa para los ciberdelincuentes, que pueden usar esas organizaciones como 'puente' para llegar a otras compaas.

1.3.2. La progresiva marcha del 'hacktivismo'

El robo de dinero, ya sea accediendo directamente a cuentas bancarias o robando informacin confidencial, no es el nico motivo de los ataques. A veces, el objetivo de un ataque puede ser plantear una cuestin poltica o social. En este ao se evidenci un flujo constante de este tipo de ataques, entre los cuales estuvieron los ataques DDoS de Anonymous contra sitios gubernamentales en Polonia en represalia por el anuncio del gobierno de ese pas de apoyar el acuerdo comercial antifraude ACTA, el hackeo del sitio oficial de la F1 en protesta contra el tratamiento a los manifestante antigubernamentales en Bahrin, el hackeo de varias compaas petroleras en protesta

contra las perforaciones en el rtico, el ataque contra Saud Aramco, y el ataque contra el sitio francs Euromillions en protesta contra los juegos de azar.

1.3.3. Ciberataques apadrinados por gobiernos Stuxnet fue el pionero en el uso de programas maliciosos altamente sofisticados en ataques dirigidos contra importantes instalaciones industriales. Aunque estos ataques no son algo comn, ahora queda claro que lo de Stuxnet no fue un incidente aislado. Estamos en el umbral de una era de 'ciberguerra fra', en la que las naciones poseen la habilidad de librar batallas sin las limitaciones de la guerra convencional en el mundo real. Es posible que ms pases desarrollen sus ciberarmas, diseadas para robar informacin o sabotear sistemas, sobre todo porque el acceso a su diseo es mucho ms factible que al de las armas convencionales. Tambin es posible que veamos ataques similares que no respondan a gobiernos, con el enorme riesgo de 'daos colaterales' que vayan ms all de las supuestas vctimas del ataque. Entre los blancos de estos ciberataques podran estar plantas generadoras de electricidad y de control de transporte, sistemas financieros y de telecomunicaciones, y otras infraestructuras crticas.

1.3.4. El uso de herramientas de vigilancia legales

En los ltimos aos, el ciberdelito ha alcanzado niveles de desarrollo cada vez ms sofisticados, lo que no slo ha creado nuevos desafos para los investigadores antivirus, sino tambin para las autoridades policiales y judiciales en todo el mundo. Sus esfuerzos para mantenerse al ritmo de las avanzadas tecnologas en manos de los ciberdelincuentes los estn llevando por caminos que tienen claras implicaciones legales. Es el caso, por ejemplo, de qu se har con los ordenadores infectados despus de que las autoridades desbaratan una red zombi, como sucedi con la operacin Ghost Click del FBI. Pero tambin incluye el uso de la tecnologa para monitorear las actividades de los sospechosos de actividades delictivas. En la medida en que las autoridades policiales y judiciales, y los gobiernos, traten de estar un paso por delante de los ciberdelincuentes, es posible que contine el uso de estas herramientas, y el consiguiente debate.

1.3.5. Nublado con posibles programas maliciosos Queda claro que el uso de los servicios en la nube crecer en los prximos aos. Pero, a medida que se incremente el uso de la nube, tambin aumentarn las amenazas lanzadas contra la seguridad en la nube. Primero, los centros de datos de los proveedores de servicios en la nube son un blanco atractivo para los ciberdelincuentes. Los ciberdelincuentes podran robar la gran 10

cantidad de informacin personal acumulada en un solo lugar, de un solo golpe, si el ataque lanzado contra el proveedor tiene xito. Segundo, es posible que los ciberdelincuentes recurran con ms frecuencia a los servicios en nube para alojar y propagar sus programas maliciosos, por lo general mediante cuentas robadas. Tercero, recordemos que a la informacin guardada en la nube se accede desde un dispositivo en el mundo material. Entonces, si un ciberdelincuente es capaz de infectar este dispositivo, podr acceder a la informacin, donde sea que se sta se encuentre. El amplio uso de dispositivos mviles, con sus grandes ventajas para el entorno empresarial, aumenta el riesgo de que se acceda a la informacin en la nube desde dispositivos no tan seguros como los tradicionales ordenadores de escritorio. Y el riesgo aumenta an ms cuando se usa el mismo dispositivo para propsitos personales y empresariales.

1.3.6. Y dnde qued mi privacidad? Cada vez que abrimos una cuenta online, tenemos que revelar nuestros datos personales, y las compaas en todo el mundo recopilan activamente informacin sobre sus clientes. Las amenazas a la privacidad tienen dos formas. Primero, la informacin personal queda en peligro cuando nuestros proveedores de bienes y servicios estn infectados. Por supuesto, el progresivo desarrollo de los servicios en nube slo aumentar este problema. Segundo, las compaas agregan y usan la informacin sobre sus clientes con fines publicitarios y promocionales, a veces sin informarnos al respecto, y no siempre queda claro cmo quitar nuestros datos de estos procesos. El valor de la informacin personal, para los ciberdelincuentes y para las empresas legtimas, no cesar de aumentar en el futuro, y con ello aumentarn tambin las amenazas contra nuestra privacidad.

1.3.7. En quin podemos confiar? Todos estamos predispuestos a confiar en sitios web que posean un certificado de seguridad otorgado por una genuina autoridad de certificacin (Certificate Authority, o CA por sus siglas en ingls), o en una aplicacin con una firma digital vlida. Por desgracia, no slo los ciberdelincuentes han logrado otorgar certificados falsos a sus programas maliciosos, usando los as llamados certificados autofirmados, sino que tambin se las ingeniaron para vulnerar los sistemas de diferentes autoridades de certificacin, robar certificados y firmar su cdigo en ellos. Si las aplicaciones fraudulentas logran infiltrarse en una lista segura, podran burlar el radar de las soluciones de seguridad y pasar desapercibidas. Esto puede suceder de 11

varias formas. Los programas maliciosos pueden firmarse con un certificado robado: si la lista segura de una aplicacin confa automticamente en el software firmado por una determinada organizacin, entonces tambin confiar en los programas infectados. O los ciberdelincuentes (o un infiltrado en la compaa) pueden acceder al directorio o base de datos que contenga la lista segura y aadir sus programas maliciosos. Un infiltrado confiable, ya sea en el mundo real o en el digital, siempre est en el lugar adecuado para socavar la seguridad. 1.3.8. Ciberextorsin Este ao hemos sido testigos del aumento en la cantidad de troyanos ransomware diseados para codificar los datos del usuario en el disco o bloquearle el acceso al sistema, y exigir dinero a sus vctimas a cambio de desbloquearles su informacin o sistema. Hasta hace poco, este tipo de ciberdelito se concentraba sobre todo en Rusia y en otros pases de la ex URSS. Pero ahora es todo un fenmeno mundial, a veces con mtodos que apenas difieren entre s. Por ejemplo, en Rusia, los troyanos que bloquean al usuario el acceso a su sistema, le anuncian que detectaron software sin licencia instalado en su equipo, exigindole un pago para desinfectarlo. En Europa, donde el software pirata no es muy comn, esta estrategia no funciona. En vez de ella se usan mensajes pop supuestamente pertenecientes a las autoridades policiales o judiciales que afirman haber encontrado en el ordenador del usuario pornografa infantil u otros contenidos ilegales, y tambin le exigen el pago de una multa. Estos ataques son fciles de elaborar y, como sucede con los ataques phishing, parece que nunca faltan vctimas potenciales. En consecuencia, es posible que en el futuro sigan creciendo.

1.3.9. Programas maliciosos para Mac OS A pesar de ciertas percepciones muy arraigadas, los Macs no son inmunes a los programas maliciosos. Por supuesto, cuando se compara con el torrente de programas maliciosos diseados para Windows, el volumen de aquellos diseados para Mac parece pequeo. Sin embargo, la cantidad de estos ha estado creciendo constantemente durante los dos ltimos aos, y sera ingenuo que un usuario de Mac creyera que no es posible que sea vctima de la ciberdelincuencia. No slo los ataques generalizados, como los 700.000 de la red zombi Flashfake, representan una amenaza, sino que tambin hemos visto ataques dirigidos contra determinados grupos o individuos usuarios de Mac. La amenaza contra Mac es real y es previsible que siga creciendo.

12

1.3.10. Programas maliciosos para dispositivos mviles Los programas maliciosos para dispositivos mviles han tenido un auge impresionante en los ltimos 18 aos. La mayor parte, ms del 90%, se la llevan aquellos diseados para los dispositivos con plataforma Android. Este sistema operativo es irresistible para los ciberdelincuentes por su amplio uso, la facilidad de desarrollo, y porque los usuarios del sistema pueden descargar programas (incluso los maliciosos) desde donde deseen. Por esta razn, es muy improbable que disminuya el desarrollo de aplicaciones maliciosas para Android. Hasta el momento, la mayora de los programas maliciosos est diseada para acceder al dispositivo. En el futuro, es posible que veamos el uso de vulnerabilidades dirigidas contra el sistema operativo, y por lo tanto, el desarrollo de 'descargas al paso'. Tambin es muy probable que aparezca el primer gusano masivo para Android, capaz de autopropagarse mediante mensajes de texto y de enviar enlaces a l mismo desde alguna tienda virtual de aplicaciones. Asimismo, es posible que veamos ms redes zombi conformadas por dispositivos mviles, como la creada con el backdoor RootSmart en el primer trimestre de 2012. En cambio, iOS es un sistema de archivos cerrado, restringido, que slo permite descargas y uso de aplicaciones desde una sola fuente, como App Store. Esto significa un menor riesgo de seguridad: para propagar el cdigo, los posibles autores de programas maliciosos tendran que encontrar la forma de infiltrar un cdigo en la tienda App Store. La aparicin, a principios de este ao, de la aplicacin 'Find and Call' ha demostrado que es posible que aplicaciones indeseables se filtren en la red. Pero al menos por el momento, Android seguir siendo el blanco principal de los ciberdelincuentes. La importancia de la aplicacin 'Find and Call' radica en el tema de la privacidad, la fuga de informacin y el potencial dao a la reputacin de una persona: esta aplicacin est diseada para subir el directorio telefnico de un usuario a un servidor remoto para usarlo en el envo de SMS spam.

13

2 Distribucin App Maliciosas segn SO en 2012

3Aparicin nuevos programas maliciosos por mes en 2012

1.3.11. Vulnerabilidades y exploits Uno de los principales mtodos que usan los ciberdelincuentes para instalar sus programas maliciosos en el ordenador de la vctima consiste en explotar vulnerabilidades en las aplicaciones que no se han reparado. Este mtodo se basa en la existencia de vulnerabilidades y en la dejadez de los usuarios, individuales o 14

corporativos, para parchar sus aplicaciones. Las vulnerabilidades en Java representan ms del 50% de los ataques, mientras que las de Adobe Reader, un 25%. Esto no debe sorprendernos ya que los ciberdelincuentes suelen concentrar su atencin en aplicaciones populares y que permanezcan sin parches por largo tiempo, lo que les da una ventana de oportunidad suficientemente amplia para alcanzar sus objetivos. Java no slo est instalada en millones de ordenadores (1,1 mil millones, segn Oracle), sino que sus actualizaciones no se instalan automticamente, sino mediante peticin del usuario. Por esta razn, los ciberdelincuentes seguirn explotando Java el prximo ao. Es probable que los ciberdelincuentes sigan usando Adobe Reader, pero quizs con menos intensidad ya que las ltimas versiones traen incorporado un mecanismo de actualizaciones automticas.

15

2. Informe Anual de Seguridad de CISCO 2013

2.1. El nexus de dispositivos, nubes y aplicaciones

Este mundo de interconexiones de cualquiera a cualquiera y el Internet de Todo son la materializacin de una capacidad de conectividad y colaboracin que se multiplica exponencialmente. Son el resultado del nexus de dispositivos, nubes y aplicaciones. Aunque esta evolucin no resulta sorprendente, las empresas actuales pueden no estar preparadas para la realidad de ese mundo de cualquiera a cualquiera, al menos desde el punto de vista de la seguridad. El quid del sistema de cualquiera a cualquiera es el siguiente: nos acercamos a un punto en el que cada vez hay menos posibilidades de que un usuario acceda a una empresa a travs de la red empresarial, asegura Chris Young, Vicepresidente snior del grupo de seguridad y direccin de Cisco. Cada vez se impone ms la idea de que cualquier dispositivo se conecte a cualquier instancia de la red desde la ubicacin que desee. Los dispositivos con conexin a Internet (como Smartphones o tablets) intentan conectar con aplicaciones que podran ejecutarse en cualquier lugar, como una nube pblica de software como servicio (SaaS), una nube privada o una nube hbrida. Simultneamente se est produciendo otra transformacin, una progresin constante hacia la formacin de un Internet de Todo, en la que se produce una conexin inteligente de: Personas: redes sociales, ncleos de poblacin, entidades digitales Procesos: sistemas, procesos comerciales Datos: World Wide Web, informacin Cosas: mundo fsico, dispositivos y objetos Cada vez se impone ms la idea de que cualquier dispositivo se conecte a cualquier instanciacin de la red desde la ubicacin que desee. Los dispositivos con conexin a Internet (como Smartphones o tablets) intentan conectar con aplicaciones que podran ejecutarse en cualquier lugar. Chris Young, Vicepresidente snior del grupo de seguridad y gobierno de Cisco Ese Internet de Todo se basa en un Internet de las cosas1 y aade la inteligencia de redes que posibilita una convergencia, orquestacin y visibilidad entre sistemas anteriormente aislados. Las conexiones en ese Internet de Todo no se reducen a dispositivos mviles o porttiles y equipos de sobremesa, sino tambin a un nmero cada vez mayor de conexiones entre mquinas (M2M) que se unen a la red cada da. Esas cosas a menudo son elementos que usamos cada da sin reparar en ellos y que no solemos creer que estn conectados, como un sistema de calefaccin domstico, una turbina elica o un automvil. El Internet de Todo es sin duda un concepto an por materializar, aunque no est lejos del concepto cualquiera a cualquiera. Y aunque sin duda supondr desafos de seguridad para las empresas, tambin ofrecer nuevas oportunidades. Se crearn y ocurrirn cosas increbles a medida que crezca ese Internet de Todo, asegura Nancy 16

Cam-Winget, ingeniera de Cisco. El crecimiento y la convergencia de personas, procesos, datos y cosas en Internet darn una importancia y un valor a las conexiones de red nunca vistos. Y al final, el Internet de Todo ofrecer nuevas funciones, experiencias ms ricas y oportunidades econmicas sin precedentes a pases, empresas y personas. 2.1.1. La Nube complica la seguridad

La dificultad que supone asegurar una amplia gama de aplicaciones, dispositivos y usuarios, tanto en el contexto del cualquiera a cualquiera como en el de Internet de Todo, se ve acrecentada por la popularidad de la nube como medio para administrar sistemas empresariales. Segn los datos recopilados por Cisco, se espera que el trfico mundial de los Data Centers se cuadriplique en los prximos cinco aos, y el componente que presenta un crecimiento ms rpido son los datos en la nube. En el ao 2016, el trfico mundial en la nube supondr casi dos tercios del trfico total de los Data Centers. Las soluciones de seguridad fragmentadas, como firewalls en un permetro de red cambiable, no aseguran unos datos que ahora estn en constante movimiento entre dispositivos, redes y nubes. Incluso entre los Data Centers, que ahora alojan las joyas de la corona de las organizaciones (bigdata), la virtualizacin empieza a ser ms la regla que la excepcin. Para afrontar los desafos de seguridad que plantean la virtualizacin y la nube es necesario replantearse los mtodos de seguridad de acuerdo con este nuevo paradigma; hay que cambiar los controles perimetrales y los antiguos modelos de acceso y contencin para proteger el nuevo modelo empresarial.

2.1.2. Trabajadores conectados y privacidad de datos Otro factor que complica esta ecuacin de cualquiera a cualquiera son los trabajadores jvenes y mviles. Este grupo est convencido de que deben poder trabajar estn donde estn, con cualquier dispositivo que tengan a su alcance. En el Informe anual de seguridad de Cisco 2013 se han incluido los resultados del informe tecnolgico sobre un mundo conectado de Cisco 2012 (2012 Cisco Connected World Technology Report), que se basa en un estudio realizado en 2011 sobre el cambio de actitud de los estudiantes universitarios y jvenes profesiones del mundo hacia el trabajo, la tecnologa y la seguridad. Este ltimo estudio arroja ms luz sobre la actitud de estos trabajadores hacia la seguridad, y se centra especialmente en el tema de la privacidad y en hasta qu punto y frecuencia puede una empresa inmiscuirse en el deseo de un empleado de recorrer Internet mientras trabaja. Ese informe tecnolgico sobre un mundo conectado de Cisco 2012 tambin examina si la privacidad en lnea sigue siendo una preocupacin activa para todos los usuarios.

17

2.1.3. Proliferacin de terminales

Teniendo en cuenta que hoy en da menos del 1% de los objetos del mundo fsico estn conectados, hay un inmenso potencial para conectar lo esconectado4. Se espera que con un Internet que ya cuenta con aproximadamente 50 000 cosas conectadas, el nmero de conexiones alcance la cifra de 13 311 666 640 184 600 en el ao 2020. Con que solo una cosa se aada a Internet (50 000 millones + 1) el nmero de conexiones aumentar en otros 50 000 millones. En cuanto a los objetos que formarn parte de ese todo, se incluirn desde Smartphones a sistemas de calefaccin domsticos y desde turbinas elicas a automviles. Dave Evans, jefe de la seccin Futuro de Cisco en el Grupo de Soluciones Empresariales para Internet, describe el concepto de proliferacin de puntos terminales de la siguiente forma: Cuando su automvil se conecte a Internet de Todo en un futuro prximo, solo aumentar en uno los objetos que se integran en Internet. Pero piense en todos los otros elementos a los que puede conectarse su automvil: otros automviles, semforos, su hogar, el servicio de mantenimiento, los informes del tiempo, las seales de trfico... incluso la propia carretera. En el Internet de Todo lo ms importante son las conexiones. Son los tipos de conexiones, y no su nmero, lo que aportan un valor entre personas, procesos, datos y objetos. Y llegar el momento en el que el nmero de conexiones dejar atrs al nmero de cosas. La explosin de nuevas conexiones que ya empiezan a formar parte del Internet de Todo se ve impulsada principalmente por el desarrollo de cada vez ms dispositivos con IP, pero tambin por el aumento de la disponibilidad mundial de banda ancha y la llegada del IPv6. Los riesgos de seguridad que plantea el Internet de Todo no estn solo relacionados con la proliferacin de terminales que se relacionan libremente y nos acercan, da a da, a un mundo cada vez ms conectado, sino tambin con la oportunidad que tienen algunos sujetos malintencionados de utilizar cada vez ms vericuetos para poner en peligro a los usuarios, redes y datos. Las nuevas conexiones en s pueden provocar riesgos porque ponen en movimiento ms datos que necesitan proteccin en tiempo real, incluyendo los crecientes volmenes de big-data que las empresas siguen recopilando, almacenando y analizando. El Internet de Todo se est materializando rpidamente, por lo que los profesionales de seguridad deben cambiar su enfoque y dejar de simplemente asegurar terminales y el permetro de la red, asegura Chris Young. Habr demasiados dispositivos, conexiones y tipos de contenidos y aplicaciones, y el nmero no deja de crecer. Con este panorama, la propia red se convierte en parte del paradigma de seguridad que permite a las empresas ampliar las polticas y el control en distintos entornos.

18

2.2.

Los servicios se encuentran en muchas nubes

El componente con mayor crecimiento de esta increble proliferacin son los datos en la nube. El trfico mundial en la nube se sextuplicar durante los prximos cinco aos, con una tasa de crecimiento del 44% de 2011 a 2016. De hecho, en el ao 2016 el trfico mundial en la nube supondr casi dos tercios del trfico total de los Data Centers. Esta explosin del trfico en la nube plantea dudas sobre la capacidad de las empresas de administrar esta informacin. En la nube, las lneas de control son difusas: cmo puede una organizacin situar redes de seguridad alrededor de sus datos en la nube si no es la propietaria y gestora del Data Center? Cmo pueden aplicarse herramientas bsicas de seguridad como firewalls y software antivirus si no es posible definir el permetro de la red? Independientemente de las dudas de seguridad que surjan, est claro que cada vez ms empresas recurren a los beneficios de las nubes, y aquellas que lo han hecho no se muestran propensas a volver al modelo de Data Center privado. Aunque la nube ofrece a las organizaciones muchas oportunidades como la reduccin de costes, mayor colaboracin para la plantilla, productividad y una menor huella de carbono, los posibles riesgos de seguridad a los que se enfrentan las empresas por trasladar sus datos y procesos comerciales a la nube incluyen:

2.2.1. Hipervisores La violacin de este software que crea y ejecuta las mquinas virtuales podra poner en peligro los datos o provocar el hackeo masivo de mltiples servidores, ya que la facilidad de gestin y acceso que ofrece la virtualizacin correra a favor del ataque pirata. Un hipervisor no autorizado (o controlado mediante hyperjacking) podra hacerse con el control total de un servidor 2.2.2. Menor coste de acceso

La virtualizacin ha reducido el coste de acceso para proporcionar servicios como un servidor virtual privado (VPS). En comparacin con otros modelos de Data Centers basados en hardware, la infraestructura para realizar actividades criminales es cada vez ms barata, fcil y rpida de obtener. Por ejemplo, hay muchos servicios VPS de venta instantnea (que pueden comprarse mediante Bitcoin o algn otro tipo de pago de difcil seguimiento) especialmente pensados para el submundo criminal. Gracias a la virtualizacin la infraestructura es ms barata y fcil de conseguir, sin prcticamente ningn control de las actividades.

2.2.3. Separacin de aplicaciones virtualizadas Como las aplicaciones virtualizadas se han separado de los recursos fsicos que utilizan, cada vez es ms difcil para las empresas aplicar los enfoques tradicionales de seguridad. Los proveedores de IT buscan minimizar los costes con una oferta muy 19

flexible en la que pueden trasladar recursos segn sea necesario, en oposicin con el grupo de seguridad que busca ubicar juntos los servicios con caractersticas similares de seguridad y separarlos de aquellos que pueden ser menos seguros. La virtualizacin y el Cloud Computing ocasionan problemas parecidos a los el BYOD, solo que al revs, afirma Joe Epstein, anterior director ejecutivo de Virtuata, una compaa adquirida por Cisco en 2012 que ofrece innovadoras funciones para asegurar la informacin de mquinas virtuales en Data Centers y entornos en la nube. Ahora las aplicaciones y datos de mayor valor estn en movimiento en el Data Center. Y a las empresas les resulta incmoda la idea de las cargas de trabajo virtuales. En un entorno virtual, cmo se puede saber si lo que se est ejecutando es fiable? La respuesta es que hasta ahora no ha sido posible... y esa incertidumbre ha supuesto una gran barrera para la adopcin de la nube. Sin embargo, Epstein asegura que cada vez resulta ms difcil para las empresas ignorar la virtualizacin y la nube. El mundo va a compartirlo todo, asegura. Todo va a virtualizarse, todo va a compartirse. Ya no tendr sentido seguir ejecutando Data Centers privados; la IT evoluciona hacia las nubes hbridas. La respuesta a estos crecientes desafos de la nube y la virtualizacin es una seguridad gil y adaptable. En este caso, la seguridad debe ser un elemento programable que se integre a la perfeccin en el fabricante de Data Center, segn Epstein. Adems, la seguridad debe integrarse en la fase de diseo en lugar de embutirse tras la implementacin.

2.3.

La fusin del uso personal y laboral; el nuevo milenio y el lugar de trabajo

Segn el informe tecnolgico sobre un mundo conectado de Cisco 2012, dos tercios de los encuestados crean que los empleadores no deban supervisar las actividades en lnea de sus empleados con dispositivos proporcionados por la empresa. En resumen, creen que esas actividades no son asunto de sus empleadores. Solo un tercio (34%) de los trabajadores encuestados afirmaba que no le importaba si sus empleadores controlaban lo que hacan en lnea. Solo uno de cada cinco encuestados afirmaba que sus empleadores supervisaban sus actividades en lnea con los dispositivos propiedad de la empresa, y el 46% afirmaba que sus empleadores no supervisaban ninguna actividad. Los resultados del ltimo estudio de un mundo conectado tambin demuestran que los trabajadores del nuevo milenio tienen muy claro lo que piensan sobre los empleadores que vigilan la actividad en lnea de sus trabajadores, incluso aquellos que trabajan en empresas en las que esa vigilancia no se produce. En lo relativo a los desafos para los profesionales de seguridad, parece haber una disociacin entre lo que los empleados creen que pueden hacer con los dispositivos de 20

su empresa y las polticas de IT aplicables al uso personal. Cuatro de cada 10 encuestados afirman que en teora solo deben usar los dispositivos de la empresa para realizar su trabajo, mientras que una cuarta parte de ellos afirma que tienen permiso para utilizar dichos dispositivos para usos personales. Sin embargo, el 90% de los profesionales de IT encuestados afirmaba que existen polticas que prohben el uso personal de dispositivos de la empresa, aunque el 38% reconoce que los empleados infringen esa poltica y emplean los dispositivos para actividades personales, adems de las laborales.

2.4.

La privacidad y los trabajadores del nuevo milenio

De acuerdo con el informe tecnolgico sobre un mundo conectado de Cisco 2012, los trabajadores del nuevo milenio han aceptado que, gracias a Internet, la privacidad personal puede ser un concepto del pasado. El 91% de los jvenes consumidores encuestados afirma que la era de la privacidad ha llegado a su fin y cree que no puede controlar la privacidad de su informacin, y un tercio de ellos informa de que no le preocupa que se almacenen y recopilen datos sobre ellos. En general, los trabajadores del milenio tambin creen que su identidad en lnea es distinta de la fsica. El 45% de ellos afirma que esas identidades suelen ser distintas en funcin de la actividad en cuestin, y el 36% piensa que las identidades son completamente diferentes. Solo el 8% cree que las identidades son idnticas. Los jvenes consumidores tambin tienen altas expectativas sobre el celo con el que los sitios web cuidan la privacidad de su informacin y, a menudo, se sienten ms cmodos compartiendo datos en grandes redes sociales o comunidades en lnea por el grado de anonimato que ofrece la multitud. El 46% asegura que esperan que ciertos sitios web garanticen la seguridad de su informacin, y el 17% asegura que confan en que la mayora de los sitios web realmente lo hagan. Sin embargo, el 29% asegura que no solo no confan en los sitios web para que mantengan la privacidad de su informacin, sino que adems les preocupa mucho la seguridad y el robo de identidad. Estos datos resultan curiosos si se piensa en la idea de compartir datos con un empleador que tiene el contexto de quines son y lo que hacen. Los trabajadores del nuevo milenio estn entrando ahora en el mercado laboral, y traen consigo nuevos hbitos de trabajo y actitudes sobre la informacin y la seguridad relacionada con ella. Creen que el concepto de privacidad est desfasado (que en la prctica ya no es operativo y que las organizaciones deben responder a este paradigma), lo que puede resultar chocante para las generaciones anteriores con las que comparten lugar de trabajo asegura Adam Philpott, director de ventas de seguridad de EMEAR de Cisco. Sin embargo, las organizaciones pueden asegurarse de proporcionar a sus empleados formacin sobre seguridad de la informacin para advertirles de los riesgos y ofrecerles orientacin sobre la mejor forma de compartir informacin y aprovechar las herramientas en lnea respetando los lmites de seguridad de los datos.

21

2.5.

Big-data, La gran oportunidad para las empresas actuales

El informe tecnolgico sobre un mundo conectado de Cisco 2012 examinaba el impacto de la tendencia del big-data en las empresas, ms concretamente en sus equipos de IT. Segn los resultados del estudio, aproximadamente tres cuartas partes de las organizaciones (74%) de todo el mundo ya recopilan y almacenan datos, y sus directivos usan el anlisis del big-data para adoptar decisiones comerciales. Adems, siete de cada diez encuestados de IT aseguraban que el big-data ser una prioridad estratgica de su compaa y el equipo de IT en el siguiente ao. La aparicin y evolucin de la movilidad, la nube, la virtualizacin y la proliferacin de puntos terminales y otras tendencias de redes allanan el camino para un big-data aun mayor y oportunidades de anlisis para los negocios. Pero el bigdata plantea problemas de seguridad. El estudio sobre un mundo conectado de 2012 demuestra que un tercio de los encuestados (32%) cree que el big-data complica los requisitos de seguridad y la proteccin de los datos y las redes, dado que hay una inmensa cantidad de datos y demasiadas formas de acceder a ellos. En pocas palabras, el big-data aumenta los vectores y ngulos que deben cubrir los equipos y las soluciones de seguridad empresariales. Corea (45%), Alemania (42%), Estados Unidos (40%) y Mxico (40%) tienen el mayor porcentaje de encuestados de IT que creen que el big-data dificulta la seguridad. Para ayudar a garantizarla, la mayora de los encuestados de IT (ms de dos tercios, el 68%) cree que todo el equipo de IT debe participar en crear estrategias y liderar los esfuerzos de big-data en sus empresas. Gavin Reid, director de investigacin de amenazas de Cisco Security Intelligence Operations, asegura que El big-data no complica la seguridad: la hace posible. En Cisco recopilamos y almacenamos 2,6 billones de registros cada da, con lo que formamos la plataforma desde la que iniciamos la deteccin y el control de incidentes. En cuanto a las soluciones diseadas para ayudar a las empresas a administrar mejor y aprovechar el valor de su big-data, hay ciertas barreras para su adopcin. Los encuestados sealaron la falta de presupuesto o tiempo para analizar el big-data, as como la falta de soluciones adecuadas, personal de IT o conocimientos de IT. El hecho de que casi uno de cada cuatro encuestados en todo el mundo (23%) sealara la falta de conocimientos y personal como obstculo para que su empresa usara el big-data con eficacia indica la necesidad de ms profesionales de esta rea en el mercado laboral. La nube es otro factor para el xito del big-data, de acuerdo con el 50% de encuestados de IT del estudio sobre un mundo conectado de 2012. Creen que sus organizaciones necesitan elaborar planes e implementaciones en la nube para que el big-data valga la pena. Esta opinin era generalizada en China (78%) e India (76%), donde ms de tres de cada cuatro encuestados crean que exista cierta dependencia de la nube para que el big-data realmente pudiera despegar. Como resultado, en algunos casos el estudio indicaba que la adopcin de la nube afectara a la tasa de adopcin (y los beneficios) de los esfuerzos en big-data. Ms de la mitad de los encuestados generales de IT tambin confirmaban que las conversaciones sobre big-data en sus empresas an no haban dado frutos. Eso no es sorprendente si se tiene en cuenta que el mercado acaba de empezar a entender cmo aprovechar su big-data, analizarlo y usarlo de forma estratgica.

22

Sin embargo, en algunos pases el planteamiento del big-data comienza a redundar en importantes decisiones estratgicas, orientacin y soluciones. China (82%), Mxico 67%), India (63%) y Argentina (57%) son lderes en este sentido, y ms de la mitad de los encuestados de estos pases asegura que los proyectos de big-data en sus organizaciones estn en marcha y generan acciones y resultados favorecedores. Tres de cada cinco encuestados de IT del informe sobre un mundo conectado 2012 creen que el big-data ayudar a los pases y sus economas a hacerse ms competitivos en el mercado mundial.

2.6.

Estado de las vulnerabilidades, el peligro se esconde en los sitios ms extraos

La creencia general es que los sitios que promueven actividades delictivas, como los de venta de frmacos ilegales o de mercancas de lujo falsificadas, son los que tienen ms posibilidades de alojar malware. Nuestros datos revelan que esa creencia est desfasada, ya que las amenazas de malware web no son habituales en los sitios web malos del paisaje de amenazas actual. Los problemas de malware web se producen en cualquier lugar de Internet que reciba muchas visitas, incluyendo sitios web legtimos que visitan con frecuencia, incluso con fines comerciales, afirma Mary Landesman, investigadora snior de seguridad de Cisco. De hecho, los sitios web comerciales e industriales eran una de las tres principales categoras visitadas cuando se produjo un ataque de malware. Por supuesto, no se debe a que esos sitios web comerciales se disearan con fines perniciosos. Sin embargo, los peligros se ocultan a plena vista, en anuncios en lnea con vulnerabilidades o piratas que buscan la comunidad del usuario en los sitios comunes que ms visitan. Adems, los sitios web infectados con malware son comunes en muchos pases y regiones, no solo en uno o dos pases, lo que contradice la idea de que los sitios web de ciertas naciones son ms propensos a contener contenido daino que otros. La web es el mecanismo de distribucin de malware ms formidable que hemos visto hasta la fecha, superando incluso al virus o gusano ms prolfico en capacidad de llegar e infectar a una audiencia masiva de forma silenciosa e inexorable, afirma Landesman. Las empresas necesitan proteccin, aunque bloqueen los sitios malos ms comunes, con un examen y anlisis ms detallados.

2.6.1. Ataques de malware segn el tamao de la empresa Las mayores empresas (ms de 25 000 empleados) tienen ms de 2,5 veces el riesgo de sufrir malware web que las de menor tamao. Este aumento del riesgo puede deberse a que las empresas de mayor volumen poseen una propiedad intelectual de mayor valor, y son un objetivo ms codiciado. Aunque las empresas ms pequeas sufren menos ataques por usuario, es importante sealar que todas las compaas, sin importar su tamao, se enfrentan a un fuerte peligro de ataque de malware. Todas las organizaciones deben centrarse en asegurar su red y su propiedad intelectual. 23

2.6.2. Ataques de malware por pas Un estudio de Cisco muestra importantes cambios en el paisaje mundial de ataques de malware por pas en 2012. China, que fue la segunda de la lista de ataques de malware web en 2011 tuvo una notable bajada hasta la sexta posicin en 2012. Dinamarca y Suecia ostentan la tercera y cuarta posicin, respectivamente. Estados Unidos conserva la primera posicin en 2012, como ya hiciera en 2011, siendo el pas que aloj el 33% de los sitios web en los que produjeron ataques de malware web. Es probable que los cambios de distribucin geogrfica entre 2011 y 2012 reflejen cambios en la deteccin y los hbitos de los usuarios. Por ejemplo, el malvertising o malware distribuido mediante anuncios en lnea represent una mayor proporcin en los ataques de malware web en 2012 que en 2011. Cabe repetir que los ataques de malware en la web suelen producirse al navegar con normalidad en sitios web autnticos que pueden haber sido pirateados o que sin saberlo incluyen anuncios dainos. Los anuncios perniciosos pueden afectar a cualquier sitio web, independientemente de su origen. En general, los datos geogrficos de 2012 demuestran que la web es un agente infeccioso bastante ecunime, desmintiendo la idea generalizada de que hay pases ms seguros que otros en cuanto a alojamiento de malware web. Al igual que la distribucin dinmica de contenido de la Web 2.0 permite la rentabilizacin de sitios web en todo el mundo, tambin puede facilitar la distribucin mundial de malware web. Por supuesto, hay una gran diferencia entre el lugar en el que se produce un ataque de malware web y el lugar que, de hecho, aloja dicho malware. Por ejemplo, en los anuncios de malware, el ataque suele producirse cuando alguien visita un sitio web autntico y bien establecido que resulta que contiene publicidad de terceros. Sin embargo, el propio malware que se desea distribuir est alojado en un dominio totalmente distinto. Como los datos de Cisco se basan en dnde se produjo el ataque, no hay informacin sobre el origen real del malware. Por ejemplo, el aumento de popularidad de las redes sociales y los sitios de ocio en Dinamarca y Suecia, unida a los riesgos de los anuncios web, son en gran medida responsables del aumento de ataques en los sitios alojados en esas regiones, aunque esto no es indicativo del origen primero del malware.

2.6.3. Principales tipos de malware web en 2012 El malware para Android creci significativamente ms rpido que ninguna otra forma de malware distribuido por la red, lo que constituye una tendencia importante dado que Android parece ostentar la mayor cuota de mercado de dispositivos mviles del mundo. Es importante tener en cuenta que los ataques de malware mvil solo representan el 0,5% de todos los ataques de malware web de 2012, y Android asumi ms del 95% de todos estos ataques de malware web. Adems, 2012 fue testigo del primer botnet Android descontrolado, lo que indica que cabe vigilar el desarrollo de malware mvil durante 2013. Aunque algunos expertos aseguran que Android es la mayor amenaza o debera ser uno de los principales 24

objetivos para los equipos de seguridad de las empresas en 2013, los datos reales muestran otra cosa. Como se indica anteriormente, el malware web mvil en general representa menos del 1% total de los ataques, lo que se aleja mucho del escenario apocalptico que muchos vaticinan. No conviene exagerar el impacto del BYOD y la proliferacin de dispositivos, pero las organizaciones deben preocuparse ms por amenazas como la prdida de datos accidentales, asegurndose de que los empleados no desbloqueen la root de sus dispositivos ni los liberen, y que nicamente instalen aplicaciones de canales de distribucin oficiales y de confianza. Si los usuarios eligen acudir a tiendas de aplicaciones mviles que no sean oficiales, deben conocer al autor de la aplicacin y confiar en l, as como validar que el cdigo no ha sido manipulado. Viendo al amplio espectro de malware web, no es de sorprender que los scripts y los marcos iFrame representen el 83% de los ataques en 2012. Aunque esta tendencia es relativamente coherente con los aos anteriores, merece la pena cierta valoracin. Estos tipos de ataques a menudo representan cdigo daino en pginas fiables que los usuarios visitan todos los das, lo que significa que un atacante puede poner en riesgo a los usuarios sin siquiera levantar sospechas. El aprovechamiento de vulnerabilidades ocupa el segundo puesto, con un 10% del nmero total de ataques de malware web durante el ltimo ao. Sin embargo, esas cifras representan el lugar donde se produjo el bloqueo, no la concentracin real de aprovechamiento de vulnerabilidades en la web. Por ejemplo, el 83% de scripts dainos y marcos iFrames ocultos son bloqueos que se producen en una fase temprana, antes de que realmente se aproveche la vulnerabilidad, y por ello puede reducir artificialmente el nmero de vulnerabilidades observadas. El aprovechamiento de vulnerabilidades sigue siendo una importante causa de infeccin a travs de la web, y su presencia continuada destaca la necesidad de los proveedores de adoptar buenas prcticas de seguridad en los ciclos de vida de sus productos. Las organizaciones deben centrarse en la seguridad como parte del proceso de diseo y desarrollo de productos, con identificacin puntual de las vulnerabilidades y ciclos peridicos y frecuentes de parches. Las organizaciones y usuarios tambin deben ser conscientes de los riesgos de seguridad asociados con el uso de productos que ya no reciben soporte de sus proveedores. Tambin es vital que las organizaciones tengan un proceso central de gestin de vulnerabilidades y que los usuarios mantengan su hardware y software actualizados. Redondeando, los cinco principales de la lista son ladrones de informacin, con 3,5% de los ataques de malware web totales en 2012, descargadores troyanos (1,1%) y gusanos (0,8%). Una vez ms, esos nmeros reflejan dnde se produce el bloqueo, generalmente en el punto en el que el guion o marco iFrame daino ataca por primera vez. En consecuencia, estos nmeros no reflejan el nmero real de ladrones de informacin, descargadores troyanos o gusanos que se distribuyen a travs de la Web. 2.6.4. Principales tipos de contenido de malware Los creadores de malware buscan constantemente multiplicar el retorno de su inversin (ROI) alcanzando a la mayor poblacin de vctimas con el menor esfuerzo y aprovechan las tecnologas compatibles con varias plataformas siempre que les resulta posible. Con 25

este fin, los kits de herramientas de aprovechamiento de vulnerabilidades suelen distribuir los intentos en un orden especfico, de modo que cuando se ha encontrado una vulnerabilidad con xito, no se buscan ms. La alta concentracin de vulnerabilidades de Java (87% del total de ellas) demuestra que son la primera opcin antes de intentar otros tipos de amenazas y que los atacantes suelen tener xito con esas vulnerabilidades. Adems, al haber ms de 3000 millones de dispositivos ejecutando Java16, esta tecnologa representa un valor seguro para que los piratas extiendan sus ataques en mltiples plataformas. Otras dos tecnologas compatibles con varias plataformas (PDF y Flash) ostentan el segundo y tercer lugar en el anlisis de Cisco de principales tipos de contenido para distribucin de malware. Aunque las vulnerabilidades de Active X se siguen aprovechando, los investigadores de Cisco han detectado un uso cada vez menor de esta tecnologa como vehculo de malware. Sin embargo, como se mencion anteriormente sobre Java, el bajo nmero de un cierto tipo de vulnerabilidades solo refleja el orden en el que se intentan aprovechar las vulnerabilidades. Al examinar el contenido multimedia, los datos de Cisco revelan casi el doble de malware basado en imgenes que en vdeos que no sean de Flash. Sin embargo, esto se debe en parte a la forma en que los navegadores gestionan los tipos de contenido declarado y a los esfuerzos de los atacantes para manipular esos controles declarando tipos de contenido errneos. Adems, los sistemas de control y comando de malware a menudo distribuyen informacin de servidor mediante comentarios ocultos en archivos de imgenes normales.

2.6.5. Principales categoras de sitios Como muestran los datos de Cisco, la nocin de que las infecciones de malware suelen ser resultado de sitios peligrosos como los de software pirateado es un concepto errneo. Los anlisis de Cisco demuestran que la gran mayora de problemas de malware web en realidad se producen por la exploracin correcta de sitios web reales. O, lo que es lo mismo, la mayora de problemas se producen en los sitios web ms visitados por los usuarios en lnea, los que toman por seguros. El segundo puesto de la lista lo ocupan los anuncios en lnea, que representan el 16% del total de ataques de malware web. La publicidad sindicada es un mtodo comn de rentabilizar sitios web, por lo que un nico anuncio daino que se distribuya de este modo puede tener un impacto muy amplio y negativo. Si examinamos ms detalladamente la lista de categoras de sitios en los que se producen ataques de malware, el tercer lugar lo ocupan los sitios comerciales e industriales, que incluyen desde sitios empresariales a recursos humanos, pasando por servicios de transporte. Los juegos en lnea estn en cuarto lugar, seguidos de sitios de alojamiento web y motores de bsqueda, que ocupan el quinto y el sexto respectivamente. Las 20 categoras principales de sitios Web no incluyen los sitios que se suelen considerar perniciosos. Hay una rica mezcla de tipos de sitios populares y autnticos como compras en lnea (n 8), noticias (n 13) y aplicaciones SaaS/entre compaas (n 16).

26

Los ciberdelincuentes prestan gran atencin a los hbitos modernos de navegacin para exponer la mayor poblacin posible al malware web. Los creadores de malware irn all donde se encuentren los usuarios en lnea para aprovechar los sitios web de confianza mediante manipulacin directa o aprovechando las redes de distribucin de terceros.

2.6.6. Aplicaciones populares por coincidencias de bsqueda Los cambios de hbitos de los usuarios en lnea amplan el coto de caza en el que los ciberdelincuentes pueden aprovechar las vulnerabilidades. Las organizaciones de todos los tamaos adoptan las redes sociales y el vdeo en lnea; la mayora de marcas principales tienen presencia en Facebook y Twitter y muchos integran las redes sociales en sus propios productos. Estos destinos web atraen grandes audiencias y tienen gran aceptacin en los entornos de las empresas, por lo que ofrecen una excelente oportunidad para distribuir malware. De acuerdo con los datos de Cisco AVC (del ingls Application Visibility and Control, Visibilidad y control granular de aplicaciones), la gran mayora (91%) de solicitudes web se dividen entre motores de bsqueda (36%), sitios de vdeo en lnea (22%), redes de publicidad (13%) y redes sociales (20%). Si los datos sobre los principales sitios web visitados en Internet se relacionan con la categora ms peligrosa de sitio web, los mismos lugares en lnea a los que se exponen ms los usuarios son los de mayor exposicin al malware, como los motores de bsqueda, que son las principales zonas que propician los ataques de malware web. Esta relacin muestra una vez ms que los creadores de malware buscan obtener el mayor ROI posible, por lo que se centrarn en los lugares con mayor nmero de usuarios, donde haya mayor facilidad de exposicin.

2.7.

Evolucin de las amenazas; Nuevos mtodos, mismas vulnerabilidades

Esto no quiere decir que aquellos que actan en la sombra no sigan buscando herramientas y tcnicas cada vez ms avanzadas para poner en riesgo a los usuarios, infectar redes o robar datos confidenciales, entre muchos otros objetivos. Sin embargo, en 2012 se produjo una tendencia de retorno a los viejos mtodos comprobados para engaar o evitar la proteccin de seguridad de las empresas. Los ataques de negacin de servicio (DDoS) distribuida son un gran ejemplo: varias instituciones financieras importantes de EE. UU. Constituyeron objetivos de alto perfil de dos grandes campaas relacionadas e iniciadas por grupos de hacktivistas extranjeros en el ltimo semestre de 2012 (consulte la seccin Tendencias de negacin de servicio distribuida de 2012 si desea ms informacin). Algunos expertos de seguridad advierten que estos eventos son solo el principio y que hacktivistas, crculos de crimen organizado e incluso gobiernos soberanos podran estar en el origen19 de estos ataques en el futuro, trabajando tanto en colaboracin como de forma independiente.

27

Estamos observando una tendencia en la DDoS, en la que los atacantes proporcionan contexto adicional sobre el sitio objetivo para que la interrupcin sea ms significativa afirma Gavin Reid, director de investigacin de amenazas de Cisco Security Intelligence Operations. En vez de realizar una inundacin SYN, ahora la DDoS intenta manipular una aplicacin concreta de la organizacin, que al fallar puede provocar una serie de daos en cascada. Aunque las empresas pueden creer que estar bien protegidas contra la amenaza de DDoS, lo ms probable es que su red no pueda defenderse contra el tipo de inexorables ataques de DDoS de alto volumen observados en 2012. Incluso la seguridad de la red ms puntera y vanguardista se ve a menudo superada por adversarios avanzados, aunque mediocres, afirma Gregory Neal Akers, vicepresidente snior del grupo de iniciativas de seguridad avanzada de Cisco. Otra tendencia en la comunidad del cibercrimen est relacionada con la democratizacin de las amenazas. Estamos observando que aquellos que trabajan al margen de la legalidad comparten ampliamente herramientas y tcnicas, junto con la informacin sobre cmo aprovechar las vulnerabilidades. Se ha producido una gran evolucin en su capacidad de maniobra, afirma Akers. Estamos detectando una mayor especializacin y colaboracin entre agentes perniciosos. Se parece a una lnea de montaje: alguien desarrolla un error, otro escribe el malware, un tercero disea el componente de ingeniera social, y as sucesivamente. Uno de los motivos por el que los ciberdelincuentes combinan sus conocimientos con mayor frecuencia es para crear potentes amenazas que les ayuden a acceder a los grandes volmenes de activos de alto valor procedentes de la red. Pero al igual que cualquier organizacin real que externaliza tareas, la eficiencia y el ahorro de costes son uno de los principales impulsores del enfoque de creacin de amenazas de la comunidad de la ciberdelincuencia. Los expertos independientes que suelen contratarse para estas tareas suelen anunciar sus habilidades y tarifas en mercados en lnea secretos. 2.7.1. Utilizacin hostil de las tcnicas de evasin modernas Los ciberdelincuentes desarrollan constantemente nuevas tcnicas para evitar los dispositivos de seguridad. Los investigadores de Cisco buscan concienzudamente nuevas tcnicas y el uso hostil de tcnicas ya conocidas. El departamento de operaciones y estudio de seguridad de Cisco gestiona varios laboratorios de malware para observar el trfico malintencionado sin controlar. Se libera intencionadamente malware en el laboratorio para asegurar que los dispositivos de seguridad son efectivos, y tambin se dejan desprotegidos ordenadores para que sean vulnerables y se les expone a Internet. Durante una de esas pruebas, la tecnologa del Sistema de prevencin de intrusiones (IPS) de Cisco detect un ataque bien conocido de llamada de procedimiento remoto de Microsoft (MSRPC). Un exhaustivo anlisis determin que el ataque usaba una tctica nunca vista de evasin de malware para intentar omitir los dispositivos de seguridad28. La evasin envi varios ID de contexto de enlace dentro de la solicitud inicial de enlace. Este tipo de ataque puede evitar las barreras de proteccin a no ser que el IPS supervise y determine cul de los ID tuvo xito. 28

2.8.
.

Spam, ese intruso constante

Sin embargo, a pesar de la idea extendida de que el malware suele propagarse a travs de los archivos adjuntos de los correos electrnicos spam, el estudio de Cisco demuestra que muy pocos spammers confan hoy en este mtodo; en su lugar optan por vnculos dainos en el correo electrnico como mecanismo eficaz de distribucin. Adems, el spam es hoy en da menos generalista que en el pasado, y los spammers prefieren dirigirse a un grupo especfico de usuarios con la esperanza de obtener mejores beneficios. Los frmacos de marca, los relojes de lujo y acontecimientos como la declaracin de la renta son los principales productos que los spammers promocionan en sus campaas. Con el tiempo, los spammers han aprendido que la forma ms rpida de atraer clics y compras (y generar beneficios) es aprovechar marcas falsificadas y acontecimientos actuales que atraen a grandes grupos de usuarios.

2.8.1. Tendencias mundiales de spam Desde los desmantelamientos de las botnet a gran escala en 2010, el spam de gran volumen ya no es tan efectivo como sola ser, y los spammers han aprendido de ello y han cambiado sus tcticas. Hay una clara evolucin hacia campaas ms reducidas y mejor orientadas que se basan en acontecimientos mundiales o subconjuntos especficos de usuarios. El spam de mayor volumen es el que los proveedores de correo pueden detectar con ms facilidad y eliminar antes de que cumpla su propsito. En 2011, el volumen mundial total de spam se redujo en un 18%, lo que queda lejos de la formidable reduccin de volumen que tuvo lugar en 2010 tras el desmantelamiento de las botnet, aunque la continuidad de la tendencia de descenso no deja de ser positiva. Los spammers siguen concentrndose en minimizar el esfuerzo maximizando el impacto. Segn el anlisis de Cisco, los volmenes de spam se reducen en un 25% durante los fines de semana, momento en que los usuarios no suelen consultar su correo, y llegan a sus niveles ms altos los martes y mircoles, siendo de media un 10% superior a otros das laborables. Este pico de actividad a mediados de semana con volmenes ms reducidos durante el fin de semana permite a los spammers tener vidas normales, y les permite contar con tiempo para elaborar a principios de semana campaas personalizadas para eventos mundiales que les ayudarn a generar una mayor tasa de respuesta. En 2012 se produjeron varios ejemplos de spammers que aprovecharon acontecimientos mundiales, e incluso tragedias humanas, para aprovecharse de los usuarios. Durante el huracn Sandy, por ejemplo, los investigadores de Cisco detectaron un fraude masivo de venta de acciones basado en una campaa de spam. Los spammers usaron un mensaje de correo electrnico preexistente que animaba a invertir en acciones de precio muy reducido para la exploracin de recursos naturales, y a ese mensaje le adjuntaron titulares sensacionalistas sobre el huracn Sandy.

29

Algo poco habitual de esta campaa es que los spammers utilizaron direcciones IP nicas para enviar el lote de spam y no han vuelto a activar esas direcciones desde entonces.

2.8.2. Origen del spam En el mundo del spam, algunos pases se mantienen estables mientras que otros cambian sus posiciones radicalmente. En 2012, la India conserv el primer puesto como origen del spam mundial, y Estados Unidos ha ascendido desde la sexta posicin en 2011 a la segunda en 2012. En general, los cinco principales pases remitentes de spam son Corea (tercero), China (cuarto) y Vietnam (quinto). En general, la mayora de spammers centran sus esfuerzos en crear mensajes de spam en los idiomas hablados por las audiencias ms amplias que usen el correo electrnico con regularidad. De acuerdo con el anlisis de Cisco, los idiomas ms empleados para los mensajes de spam en 2012 fueron el ingls, el ruso, el cataln, el japons y el dans. Cabe destacar las diferencias entre el lugar de origen del spam y los idiomas que se utilizan en los mensajes; por ejemplo, aunque La India fue el principal pas remitente de spam en 2012, los dialectos de ese pas no entran dentro de los 10 principales idiomas empleados en el spam enviado. Lo mismo se aplica a Corea, Vietnam y China.

2.8.3.

Archivos adjuntos a correos electrnicos

Durante mucho tiempo se ha considerado el spam como un mecanismo de distribucin de malware, especialmente cuando incluye archivos adjuntos. Sin embargo, un anlisis reciente de Cisco sobre el uso de archivos adjuntos a correos electrnicos en campaas de spam demuestra que esta idea puede ser errnea. Solo el 3% de spam contiene archivos adjuntos, mientras que el 25% de los correos electrnicos vlidos lo tienen. Y en los raros casos en los que un mensaje de spam incluye archivos adjuntos, esos archivos son un 18% mayor que los que normalmente incluira un correo electrnico vlido, por lo que dichos archivos suelen destacar mucho. En el correo electrnico moderno, los enlaces son los reyes. Los spammers disean sus campaas para convencer a los usuarios de que visiten sitios web en los que pueden adquirir productos o servicios (a menudo dudosos). Una vez all, se recopila informacin personal de usuario, a menudo sin su conocimiento, o se les pone en riesgo de algn otro modo. En cuanto al anlisis de marcas falsificadas que aparece ms tarde en esta seccin, la mayora del spam procede de grupos que quieren vender mercanca muy especfica de marca, desde relojes de lujo a medicamentos, que en la mayora de los casos son falsos.

30

2.8.4. Spam IPv6 Aunque el correo electrnico basado en IPv6 sigue suponiendo un porcentaje muy reducido del trfico total, est creciendo a medida que los usuarios de correo electrnico se trasladan a la infraestructura con IPv6. Sin embargo, aunque los volmenes de correo electrnico totales estn creciendo rpidamente, el spam IPv6 no. Esto sugiere que los spammers se resisten a dedicar el tiempo y dinero necesarios para cambiar al nuevo estndar de Internet. Los spammers no tienen ningn motivo para realizar ese cambio en estos momentos y prcticamente no obtienen ningn beneficio de ello. Se espera que los spammers cambien su infraestructura y aceleren sus esfuerzos a medida que se agoten las direcciones IPv4 y los dispositivos mviles y la comunicacin entre mquinas impulsen un crecimiento exponencial del IPv6.

2.8.5. Marcas falsificadas Los spammers aprovechan los correos spam de marcas falsificadas para que organizaciones y productos enven sus mensajes esperando que los usuarios en lnea hagan clic en un vnculo o realicen compras. La mayora de marcas falsificadas son medicamentos como ansiolticos y analgsicos. Adems, las marcas de relojes de lujo son un ruido constante que se mantiene uniforme todo el ao. El anlisis de Cisco muestra que los spammers tambin tienen facilidad para vincular sus campaas a noticias. Desde enero a marzo de 2012, Cisco detect un pico de spam relacionado con software de Windows que coincidi con la comercializacin del sistema operativo Windows 8. Desde febrero a abril de 2012, durante la temporada de declaracin de la renta de EE. UU., el anlisis muestra un aumento vertiginoso del spam sobre software contable. Y en los periodos de enero a marzo y de septiembre a diciembre de 2012 (principios y finales de ao) hizo su entrada el spam relacionado con redes profesionales, quizs porque los spammers saben que la gente suele iniciar las bsquedas de trabajo en esos periodos del ao. De septiembre a noviembre de 2012, los spammers realizaron una serie de campaas simulando ser operadoras de telefona mvil, coincidiendo con la comercializacin del iPhone 5. En resumen: los spammers actan por dinero, y los aos les han enseado la forma ms rpida de atraer clics y compras ofreciendo frmacos y objetos de lujo, y adaptando sus ataques a eventos a los que el mundo presta gran atencin.

31

2.9.

Previsin de seguridad para 2013

Este informe ha demostrado que los atacantes se han vuelto cada vez ms avanzados, atacando los sitios web, herramientas y aplicaciones que los usuarios visitan con mayor frecuencia y les resultan menos sospechosos. Las amenazas actuales pueden infectar a gran nmero de usuarios de forma silenciosa y efectiva, sin discriminar por sector, empresa, tamao ni pas. Los ciberdelincuentes estn aprovechando el inmenso coto de caza que es el mundo de cualquiera a cualquiera, donde las personas emplean cualquier dispositivo para acceder a su red comercial. Y a medida que los mercados financieros mundiales, empresas e infraestructuras nacionales vitales continan su evolucin hacia servicios basados en la nube y conectividad mvil, cada vez resulta ms imprescindible un enfoque integrado y por capas de la seguridad para proteger el Internet de Todo. Los hackers y los ciberdelincuentes aprovechan que cada entidad pblica o empresa privada tiene su propio programa de seguridad de IT, afirma John Stewart. Vamos a conferencias y nos mantenemos en contacto, pero lo que de verdad tenemos que hacer es avanzar desde una seguridad de IT individualizada a un modelo de respuesta colectiva e intercambio de informacin en tiempo real. La creacin de una infraestructura de seguridad mejor no implica que deba ser ms compleja, de hecho es ms bien al contrario. Se trata de que la infraestructura y los elementos que la componen funcionen juntos, con ms inteligencia para detectar y mitigar amenazas. La rpida adopcin del BYOD, la existencia de mltiples dispositivos por usuario y el crecimiento de los servicios basados en la nube han puesto fin a la era en la que las funciones de seguridad se gestionaban en cada punto terminal. Debemos asumir un enfoque holstico que garantice que supervisamos las amenazas en todos sus vectores, desde el correo electrnico a la web, pasando por los propios usuarios, asegura Michael Covington, responsable de productos de Cisco SIO. Es necesario extraer la inteligencia de amenazas de las plataformas individuales para poder obtener una perspectiva de red. A medida que las amenazas llegan a usuarios y organizaciones desde mltiples vectores, las empresas deben recopilar, almacenar y procesar toda la actividad de red relacionada con la seguridad para entender mejor la amplitud y extensin de los ataques. Este nivel de anlisis puede aumentar segn el contexto de la actividad de red para poder tomar decisiones ms precisas y atinadas. Los atacantes cada vez son ms aventajados, por lo que las empresas deben integrar las funciones de seguridad en el diseo de la red desde el principio, incluyendo soluciones que anen la inteligencia de amenazas, las polticas de seguridad y los controles aplicables a todos los puntos de acceso de la red. Los atacantes cada vez estn mejor preparados, y las herramientas diseadas para repelerlos deben estar a su altura. La red ofrece un marco comn de comunicaciones entre plataformas, pero tambin proporciona un mtodo para proteger los dispositivos, servicios y usuarios que la usan regularmente para intercambiar contenido delicado. La red del maana es una red inteligente con un marco de colaboracin que permite de ofrecer una seguridad mucho mayor de la que ofrece la suma de sus componentes individuales. 32

3. ESET NOD 32
3.1. Informe anual de Seguridad 2012

3.1.1. Enero: Cierre de Megaupload Comenzbamos el ao con la noticia del cierre de Megaupload y todas las reacciones que se produjeron especialmente de grupos hacktivistas como Anonymous. Hubo mltiples ataques, especialmente contra las agencias encargadas de gestionar los derechos de autor y contra empresas como Sony. En varios pases, pero tambin en el nuestro, vimos cmo se hacan pblicos algunos datos privados de los responsables de la ley Sinde, empezando por los de su promotora, ngeles Gonzlez Sinde, y los del actual Ministro de Educacin, Cultura y Deporte, Jos Ignacio Wert. Estos datos incluan domicilios, telfonos personales, datos de familiares e incluso fotografas de su residencia, estando a disposicin de cualquiera que quisiera consultarlos. En enero tambin vimos varias intrusiones importantes, como la que sufri la web de venta online de zapatos Zappos.com, propiedad de Amazon.com. En esta intrusin se comprometieron los datos de 24 millones de clientes, pero no fue la nica ya que grandes empresas como T-Mobile o incluso la Universidad de Harvard se vieron afectadas. Durante ese mes analizamos una vulnerabilidad en ciertos modelos de cmaras web que permita observar lo que estuviesen viendo en ese momento miles de estos dispositivos. Aun hoy, son muchos los usuarios que desconocen este fallo y pueden ser vigilados por cualquiera como si de un Gran Hermano global se tratase. Las redes sociales tambin fueron campo de propagacin de amenazas y engaos, como los que prometan volver a la versin anterior del Timeline de Facebook o el uso de fotografas llamativas para engaar a los usuarios y hacerlos completar innumerables encuestas. Enero tambin fue el mes en el que Microsoft decidi terminar con el soporte de Internet Explorer 6 y en el que Apple retir de su iTunes Store la aplicacin WhatsApp por supuestos fallos de seguridad.

3.1.2. Febrero: En San Valentn, novios mil En febrero observamos cmo se volva a utilizar la festividad de San Valentn para propagar engaos y amenazas. Usando diversas tcnicas, los ciberdelincuentes propagaban sus creaciones y observamos cmo seguan usando tcnicas clsicas, como el envo de emails con enlaces o adjuntos maliciosos. Tambin se usaron las redes sociales como vector de ataque, llenndose Facebook, Twitter e incluso LinkedIn de enlaces con motivos de San Valentn que ofrecan 33

diversos premios. Entre estos enlaces encontramos varios que promocionaban falsas farmacias online. Las actividades de los grupos hacktivistas tambin estuvieron presentes este mes realizando acciones como, por ejemplo, publicar los datos personales de miles de usuarios de foros neonazis o datos de acceso a Youporn. No obstante, la accin que ms repercusin tuvo en Espaa fue la filtracin de datos que realiz Anonymous durante la celebracin de los Goya y que contena datos personales de usuarios almacenados en servidores de la Academia de Cine. Durante este mes vimos varios casos de webs legtimas que estaban usndose para propagar malware, algo que se repetira a lo largo del ao y que, en esta ocasin, afectaba a versiones vulnerables de Wordpress. El FBI anunci su intencin de desconectar los servidores usados por el malware DNSCHanger, accin que podra haber ocasionado que miles de usuarios infectados perdiesen el acceso a Internet. El popular ransomware conocido como Virus de la polica continu infectando miles de ordenadores en Espaa y alrededor de Europa, pidiendo un rescate a los usuarios para poder desbloquear sus sistemas. Esto no evit que se siguiesen distribuyendo amenazas clsicas en forma de phishing a varios bancos o estafas que hacan creer a sus vctimas que haban ganado una supuesta lotera con motivo de las Olimpiadas de Londres.

3.1.3. Marzo: Ai si te pego, ai, ai Como ya vimos en el resumen del mes anterior, el Virus de la Polica representaba una de las principales amenazas para los usuarios. Durante marzo se detectaron mltiples variantes de este malware y fueron bastantes los usuarios que vieron sus ordenadores afectados por este cdigo malicioso que suplanta a la Polica de varios pases y pide un rescate por desbloquear el ordenador. Mac tambin sufri los efectos del malware, principalmente de dos amenazas. La primera de ellas, OSX/Imuler, simulaba ser fotos de la modelo Irina Shayk que, al intentar ser abierta por el usuario, ejecutaba el malware en el dispositivo. Por su parte, Flashback segua evolucionando para afectar al mayor nmero de usuarios posible, algo que comprobaramos el mes siguiente. Java sigui usndose como vector de ataque y, debido a sus caractersticas multiplataforma, fueron varias las amenazas que se aprovecharon de vulnerabilidades en este software para propagarse. Entre estas amenazas encontramos tambin ataques dirigidos, como los sufridos por varias organizaciones pro-Tbet y que detectaban el sistema operativo usado para lanzar un exploit diferente para cada uno de ellos.

Una vulnerabilidad en la implementacin del protocolo RDP en sistemas Windows hizo saltar todas las alarmas y Microsoft tuvo que explicar cmo mitigar esta amenaza para evitar una infeccin masiva en miles de sistemas vulnerables.

34

Asimismo, Microsoft fue noticia al ayudar a desmantelar varias botnets basadas en el conocido malware Zeus. Por su parte, ESET colabor con las autoridades de Georgia para desmantelar una botnet que tena como objetivo espiar al gobierno de ese pas de Europa del Este. Otros vectores clsicos de propagacin como el spam consiguieron propagar amenazas usando como gancho a jugadores del F.C. Barcelona como Alexis, Piqu y su novia, la famosa cantante Shakira o al cantante brasileo Michel Tel. De esta forma atraan la atencin de sus vctimas y obtenan sus datos bancarios bien usando tcnicas de phishing o troyanos bancarios.

3.1.4. Abril: Lluvia de amenazas para Mac Durante este mes, el protagonismo fue sin duda de Flashback, el troyano para sistemas Mac OS que contaba ya con varias variantes a sus espaldas. Fue en abril cuando se descubri una botnet compuesta con ms de 600.000 usuarios infectados principalmente por contar con una versin vulnerable de Java y que Apple no actualiz a tiempo. Otras amenazas para Mac como OSX/Sabpab quisieron aprovecharse de este agujero de seguridad y decidieron incorporar estas vulnerabilidades en Java como vectores de propagacin. Las webs legtimas vulnerables siguieron siendo aprovechadas por los ciberdelincuentes para propagar sus amenazas entre usuarios confiados. Este mes comprobamos cmo se poda comprometer la seguridad de 180.000 webs usando una simple inyeccin SQL. El ransomware sigui haciendo de las suyas y al Virus de la Polica se le unieron otros como Win32/Ransomcrypt y otras variantes que infectaban el sistema y reemplazaban el MBR original por uno propio impidiendo que el sistema arrancase normalmente hasta que el usuario ceda al chantaje. Los mviles con sistema operativo Android tuvieron durante este mes un goteo constante de malware como, por ejemplo, RootSmart, evolucin de otra amenaza anterior y que permita ganar permisos de administrador en el dispositivo infectado. De nuevo volvimos a observar un supuesto ataque dirigido cuando el Ministerio del Petrleo iran y otras empresas asociadas anunciaron haber sido vctimas de un gusano informtico. Al parecer, no se vio comprometido ningn documento oficial y tan solo se desconectaron temporalmente algunas refineras para evitar que sufrieran daos. Con respecto a intrusiones y filtraciones de datos, Nissan y VMWare anunciaron que algunas de sus redes se vieron comprometidas y se haba conseguido acceder a datos confidenciales que llevaron a la filtracin de alguno de estos. Por su parte, Microsoft alert de la existencia de una vulnerabilidad en Hotmail que permita a un atacante acceder a las cuentas de los usuarios y cambiar las contraseas. Esta vulnerabilidad fue aprovechada, sobre todo, en pases rabes.

35

3.1.5. Mayo: El mes de las Redes Durante este mes, miembros espaoles de Anonymous protagonizaron una intrusin en una importante multinacional especializada en sanidad y con muchos intereses econmicos en Espaa, para protestar contra los recortes en sanidad. Twitter anunci cambios en sus polticas de privacidad que no gustaron a sus usuarios. Asimismo, tambin sufri una filtracin de ms de 55.000 nombres de usuario y contraseas de otras tantas cuentas de usuarios. Tambin durante este mes se descubri un exploit que se aprovechaba de una vulnerabilidad en Skype para obtener las IP de nuestros contactos. Por su parte, la conocida herramienta Sudo, usada en sistemas basados en el kernel de Linux, tambin tuvo problemas de seguridad. El esperado lanzamiento del videojuego Diablo III provoc que algunos ciberdelincuentes se aprovecharan del inters de muchos jugadores para engaarles y conducirles a webs fraudulentas. Un buen nmero de estos usuarios se quej pocos das despus del robo y venta de sus cuentas. Apple volvi a encontrarse en el centro del huracn tras un error en la actualizacin del sistema operativo Lion que permita acceder a contraseas de los usuarios y a archivos supuestamente protegidos. Por su parte, la seguridad de iOS fue rota de nuevo al presentarse una nueva herramienta que permita realizar jailbreak. Yahoo! cometi un grave descuido al lanzar una nueva extensin para el navegador Chrome e incluir su clave privada. El Virus de la Polica segua causando problemas a los usuarios y cambi su estrategia hacindose pasar por una denuncia de la SGAE. Tambin observamos varios casos de phishing con varios bancos como objetivos. Otros servicios como Skydrive de Microsoft fueron usados como ganchos en una nueva campaa de spam con enlaces maliciosos preparados para robar contraseas de Windows Live.

3.1.6. Junio: filtraciones y ms filtraciones El malware protagonista de este mes fue Flame, una nueva ciberamenaza diseada para espiar y obtener informacin de ciertos pases, especialmente de Irn. No obstante, no fue el nico ataque dirigido descubierto durante este mes, puesto que investigadores de ESET descubrieron Medre, un nuevo gusano especializado en robar diseos realizados con Autocad y enviarlos a emails en China. Per fue el pas ms afectado por este caso de espionaje industrial aunque tambin se encontraron casos en otros pases de habla hispana. Las filtraciones de datos siguieron estando a la orden del da, afectando a un elevado nmero de empresas, LinkedIn entre ellas. Esta red social vio cmo alrededor de 6,4 millones de cuentas de usuarios fueron comprometidas. Poco despus, la red social eHarmony, tambin anunci la filtracin de informacin de 1,5 millones de sus usuarios. Twitter tambin vio cmo los hacktivistas publicaban 10.000 nombres de usuario y contraseas aprovechando una vulnerabilidad en TweetGif. Por otra parte un supuesto ataque de hacktivistas dej sin acceso a Facebook a miles de usuarios. 36

Tambin los jugones vieron cmo uno de los juegos online ms conocidos del momento, League of Legends, sufra una filtracin de datos de usuarios registrados en Europa y Asia. Los ciberdelincuentes aprovecharon vulnerabilidades en Microsoft XML para propagar malware usando Internet Explorer. Otra vulnerabilidad en el software de bases de datos MySQL y Maria DB poda ser aprovechada para acceder como administrador. Con respecto a vulnerabilidades en sistemas SCADA, estos fueron tambin el objetivo de hacktivistas. Algunos de ellos consiguieron acceder a los sistemas de gestin de varias aerolneas, a los sistemas de control de pacientes de varios hospitales y a varias redes internas de entidades bancarias como Cobank o Citibank. Durante junio el malware tradicional tambin hizo de las suyas usando el envo de enlaces y ficheros adjuntos maliciosos, como los que recibieron en la empresa Digitalbond en forma de emails con ficheros PDF modificados adjuntos que contenan, en realidad, una herramienta de control remoto para acceder a los sistemas comprometidos.

3.1.7. Julio: destape frente al calor! Este mes pudimos asistir a Blackhat USA y Defcon en Las Vegas, donde vimos muchas charlas interesantes. Entre estas, destacamos las que dieron dos investigadores espaoles y que descubrieron graves vulnerabilidades en el sistema de transporte pblico espaol y en OVH, uno de los proveedores de servicios ms grande de Europa. En Espaa se destap la existencia de una red de espionaje encargada de investigar a todo tipo de personalidades. La Operacin Pitiusa contaba con informadores en todo tipo de organismos oficiales y empresas privadas que se encargaban de recopilar datos privados. Grum, la tercera mayor botnet a nivel mundial fue desmantelada ese mes y con ella un tercio del envo de spam a nivel global. Asimismo, ESET descubri Dorkbot, una botnet especialmente activa en pases hispanohablantes y que robaba informacin personal del usuario. Las tiendas de aplicaciones de Apple y Android vieron cmo se les colaba una aplicacin maliciosa y recopilaba datos de los contactos para enviarles spam. Tambin vimos cmo el exportero Caizares publicaba accidentalmente fotos de su mujer desnuda en su cuenta de Twitter. Asimismo, analizamos la aparicin de un nuevo malware para Android en China que compraba aplicaciones sin consentimiento del usuario.

37

Apple sufri el ataque de un nuevo malware de nombre OS/X Crisis. Esta amenaza utilizaba tcnicas de ofuscacin para evitar ser detectado, realizando funciones de puerta trasera, aunque no consigui una propagacin destacable. Muchas fueron las webs afectadas por filtraciones de datos durante este mes como por ejemplo Yahoo! con alrededor de 453.000 credenciales de acceso filtradas. El sitio de Android Forums tambin vio cmo se filtraban ms de un milln de credenciales. Las redes sociales sufrieron el clsico engao de enlaces maliciosos en Facebook que intentan que los usuarios pulsen sobre enlaces preparados especialmente para despertar la curiosidad. Una vulnerabilidad en Kindle Touch permita que se ejecutase cdigo solo con visitar una web. No tard en usarse este agujero de seguridad para liberar el dispositivo aunque tambin podra ejecutarse cdigo malicioso y obtener las credenciales del usuario.

3.1.8. Agosto: los Juegos Olmpicos y la Supercopa, a escena! Durante este mes se descubrieron varias vulnerabilidades en el software de Java que hicieron que se convirtiera una vez ms en el vector de ataque preferido por muchos atacantes. El uso de falsas noticias y el aprovechamiento de la popularidad de eventos como los Juegos Olmpicos fueron varios de los ganchos usados para atraer a los usuarios a pulsar sobre enlaces maliciosos y abrir ficheros adjuntos. Asimismo, fueron varias las marcas famosas usadas como reclamo en casos de phishing. La red social espaola Tuenti vio cmo algunos ciberdelincuentes se intentaban aprovechar de su cambio de look para preparar portales falsos y capturar contraseas. Por su parte, Twitter tuvo un alto protagonismo en el partido de vuelta de la Supercopa ya que varias cuentas de famosos futbolistas fueron secuestradas. Durante agosto analizamos el malware Dorifel/Quervar, que infectaba archivos de Word y Excel, cifrndolos a continuacin y convirtindolos en ejecutables. Otra amenaza dirigida conocida como Shamoon afect a la mayor compaa petrolera del mundo, infectando alrededor de 30.000 ordenadores. Dentro de las amenazas sofisticadas analizamos Raksha, un malware persistente con uso de tecnologa Bootkit que podra llegar a convertirse en una amenaza de difcil eliminacin.

38

Las amenazas diseadas para dispositivos mviles continuaron apareciendo, como la nueva variante de Android/Spy. Zitmo que permita su control mediante mensajes de texto o el protocolo HTTP. Grandes empresas como Philips vieron cmo se filtraban miles de correos electrnicos internos mientras que otra gran intrusin consigui ms de un terabyte de datos de empresas como la CIA, el MIT, grupos financieros de Wall Street y gobiernos como el de Estados Unidos, China y Japn. Por otra parte, en Espaa seguimos observando varias estafas y engaos en webs de compra/venta de artculos de segunda mano. Los estafadores compraban o vendan artculos, pidiendo que se enve el artculo o el dinero a un pas africano.

3.1.9. Septiembre: otra vez Facebook, Twitter... y Mahoma! Facebook fue protagonista de varios incidentes de seguridad y privacidad. Por una parte se aprob el sistema de publicidad Premium que permite a las empresas enviar publicidad personalizada. Tambin vimos un fallo en el diseo de Facebook que permitira a otro usuario publicar algo en nuestro muro e impedir que lo eliminramos. Asimismo, la supuesta publicacin de un vdeo comprometido en Facebook y su propagacin en enlaces de Twitter hizo que muchos usuarios instalasen un falso cdec con malware. WhatsApp tambin fue usada como gancho para atraer a los usuarios a instalar una versin falsa de una aplicacin pero lo nico que conseguan era realizar encuestas y llenar sus muros de Facebook de basura. Asimismo otro escndalo relacionado con la privacidad afect a una concejal cuando se difundi por este medio un vdeo ntimo. Las filtraciones y robo de datos tambin estuvieron presentes y vimos casos como el del robo de 12 millones de datos identificativos de usuarios de Apple, la filtracin de 100.000 nombres de usuario y contraseas de personal de Google, IBM, Oracle, Samsung y Apple, la publicacin de datos fiscales del candidato republicano a las elecciones presidenciales de EE.UU., Mitt Romney o laintrusin en varios de los servidores del sistemas de moneda virtual Bitcoin, desde donde se robaron alrededor de 24.000 Bitcoins. Con respecto a actividades hacktivistas, destacamos todo el revuelo tras la publicacin de un polmico vdeo y unas vietas satricas del profeta Mahoma, lo que ocasion las protestas de grupos radicales musulmanes dejando varias webs inaccesibles. Las vulnerabilidades en software estuvieron presentes de la mano de Java al descubrirse una vulnerabilidad crtica. Por su parte, Microsoft solucion una grave vulnerabilidad en Internet Explorer y tambin fue protagonista por los cambios realizados en su poltica de privacidad y por su colaboracin en la desmantelacin de una botnet emergente.

39

Adobe tambin tuvo su racin de vulnerabilidades en varios productos como Photoshop CS6, ColdFusion y Flash Player. Esta empresa sufri adems una intrusin en uno de sus servidores que provoc el robo de un certificado que permite firmar sus propias herramientas. Se descubrieron agujeros de seguridad graves en varios modelos de mviles Android y terminales iPhone, entre las que destacamos la vulnerabilidad que dejaba inutilizados terminales Android con solo visitar un enlace malicioso.

3.1.10. Octubre: el mes de los robos de informacin

Redes sociales y servicios de mensajera fueron usados durante ese mes para propagar malware como el gusano Dorkbot, que se haca pasar por una foto de perfil. Twitter empez a ser usado por los ciberdelincuentes para reclutar a muleros y tambin fue el canal por el cual la presentadora Paula Vazquez public su nmero de telfono y recibi miles de llamadas. El spam tambin tuvo su protagonismo y vimos varios tipos de correos maliciosos que se hacan pasar por avisos de Facebook, recibos de fax digital, avisos de LinkedIn o respuestas a mensajes publicados en foros que contenan enlaces maliciosos. Los colectivos hacktivistas realizaron varios ataques encontrndose entre las vctimas 57 de las universidades ms prestigiosas del mundo, varios sitios del Gobierno australiano, Orange, la NASA o el estado de Carolina del Sur. Una de las acciones que ms repercusin obtuvo fue el defacement que sufri la web de la polica britnica mientras que en Espaa se realizaron varios ataques a webs de varios partidos polticos de las que se obtuvo informacin confidencial. Los jugones tambin se vieron en el punto de mira de los atacantes con ejemplos como la muerte virtual de varios personajes de World of Warcraft aprovechndose de un exploit, el uso de Bad piggies como reclamo para que los usuarios se descargasen aplicaciones maliciosas o la publicacin de un anlisis que demostraba cmo aprovecharse del manejo de direcciones web desde Steam para engaar al usuario y llevarlo a un enlace malicioso. Durante octubre observamos todo tipo de vulnerabilidades como las presentes en varios modelos de cmaras IP que permiten ver lo mismo que ve la cmara. Adems de las habituales vulnerabilidades en el software de Java o aplicaciones de Adobe se descubrieron varias en Firefox que permitan a un atacante descubrir las webs visitadas por los usuarios o ejecutar cdigo arbitrario en el sistema.

40

El sistema Mac OS X de Apple adopt una medida drstica al eliminar el complemento de Java de sus sistemas para as evitar nuevos agujeros de seguridad. Mientras tanto, el 26 de este mes Microsoft lanz al mercado la nueva versin de su sistema operativo Windows 8.

3.1.11. Noviembre: Skype, WhatsApp, Deusto... hasta Pipi Estrada En noviembre tuvieron especial protagonismo las filtraciones de datos desde telfonos mviles. Por una parte, la filtracin de la agenda del periodista Pipi Estrada provoc que numerosos famosos recibieran cientos de llamadas y mensajes de desconocidos. Por otra parte, el supuesto caso de difusin de fotos erticas de estudiantes de Deusto acapar titulares en la mayora de medios de comunicacin. Tras una investigacin, descubrimos que se trataba todo de un engao y que las fotos no pertenecan a los estudiantes de esa universidad. La seguridad en dispositivos mviles sigui provocando casos como el del troyano Boxer, amenaza para Android presente en 63 pases. Aplicaciones como Instagram sufrieron vulnerabilidades que permitan acceder y modificar de forma no autorizada al contenido de la cuenta del usuario. Por su parte, WhatsApp vio cmo se propagaban numerosos bulos como el que indicaba que la aplicacin pasara a cobrar por los mensajes. Skype sufri una grave vulnerabilidad en su sistema de recuperacin de cuentas que permita hacerse con el control de cualquier cuenta solo conociendo el email asociado. Twitter bloque accidentalmente y forz un cambio de contrasea a 140 millones de usuarios tras un incidente con varias cuentas involucradas. Los hacktivistas lanzaron una serie de operaciones que ocasionaron numerosos ataques y filtraciones a todo tipo de webs y afectando a empresas como VMWare, Imageshack o incluso a miembros del Gobierno de Estado Unidos. El otro foco de atencin se encontraba en la #OpIsrael donde tambin se produjeron numerosas filtraciones como protesta a los bombardeos de Israel en la franja de Gaza. En materia de espionaje internacional vimos cmo se propagaba un troyano especializado en robar archivos .jpg, jpeg y .dmp y que los enviaba a un servidor en Oriente Medio. Asimismo, dos pases aliados como Francia y EE.UU. tambin se vieron envueltos en una trama de espionaje al descubrirse una intrusin en la red del Gobierno francs. En Espaa vimos cmo la nueva web del Senado, con un coste superior al medio milln de euros, presentaba fallos de seguridad mientras que, a nivel internacional, el servicio de alojamiento GoDaddy comprob cmo webs que alojaba se estaban usando para propagar ransomware.

41

3.1.12. Diciembre: el acabose... En el mes que cerraba el ao en el que, segn el Centro Criptogrfico Nacional, las altas instituciones del Gobierno de Espaa han recibido el mayor nmero de ciberataques, vimos toda una serie de ataques y filtraciones por parte de grupos hacktivistas. Siguiendo con las operaciones iniciadas el mes anterior entre partidarios de Israel y de pases musulmanes vimos toda una serie de ataques a webs de los que se filtraron miles de datos privados. En Oriente Medio, la #OpSyria sigui condenando los ataques del Gobierno sirio a su poblacin, producindose incluso la desconexin durante unas horas de Internet del pas entero, aunque no qued claro quin realiz esta accin. Universidades de todo el mundo y varias agencias aeroespaciales tambin fueron vctimas de este tipo de ataques donde se hicieron pblicos datos supuestamente privados y miles de credenciales de acceso. Pero no fueron los nicos en sufrir estos ciberataques ya que varias webs de contenido pornogrfico vieron cmo se publicaban miles de credenciales de acceso a servicios online de pago. Asimismo, Anonymous inici una campaa para exponer a pederastas usuarios de Twitter para que se tomasen acciones contra ellos. Twitter y Facebook fueron vctimas de una vulnerabilidad que permita publicar actualizaciones en nombre de otros usuarios usando SMS. A su vez, Facebook, junto a muchos otros servicios de Google experimentaron cadas durante un buen rato el mismo da. Facebook tambin anunci el cambio de sus polticas de privacidad tras realizar una encuesta entre sus usuarios en la que apenas hubo participacin. Por su parte, Instagram fue protagonista de un gran revuelo cuando anunci cambios en su poltica de propiedad intelectual que, resumidamente, le daba derecho a hacer lo que quisiera con las fotos de los usuarios. Hotmail vio publicada una vulnerabilidad que permita el robo de sesiones aunque se encontrasen cerradas. A su vez, Oracle anunci que empezara a actualizar automticamente a los que usasen versiones antiguas de Java. Mientras tanto, en Wordpress se public una vulnerabilidad en uno de sus complementos ms famosos que podra usarse para obtener contraseas e informacin de la base de datos.

42

3.2.

Informe cuatrimestral de seguridad

3.2.1. Enero: el mes de las vulnerabilidades Si tuviramos que asignar un nombre propio al mes de enero relativo a la seguridad le llamaramos vulnerabilidad, porque esta ha sido la tnica general de los acontecimientos con mayor repercusin, entidad y alcance durante enero. Facebook y Twitter, siguiendo la tendencia de los ltimos meses, tambin han estado en el punto de mira, tanto por problemas de seguridad como de privacidad. Empezbamos el ao con el descubrimiento de una nueva vulnerabilidad en el navegador Internet Explorer, vulnerabilidad que se estaba aprovechando para, por ejemplo, propagar malware desde la web de la importante organizacin Council en Foreign Relations. Esta vulnerabilidad estaba presente en las versiones 6, 7 y 8 de Internet Explorer, por lo que el nmero potencial de vctimas era muy elevado. A pesar de no haber lanzado un parche de seguridad en las actualizaciones peridicas que Microsoft publica cada segundo martes de cada mes, la solucin solo tard unos pocos das ms, lo que, aparentemente, ha ayudado a contener el nmero de usuarios afectados. Otro de los principales protagonistas en temas de seguridad del primer mes del ao fue Java. El descubrimiento de una nueva vulnerabilidad en la versin ms reciente hasta ese momento del software de Java activ todas las alarmas, puesto que se comprob que estaba siendo incluida en los principales kits de exploits para as explotarla de forma activa. Una de las primeras amenazas que no dud en aprovecharse de esta nueva vulnerabilidad para propagarse fue una variante del conocido como Virus de la Polica, incluyendo variantes destinadas a usuarios espaoles. Como ya vimos en casos anteriores, estas amenazas utilizaban sitios legtimos que haban visto comprometida su seguridad para propagarse e infectar al mayor nmero de usuarios posible. A los pocos das de conocerse la noticia de esta nueva vulnerabilidad, Oracle lanz una actualizacin que, aparentemente, la correga. No obstante, el anlisis a fondo de este parche desvel que solo se solucionaba parcialmente el problema y que la vulnerabilidad segua presente, pudiendo ser explotada. A raz de esto, pudimos ver cmo en varios foros underground se empezaba a vender una nueva vulnerabilidad para Java a un precio relativamente bajo. Asimismo, esta vulnerabilidad junto con la anteriormente mencionada en Internet Explorer se us en un supuesto caso de ciberespionaje a organizaciones no gubernamentales, organismos oficiales y empresas discrepantes con el Gobierno chino. Alojando un malware en el sitio web de la organizacin francesa Reporteros sin fronteras se consigui afectar a objetivos como organizaciones de derechos humanos

43

del pueblo tibetano y la etnia uigur, as como tambin partidos polticos de Hong Kong y Taiwan, entre otras. Este mes tambin fue bastante prolfico en cuanto a agujeros de seguridad en dispositivos mviles. Por una parte se anunci una vulnerabilidad en cierto modelo de routers de la marca Linksys. Segn los investigadores que la hicieron pblica se podra tomar el control de este modelo de router incluso con la ltima versin del firmware disponible instalada. No obstante, la informacin incompleta proporcionada (fcilmente manipulable) y el hecho de que se trate de un modelo antiguo del cual muchas unidades no llevan el firmware oficial, limitaba mucho los efectos de esta vulnerabilidad. Asimismo, hicimos un repaso a la seguridad de millones de dispositivos conectados a Internet y que se encuentran expuestos a ataques o intrusiones no autorizadas. En meses anteriores hemos comentado los casos de cmaras IP, Smart TVs o impresoras. Aunque no son pocos los avisos que se han realizado al respecto en los ltimos meses, aun hoy hay una cantidad importante de dispositivos vulnerables expuestos en Internet.

3.2.1.1.

De nuevo, Facebook

Durante este mes, las redes sociales tambin tuvieron su parte de protagonismo con varios temas relacionados con su seguridad y privacidad. Facebook, por ejemplo, solucion una vulnerabilidad que, de forma muy sencilla, permita cambiar la contrasea de cualquier usuario de Facebook sin conocer la anterior. Siguiendo con Facebook, en una presentacin realizada el 15 de enero se anunci Facebook Graph Search. Este nuevo sistema de bsqueda se aprovecha de la gran cantidad de informacin que esta red social posee de sus usuarios para mostrar resultados basndose en diferentes perfiles de personas, su ubicacin y sus aficiones. Esto, que en principio puede ser usado por todos los usuarios para conocer a gente con gustos similares cerca de nosotros, tambin puede ser usado por empresas de marketing para bombardearnos con publicidad personalizada o de forma maliciosa por atacantes para recopilar informacin de sus vctimas.

3.2.1.2.

Twitter tambin fue vulnerable

Por su parte, Twitter tambin solucion una vulnerabilidad que permita que aplicaciones de terceros tuvieran acceso a nuestros mensajes privados, aunque no hubiesen pedido permiso para ello en el momento de su instalacin. Esta vulnerabilidad fue solucionada por parte de Twitter sin avisar a los usuarios, aunque sigue siendo recomendable que revisemos las aplicaciones a las que hemos concedido permisos en nuestra cuenta de Twitter para no llevarnos sorpresas desagradables.

44

Los ciberdelincuentes siguieron usando Twitter para seguir propagando sus amenazas, y durante el mes pasado detectamos casos de phishing, mediante la propagacin de un enlace acortado malicioso a travs de mensajes directos entre usuarios, en los que se indicaba que se estaba hablando mal de nosotros. Todo esto estaba diseado para robar credenciales de los usuarios y disponer de cuentas de Twitter desde las cuales seguir propagando amenazas. En enero tambin vimos el resurgir de Megaupload, justo cuando se cumpla un ao de su cierre. Este nuevo servicio, conocido simplemente como Mega, prometi muchas novedades entre las que se incluye una mayor seguridad y privacidad aunque varios investigadores se encargaron de revisar estos aspectos y descubrieron que haba fallos importantes que solucionar. Otro tema que dio bastante de que hablar durante el pasado mes fue el descubrimiento de nuevos certificados fraudulentos de Google. Y tambin analizamos en nuestro laboratorio otro tipo de vulnerabilidades, como la que afect al complemento de Foxit PDF Reader para el navegador Firefox.

3.2.2. Febrero: ms agujeros de Java Febrero fue el mes de los ataques dirigidos contra grandes compaas, como Apple o Microsoft, redes sociales, como Facebook y Twitter, y grandes medios de comunicacin. Aunque no est clara la autora, se especula con que China pudiera estar detrs de esta maniobra a gran escala que, aprovechando vulnerabilidades de Java, ha conseguido penetrar en grandes compaas y causar problemas. Los primeros que dieron la voz de alarma a principios de mes fueron algunos de los peridicos ms importantes a nivel mundial como New York Times, Washington Post o Wall Street Journal. Estos tres peridicos reconocieron haber sufrido una intrusin en sus sistemas que habran conseguido las credenciales de sus empleados y, por lo tanto, acceso a informacin confidencial. Casi al mismo tiempo, la red de microblogging Twitter anunci que tambin haba sufrido un ataque similar y que, segn algunas estimaciones, podra haber comprometido la seguridad de alrededor de 250.000 cuentas. En el blog de Twitter se haca mencin a la posibilidad de que se hubiese usado una reciente vulnerabilidad en Java como vector de ataque, que no iba nada desencaminada. Un par de semanas despus de este anuncio fue Facebook quien inform de una intrusin similar en su red en el mismo perodo que el anunciado por Twitter. En esta ocasin se apunt directamente a Java como el vector de ataque usado al haber sido infectados varios equipos de los empleados de Facebook visitando una web legtima preparada para descargar cdigo malicioso si el equipo contaba con una versin vulnerable de Java. Tambin hubo otra serie de intrusiones no autorizadas como la que sufri el Departamento de Energa de los Estados Unidos. En este ataque se consigui acceder a la in45

formacin de cientos de trabajadores de este organismo y para ello se llegaron a comprometer 14 servidores y 20 estaciones de trabajo. Tambin durante el pasado mes observamos cmo se aprovecharon fallos en webs legtimas con una importante reputacin para propagar malware entre sus usuarios. Dos de estos ejemplos fueron las webs de la cadena NBC o de la empresa de seguridad Bit9, que estuvieron durante varias horas descargando malware en los ordenadores de los miles de usuarios que visitaban sus webs.

3.2.2.1.

Por San Valentn, tuvimos precauciones mil

Febrero fue tambin el mes en el que, como todos sabemos, celebramos la festividad de San Valentn, un gancho que tradicionalmente ha sido aprovechado por los creadores de malware para distribuir sus creaciones. Este ao no ha sido la excepcin y hemos visto varios casos como los correos que prometan regalos especiales para esas fechas pero que terminaban llevando a los usuarios a rellenar encuestas para participar en un sorteo de dudosa procedencia. Como dato anecdtico, los hacktivistas de Anonymous tambin se sumaron a celebrar esta festividad con la #OpValentine. En esta operacin queran mostrar su apoyo a todos aquellos hacktivistas que hubieran sido privados de libertad tras haber realizado alguna accin de protesta que su gobierno hubiera considerado ilegal. En febrero tambin vimos cmo la Brigada de Investigacin Tecnolgica de la Polica espaola, en colaboracin con la Europol, asestaba un duro golpe a un grupo de ciberdelincuentes que usaban el malware conocido comnmente como Virus de la Polica para lucrarse.

3.2.2.2.

Engaos, vulnerabilidades y hackeos de cuentas en redes sociales

La red social Facebook tambin fue protagonista de varios incidentes de seguridad entre los que destacamos un nuevo ejemplo de noticia falsa con gancho para atraer a los usuarios a pulsar sobre un enlace malicioso. En esta ocasin se utiliz como gancho a Justin Bieber y a su novia, en una foto retocada para provocar la curiosidad de todos los que la vieran. La finalidad de esta campaa era la de atraer a los usuarios hasta una web donde se les suscriba a un servicio de trivial de pago. Otra de las actividades de dudosa legalidad que vimos propagndose por Facebook consista en un supuesto sorteo de varios mviles Samsung Galaxy SIII que empez a difundirse desde la fanpage de una empresa y que tena como objetivo a usuarios espaoles. En solo un par de das, alrededor de un cuarto de milln de usuarios haban compartido ese falso sorteo que tan solo buscaba obtener datos como el telfono de los usuarios con dudosa finalidad. Por ltimo, tambin analizamos una vulnerabilidad en Facebook que haba sido corregida y que permita a un atacante hacerse con el control de cualquier cuenta aprovechando una vulnerabilidad en el manejo de URL especiales.

46

El descubridor de esta vulnerabilidad la comunic a los desarrolladores de Facebook y se pudo solucionar antes de que se hiciera pblica y fuese explotada de forma masiva. Adems de por anunciar la intrusin en su red, Twitter tambin fue noticia al producirse varios accesos no autorizados a cuentas importantes como las de Burguer King o Jeep. En ambos casos se modific la imagen de la cuenta mostrando informacin de la competencia (McDonalds en el caso de Burguer King y Cadillac en el caso de Jeep). Por suerte esto no pas a mayores y no se obtuvieron datos de los clientes, quedando tan solo en una travesura. Quienes s tuvieron que preocuparse por los datos personales que se filtraron fueron los miembros de la Academia de Cine espaola, puesto que, tal y como sucedi el ao pasado, miembros del grupo hacktivista LulzES consiguieron acceder a ellos y publicarlos durante la celebracin de la ceremonia de entrega de los premios Goya. Otro caso de publicacin de datos privados fue el que afect a la familia de los expresidentes Bush.

3.2.2.3.

Ms vulnerabilidades

Entre las mltiples vulnerabilidades que se publicaron en este mes encontramos la descubierta en el protocolo de comunicacin TLS (el ms usado en la actualidad), que permitira interceptar comunicaciones que hasta ahora consideramos seguras con todos los problemas que ello conlleva. Microsoft sorprendi a todos al lanzar un parche de actualizaciones considerablemente grande que solucionaba 56 vulnerabilidades, muchas de ellas crticas. Entre estas vulnerabilidades se encontraba la que afectaba a Internet Explorer en sus versiones 6, 7 y 8, y que es aprovechada por ciberdelincuentes desde hace meses. Otro software que sigue muy presente en entornos corporativos y que tambin present vulnerabilidades el mes pasado fue BlackBerry Enterprise Server. Esta til herramienta de sincronizacin entre telfonos mviles y servicios esenciales como el email presentaba una vulnerabilidad en el manejo de cierto tipo de ficheros que haca posible que un atacante pudiera ejecutar cdigo en el servidor donde se alojara.

3.2.3. Marzo: ms Virus de la Polica El pasado mes de marzo no defraud en noticias relacionadas con la seguridad informtica y as pudimos ver todo tipo de amenazas, ataques y vulnerabilidades, incluyendo ms de un incidente que fue exagerado por los medios. Empezbamos el mes con una nueva versin del ransomware conocido popularmente como Virus de la Polica. Esta nueva variante no inclua ninguna novedad especialmente destacable para aquellos pases que llevan meses detectando este malware, pero s que present, por primera vez, variantes adaptadas a pases de Latinoamrica como Argentina, Bolivia, Ecuador y Mxico. Pero este no fue el nico ransomware que analizamos en nuestro laboratorio ya que, a mediados de mes, empezamos a observar cmo muchos usuarios, especialmente empresas, empezaban a ver que sus sistemas Windows 2003 se bloqueaban y cifraban

47

los archivos almacenados. A continuacin se mostraba un mensaje pidiendo una cantidad de dinero y una direccin de email para poder recuperar la informacin cifrada.

48

3.2.3.1.

Ciberataques?

Durante este mes tambin hemos visto cmo lo que algunos medios han llamado ciberataques, han saltado a la primera plana de medios generalistas. El primero de estos supuestos ciberataques fue el sufrido por varios bancos y televisiones de Corea del Sur, algo que algunos medios interpretaron como un posible ataque realizado desde Corea del Norte. Este ataque result ser una infeccin por un malware que sobrescriba el sector de arranque (MBR) del disco duro de los sistemas infectados, dejando inutilizadas las mquinas afectadas. Al mismo tiempo, algunas webs como la del proveedor de Internet LG Uplus aparecieron modificadas por un grupo que se hace llamar Whois Team. Aun hoy, es difcil decir si estos dos incidentes estuvieron relacionados o si se trat de una mera coincidencia. Lo que parece claro es que no fue un ciberataque lanzado por otro pas, como algunos medios informaron. Otro incidente que hizo correr ros de tinta en medios generalistas como el New York Times, fue el ataque de denegacin de servicio sufrido por la organizacin SpamHaus, encargada de gestionar la lista negra de spammers ms conocidos. A raz de la inclusin en esta lista negra de la empresa CyberBunker, uno de los servicios de alojamiento de datos preferido por organizaciones como The Pirate Bay o la Russian Business Network, se lanz un ataque de denegacin de servicio de grandes proporciones. A pesar de que este ataque manej cifras muy elevadas, que llegaron a alcanzar los 300 Gigabits por segundo, este trfico no impidi el correcto funcionamiento de Internet. No obstante, varios medios se hicieron eco de que este ataque podra haber causado graves problemas a los usuarios e incluso haber tumbado toda la Red, algo muy exagerado y que surgi a raz de las declaraciones de CloudFare, empresa contratada por Spamhaus para mitigar este ataque.

3.2.3.2.

En marzo, vulnerabilidades mil

Siguiendo con las ya tradicionales vulnerabilidades en Java y productos de Adobe, marzo no fue una excepcin. As pues, a principios de mes vimos cmo se aprovechaba una vulnerabilidad en la ltima versin de Java en ese momento para descargar e instalar un troyano, lo que permitira a un atacante acceder remotamente a la mquina infectada. Poco tiempo despus y con motivo de la celebracin del evento PWN2OWN 2013, salieron a la luz nuevas vulnerabilidades en Java, concretamente tres. No fue el nico software que cay en este evento, donde varios investigadores buscan fallos de seguridad a cambio de suculentos premios en metlico. Adems de Java, los navegadores Internet Explorer 10, Firefox y Chrome funcionando bajo Windows tambin cayeron, solamente librndose Safari bajo Mac OS/X. Adobe tambin vio cmo se comprometa la seguridad de sus productos Flash y Reader. Poco tiempo despus tambin se vio obligada a lanzar parches de seguridad para Adobe Air y solucionar as varios agujeros crticos de seguridad. 49

Los sistemas de distribucin digital de software como Origin llevan meses en el punto de mira de los ciberdelincuentes. Si no hace mucho fue Steam el que presentaba fallos que podran ser aprovechados para descargar malware desde un enlace modificado que utilizase la nomenclatura de esta plataforma, ese mes comprobamos que Origin tambin era vulnerable a un ataque similar. Sin duda, los jugones representan un objetivo ms que interesante para los creadores de malware viendo los ataques que tienen como objetivo este tipo de usuarios. Una prueba de concepto que nos llam la atencin fue la que permita que nuestro disco duro se llenase por completo al acceder a un sitio web modificado especialmente. Esta prueba de concepto se aprovechaba de una caracterstica de HTML5, presente en la mayora de los navegadores actuales ms usados, y permita llenar 1 Gigabyte en tan solo 20 segundos. Como vulnerabilidad curiosa, destacamos la que Microsoft solucion el pasado mes y que permita a un atacante saltarse los controles de seguridad del sistema Windows con solo utilizar un pendrive USB. Esta vulnerabilidad requera de acceso fsico a la mquina, pero permitira realizar esas acciones tan propias del cine de Hollywood donde se puede saltar cualquier medida de seguridad con solo introducir un medio extrable en el sistema.

3.2.3.3.

Mac, mviles, Evernote y Facebook

Los sistemas Mac tampoco se libraron de las amenazas en marzo. En nuestro blog hablamos de un malware que, inicialmente desarrollado para Windows, haba dado el salto a sistemas Mac y que infectaba a los usuarios cuando estos visitaban una web infectada. Los usuarios infectados sufriran a partir de ese momento el bombardeo constante de anuncios indeseados y redirecciones a sitios web con ms publicidad. Apple tambin nos dio una buena noticia al comenzar a utilizar el protocolo seguro https en su Apple Store. A pesar del xito de esta tienda online, no ha sido hasta ahora que Apple ha optado por utilizar un protocolo seguro que impida realizar una serie de ataques que podran, entre otras opciones, capturar los datos de la cuenta del usuario en una Wi-Fi pblica. Durante marzo tambin vimos cmo se presentaron varias maneras de saltarse la proteccin del bloqueo de pantalla en dos de los dispositivos mviles de ms xito como son el iPhone y el Samsung Galaxy Note II. Aprovechndose de fallos sin solucionar, a pesar de haber lanzado parches que supuestamente los arreglaban, varios investigadores publicaron vdeos donde mostraban cmo accedan a la agenda o las fotos de un mvil completamente bloqueado. La privacidad de nuestros datos en la nube se vio comprometida al anunciar el popular servicio Evernote que su seguridad haba sido vulnerada y que, por eso, se vean obligados a cambiar las contraseas de sus ms de 50 millones de usuarios. Por suerte, entre los datos a los que los atacantes consiguieron acceder no se encontraban los de las tarjetas de crdito ni las notas almacenadas por los usuarios. Tampoco Facebook se libr de los fallos en privacidad, puesto que de nuevo se anunci el descubrimiento de un nuevo fallo en su Timeline. Este fallo permita que los amigos 50

de nuestros amigos en Facebook tuvieran acceso a ver a qu eventos habamos asistido, aun habiendo configurado la privacidad de forma que nuestras publicaciones solo puedan ser vistas por nuestros amigos directos. Pero sin duda, la fuga de datos privados que ms revuelo meditico produjo fue la que revel informacin privada de varios personajes famosos de Estados Unidos. Personas tan conocidas como Michelle Obama, Beyonc, Hillary Clinton, Tom Cruise o Bill Gates, entre otros, vieron cmo varios de sus datos privados eran accesibles a cualquiera que visitara la web preparada a tal efecto. Entre esta informacin encontramos varios lugares de residencia, nmeros de telfono e incluso movimientos en sus cuentas bancarias. 3.2.4. Abril: ataques a marcas conocidas Empezbamos el Jueves Santo con la noticia de la filtracin de ms de 200.000 credenciales de usuarios de McDonalds en Austria y Taiwn. Asimismo, el sitio web oficial de McDonalds de Corea del Sur fue modificado para que mos trase un mensaje de los perpetradores de este ataque, un integrante del Ajan hacker group conocido como Maxney. El mismo atacante consigui acceder al sitio web taiwans de otra importante empresa como es MTV y filtrar ms de medio milln de cuentas de sus usuarios, adems de modificar su pgina de inicio. Entre los datos filtrados se encuentran el nombre completo de los usuarios, el correo electrnico y las credenciales de acceso en texto plano. Pero sin duda, el mayor nmero de webs atacadas por este grupo pertenecen a empresas espaolas con dominios .es y .cat. En el momento en el que escribimos el artculo en nuestro blog an se encontraban afectadas muchas de estas webs. Es posible que este ensaamiento a estas webs de empresas espaolas se debiera a intereses comerciales que estas empresas puedan tener en el pas, pero tambin podra deberse a una mera coincidencia. Tambin supimos en abril que Anonymous habra conseguido, supuestamente, acceder al sitio de propaganda norcoreano Uriminzokkiri.com y obtener ms de 15.000 credenciales de sus usuarios. A travs de un mensaje que se public para informar de esta filtracin de datos, estos miembros de Anonymous expusieron sus motivos para lanzar este ataque a esta web norcoreana y pusieron como ejemplo seis cuentas obtenidas de ella que mostraban sus nombres de usuario, direcciones de email, fecha de nacimiento y las contraseas cifradas. En otro orden de cosas, alertamos en el blog de una serie de sorteos a los que accedamos tras pulsar sobre un enlace recibido por correo electrnico y que nos llevaban a una web en la que debamos contestar a una serie de preguntas y proporcionar datos personales. Los usuarios completan las encuestas y proporcionan sus datos con la esperanza de poder optar a alguno de los suculentos premios que se anuncian y que varan desde coches de alta gama a dispositivos electrnicos como un porttil o un mvil.

51

Normalmente todo empieza con la recepcin de un correo electrnico, aunque tambin pueden encontrarse enlaces que nos lleven al mismo sitio en redes sociales. Dicho correo puede tener relacin, o no, con las webs de los sorteos, pero todos incluyen un enlace en el que el usuario debe pulsar. Tras hacerlo, nos llevaba a unas webs donde se nos informaba de que habamos ganado algo y que tenamos que introducir nuestro nmero de telfono. Y todo esto para al final suscribirnos a mensajeras SMS Premium de pago que nos puede hacer que nos llevemos ms de un susto a final de mes. Tambin supimos que un nuevo malware se aprovechaba de Skype y de su sistema de videoconferencia para distribuirse. Esta nueva amenaza utiliz el conocido truco de envo de enlaces junto a un texto que provoca la curiosidad del usuario y hace que este se sienta tentado de hacer clic. Tambin apareci una nueva variante del Virus de la Polica, que, en este caso, mostraba imgenes de pedofilia. Igualmente, y aprovechando el da en el que se recuerda a los judos vctimas del holocausto, miembros de Anonymous decidieron lanzar el pasado domingo 7 de abril la #OpIsrael. Esta operacin tena como finalidad denunciar la precaria situacin humanitaria en la franja de Gaza y buscaba dejar inoperativas el mximo nmero posible de webs en Israel y obtener datos privados para filtrarlos a continuacin. Igualmente, anuncibamos que Microsoft cerraba definitivamente su popular servicio de mensajera Messenger, y que Google lanzaba un nuevo servicio para borrar todo tu rastro de la Red... eso s, tras hacer testamento digital primero y fallecer despus. Tambin en abril hemos visto cmo el sistema de monedas virtuales Bitcoin era atacado. El primer caso consiste en un ataque de denegacin de servicio a la web basada en Japn, mtgox.com, responsable de, segn anuncia en su web, manejar alrededor del 80% de todos los cambios de monedas Bitcoin en todo el mundo. Las declaraciones de la compaa apuntan principalmente a dos motivos para realizar estos ataques: desestabilizar a Bitcoin como divisa virtual, y hacer que su valor decrezca para as comprar estas divisas en gran cantidad y venderlas cuando vuelva a subir su valor. El segundo caso es bastante ms grave y afecta a uno de los servicios de almacenamiento de Bitcoins ms importantes, Instawallet. Segn podemos observar si tratamos de acceder a su web, este servicio ha sido suspendido indefinidamente debido a un ataque realizado contra su base de datos que ha comprometido su seguridad. Tambin nos hicimos eco de la charla que dio el investigador Hugo Teso y que consisti en tomar el control de los sistemas de navegacin y de cabina de un avin, usando para demostrarlo un laboratorio que simulaba un entorno real, Su autor ha programado un conjunto de herramientas de explotacin llamada Simon y una aplicacin complementaria para dispositivos Android. Segn este investigador, se pueden usar estos programas para modificar casi cualquier cosa relacionada con la navegacin de la aeronave, algo que a ms de uno le causar sudores fros. Los atentados en la maratn de Boston han llenado los titulares y tambin han sido aprovechados por la botnet Kelihos para, aprovechando la ingeniera social, llamar la atencin sobre un enlace que, una vez pinchado, infectaba el ordenador del usuario y este pasaba a formar parte de la red de bots.

52

Java volvi a lanzar un parche que solucionaba 42 vulnerabilidades del popular sistema, y Oracle hizo lo propio, lanzando actualizaciones para 128 agujeros de seguridad. Tambin hemos visto cmo un ciberatacante se infiltr en la cuenta de la popular agencia de noticias Associated Press de Estados Unidos y public un tweet que durante unos minutos hizo convulsionar a la Casa Blanca, a la Bolsa y a ms de una institucin ms. El tweet era una breve alerta del canal de la agencia de noticias en Twitter que deca Alerta: dos explosiones en la Casa Blanca y Barack Obama herido. Por eso, nos preguntamos si haban inventado una nueva ciberarma econmica capaz de manejar en beneficio propio las fluctuaciones de las Bolsas internacionales.

4. Conclusiones
Los tres informes coinciden en muchos de los aspectos a tener en cuenta en cuanto a seguridad, a los principales ataques, y los dispositivos ms susceptibles de recibir ataques. Por un lado remarcan la cantidad de ataques a los dispositivos de plataforma Android, que alcanzan cuotas de entre 95% y 100%, aunque como se expone en los tres informes, no hay un sistema operativo libre de ataques, lo cual, hasta el ao 2012, para Mac era impensable, y se ha demostrado que ya no es tan seguro como se crea. Por otro lado se remarca el peligro del robo de identidad y datos personales, presente durante el ao pasado en muchas de las principales redes sociales, con la sustraccin de fotos e informacin. Tambin hay que tener en cuenta los ataques contra infraestructuras crticas, pueden dejar sin servicio a todo un pas, originando un caos. que

La proliferacin de diferentes equipos, como el uso de equipos personales en el trabajo (BYOD), ha supuesto otra grave amenaza para el mundo empresarial. Con todo esto, puedo decir que los riesgos existentes en el 2012, continan durante el presente ao, aunque las grandes empresas, redes sociales, etc. estn comenzando a tener una poltica de seguridad mucho mayor. Aunque seguir habiendo nuevos ataques, y siempre que aparezca una nueva tecnologa, habr una nueva amenaza.

53

5. Referencias
Kaspersky_Security_Bulletin_2012_Malware_Evolution, Kaspersky Lab, Diciembre 2012

Kaspersky_Security_Bulletin_2012_The_overall_statistics_for_2012, Costin Raiu, David Emm, Diciembre 2012

Informe de seguridad de Cisco 2012, CISCO, Diciembre 2012.

ESET NOD32 Informe anual de Seguridad 2012, ESET NOD32, Diciembre 2012.

ESET NOD32 Informe cuatrimestral de Seguridad 2013 enero-abril, ESET NOD32, Abril 2013.

54