Istr 21 2016 Es

Informe de Amenazas a la
Seguridad de Internet
VOLUMEN 21, ABRIL 2016
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 2
CONTENIDO
4 Introduccin 23 Los Sitios An Son Vulnerables a Ataques 45 Ciberseguridad, Cibersabotaje y Luchando
Llevando a Malware y a Violaciones de Datos Contra los Eventos de Cisne Negro
5 Sumario Ejecutivo
23 Acelerar el Uso de Cifrado Constante 46 Cibersabotaje y la Amenaza
de Warfare Hbrido
8 GRANDES NMEROS 24 Rumbo a una Autenticacin Ms Fuerte
24 Garanta Reforzada
46 Las Pequeas Empresas y el Caso del
Ataque a General Linens Service
10 DISPOSITIVOS MVILES & EL 25 Los Sitios Necesitan Ser Ms
47 Sistemas de Control Industrial
INTERNET DE LAS COSAS Difciles de Atacar
Vulnerables a Ataques
10 Smartphones y Dispositivos Mviles 25 SSL/TLS y la Respuesta de la Industria 47 La Oscuridad No Es Una Defensa
10 Un Telfono por Persona 25 La Evolucin del Cifrado
11 Amenazas en Mltiples Plataformas 25 Fuerza en los Nmeros 48 VIOLACIONES DE DATOS

11 Ataques a Android Se Tornn Ms Furtivos 25 Pasando Desapercibido Y PRIVACIDAD
12 Cmo los Mensajes Maliciosos de Vdeo 26 Verificaciones y Evaluaciones 48 Violaciones de Datos
Pueden Llevar al Stagefright y Stagefright 2.0 26 Servicios de Confianza, Identificacin Grandes y Pequeas
13 Usuarios Android Bajo Presin Electrnica (eID), y Servicios de 48 La Situacin Actual
con Phishing y Ransomware Confianza Electrnicos(eTS)
50 Infogrfico: Hechos Sobre la Infraestructura
13 Usuarios de Apple iOS Nunca de Propiedad de los Atacantes
Estuvieron Tan Amenazados 27 REDES SOCIALES, FRAUDES,
52 Por Algn Otro Nombre
13 Ransomware Ataca Dispositivos Mviles & AMENAZAS DE CORREO
ELECTRNICO 53 La Amenaza Interna
13 Desarrolladores de Aplicativos 54 Infogrfico: Ms de Quinientos Millones
iOS Sufren con XcodeGhost 27 Ingeniera Social y de Registros de Informacin Personal
14 YiSpecter Muestra Cmo Los Ataques Tienen Explorando Individuos Robados o Perdidos en 2015
Ahora iOS Firmemente en Su Punto de Mira 27 No Confe en Nadie 55 Reglamentaciones de Privacidad y
14 Dispositivos IOS Originales Son Blancos para 28 Infogrfico: Cmo Funciona el Valor de los Datos Personales
los Atacantes y Hay Abuso de Certificados el Fraude de Gmail 56 Reduciendo el Riesgo
14 Explorando las APIs Privadas de Apple 29 Secretos y Mentiras
14 Madware Youmi para Mltiples Plataformas 29 Ingeniera Social Usando Redes Sociales 57 E-CRIMEN Y MALWARE
Roba Datos Personales en iOS y Android
30 Idioma y Localizacin No Son Obstculos 57 La Economa Clandestina y
14 Cmo Identificar Madware las Autoridades Legales
30 Proteccin contra la Ingeniera Social
15 Protegiendo Dispositivos Mviles
57 Negocios en las Sombras Virtuales
31 Amenazas para Correo
16 Mirando hacia el Futuro
58 Manos al Alto
Electrnico y Comunicacion
16 El Internet de las Cosas 59 Hallazgos de Ransomware
31 Abuso de Correo Electrnico
16 Miles de Millones de Cosas 59 Problemas Globales, Ataques Locales
31 Tendencias de Spam
16 La Inseguridad de las Cosas 60 Botnets y la Ascensin de los Zombis
33 Tendencias de Phishing
17 Infogrfico: Una Visin del Futuro: 60 Las Consecuencias del Dyre y
El Riesgo de las Cosas 34 Tendencias de Malware de Correo Electrnico
las Autoridades Legales
18 Automacin Residencial Alcanzar 35 Ataques en las Comunicaciones
61 Cibercrimen y cmo Encontrar
un Punto de Ruptura hasta 2020 35 Cifrado de Correo Electrnico un Local Seguro
18 Cmo proteger los Dispositivos Conectados 36 Consejos para la Seguridad
18 Hacia un Futuro Seguro y Conectado de Correo Electrnico
62 NUBE & INFRAESTRUCTURA
36 Mirando hacia el Futuro
62 Computadoras, Computacin en
19 AMENAZAS WEB la Nube e Infraestructura de TI
19 Ataques Web, Toolkits y Exploracin 37 ATAQUES DIRIGIDOS
62 Protegiendo el Sistema
de Vulnerabilidades Online 37 Spear Phishing y Robo de
63 Nada es Automticamente Inmune
20 Plugins Problemticos
Propiedad Intelectual
63 Mac OS X
20 El Fin Est Prximo para Flash 37 Ataques Persistentes
64 Linux en la Lnea de Fuego
21 Exploracin de Plugins para Servidores Web 38 Vulnerabilidades de Da Cero
y Watering Holes 65 Sistemas Virtualizados y en la Nube
21 Infeccin por Inyeccin
65
38 Diversidad en Ataques de Da Cero Vulnerabilidades de la Nube
21 Toolkits de Exploit para Ataques Web
66
39 Infogrfico: Una Nueva Vulnerabilidad de Protegiendo la Infraestructura de TI
21 Enfoque en Anuncios Maliciosos Da Cero es Hallada Cada Semana en 2015 66 Proteja la Informacin En Cualquier Lugar
21 Los Fraudes de Soporte Tcnico 40 Spear Phishing 66 Ataques DDoS y Botnets
Aumentan Considerablemente,
Diseminando Ransomware 43 Grupos de Ataques Activos en 2015 66 Expansin de Ataques DDoS
22 Malvertising 44 Infogrfico: Los Ataques se Dirigen 67 Sencillo pero Eficaz
Tanto a Grandes Empresas Como
23 Retos de Ciberseguridad Para a Pequeas Empresas 68 Qu existe en un Botnet?
los Propietarios de Sitios 45 Logrando ganancias con
23 Ponga su Dinero Donde Est su Mouse Ataques Corporativos de Alto
Nivel y el Efecto Mariposa
69 Conclusiones 32 Indicador General de Spam 48 VIOLACIONES DE DATOS

de Correo Electrnico Y PRIVACIDAD
71 Recomendaciones sobre las Mejores
Prcticas para Empresas 32 Indicador Global Previsto Diariamente 49 Lnea del Tiempo de Violaciones de Datos
para Spam de Correo Electrnico
74 Recomendaciones sobre 49 5 Principales Sectores que Sufrieron
32 Porcentaje de Spam de Correo
las Mejores Prcticas para Electrnico por Sector
Violaciones por Nmero de Identidades
Propietarios de Sitios Web Expuestas e Incidentes
32 Spam por Tamao de Empresa 49 Principales Sub-Sectores que
75 20 Controles de Seguridad
33 Indicador de Phishing de Correo Sufrieron Violaciones por Nmero de
Crtica Electrnico (No Spear Phishing) Identidades Expuestas e Incidentes
78 Recomendaciones sobre las 33 Indicador de Phishing 50 Infogrfico: Hechos Sobre la Infraestructura
Mejores Prcticas para los 33 Relacin de Phishing en Correo de Propiedad de los Atacantes
Consumidores Electrnico por Sector 51 10 Principales Sectores que Sufrieron
79 Crditos Violaciones por Nmero de Incidentes
34 Indicador de Phishing en Correo Electrnico
80 Acerca de Symantec 34 Indicador de Malware de Correo 51 10 Principales Sub-Sectores que Sufrieron
Violaciones por Nmero de Incidentes
Electrnico (General)
80 Ms informacin 51 10 Principales Sectores que
34 Proporcin de Trfico de Correo
Sufrieron Violaciones por Nmero
Electrnico Donde el Virus fue Detectado
de Identidades Expuestas
34 Archivos Adjuntos Maliciosos
GRFICOS & TABLAS en Correo Electrnico
52 10 Principales Sub-Sectores que
Sufrieron Violaciones por Nmero
35 Relacin de Virus en Correo de Identidades Expuestas
Electrnico por Sector
8 GRANDES NMEROS 52 Principales Sectores Filtrados por Incidentes,
35 Relacin de Malware en Correo Causados por Hacking y Robos Internos
Electrnico por Tamao de Empresa
10 DISPOSITIVOS MVILES & EL 53 10 Principales Tipos de Informacin Expuesta
INTERNET DE LAS COSAS 53 Principales Sectores que Sufrieron
37 ATAQUES DIRIGIDOS Violaciones por Nmero de Incidentes
11 Total de Familias de Malware para 38 Vulnerabilidades de Da Cero
Dispositivos Mviles Android 54 Infogrfico: Ms de Quinientos Millones
38 Vulnerabilidades de Da Cero, Total Anual de Registros de Informacin Personal
11 Total de Variantes de Malware para Robados o Perdidos en 2015
Dispositivos Mviles Android 39 Infogrfico: Una Nueva Vulnerabilidad de
Da Cero es Hallada Cada Semana en 2015 55 Principales Causas de Violaciones de
11 Vulnerabilidades en Dispositivos Datos por Identidades Expuestas
Mviles por Sistema Operativo 40 Las 5 Principales Vulnerabilidades de
Da Cero, Parche y Duracin de Firma
12 Volumen de Malware para Android 57 E-CRIMEN Y MALWARE
40 Las 5 Principales Vulnerabilidades de Da
12 Los Diez Principales Malware para Android Cero Exploradas con Mayor Frecuencia 58 El Dominio Creciente de Crypto-Ransomware
15 Anlisis de Aplicativos por Norton 41 Campaas de Correo Electrnico 58 Crypto-Ransomware a lo Largo del Tiempo
Mobile Insight de Symantec Spear Phishing
58 Crypto-Ransomware como Porcentaje
17 Infogrfico: Una Visin del Futuro: 41 Las Principales Industrias Blancos del Total de Ransomware
El Riesgo de las Cosas de Ataques de Spear Phishing
60 Actividades Maliciosas por Fuente: Bots
42 Industrias Blancos de Ataques de
19 AMENAZAS WEB Spear Phishing por Grupo Salud
60 Hallazgos de Dyre a lo Largo del Tiempo
20 Sitios Escaneados con Vulnerabilidades 42 Industrias Blancos de Ataques de
Spear Phishing por Grupo Energa 62 NUBE & INFRAESTRUCTURA
20 Porcentaje de Vulnerabilidades
que Eran Crticas 42 Las Industrias Blancos de Ataques de 63 Nmero Total de Vulnerabilidades
20 Vulnerabilidades de los Navegadores Spear Phishing por Grupo Finanzas, 63 Volumen de Malware Mac OS X
Seguros y Mercado Inmobiliario
20 Nmero Anual de Vulnerabilidades de Plugins 64 Diez Principales Instancias de Malware
42 Industrias Blancos de Ataques de Spear Mac OS X Bloqueadas en Endpoints OS X
20 Ataques Web Bloqueados por Mes Phishing por Grupo Administracin Pblica
64 Volumen de Malware Linux
21 Cinco Principales Toolkits de Ataques Web 43 Ataques de Spear Phishing por
Tamao de la Organizacin Blanco 64 Diez Principales Instancias de Malware
22 Fraudes Bloqueados de Soporte Tcnico Linux Bloqueadas en Endpoints Linux
22 Clasificacin de los Sitios Explorados 43 Relacin del Riesgo de Ataques de Spear
Phishing por Tamao de la Organizacin 65 Proporcin de Muestras de Malware que son
con Mayor Frecuencia Capaces de Identificar Equipos Virtuales
26 Las 10 Principales Vulnerabilidades 43 Anlisis de Correos Electrnicos de Spear
Phishing Usados en Ataques Dirigidos 67 Volumen de Ataques DDoS Identificados
Encontradas en Servidores Web por Symantec Global Intelligence Network
sin Parches Escaneados 44 Infogrfico: Los Ataques se Dirigen
Tanto a Grandes Empresas Como 67 Cinco Principales Ataques DDoS Identificados
a Pequeas Empresas por Symantec Global Intelligence Network
27 REDES SOCIALES, FRAUDES,
45 Lnea del Tiempo de Ataques Mariposa 68 Distribucin de Ataques DDoS a
& AMENAZAS DE CORREO Capas de la Red por Duracin (Q3)
Contra los Sectores de la Industria
ELECTRNICO 68 Distribucin de Ataques DDoS a
47 Vulnerabilidades Divulgadas en
30 Redes Sociales Sistemas de Control Industrial Capas de la Red por Duracin (Q2)
30 Nmero de Direcciones URL de
Phishing en las Redes Sociales
INTRODUCCIN
Symantec ha creado una de las ms completas fuentes

mundiales de datos sobre amenazas de Internet, a
travs de Symantec Global Intelligence Network, que
est compuesta por ms de 63,8 millones de sensores
de ataque y registra miles de eventos por segundo.
Esa red monitorea la actividad de amenazas en ms de
157 pases y territorios a travs de una combinacin de
productos y servicios de Symantec, como Symantec
DeepSight Intelligence, Symantec Managed Security
Services, productos de consumo Norton as como
fuentes adicionales de datos de terceros.
Asimismo, Symantec mantiene una de las bases de datos de vulnerabilidades ms completas del
mundo, que actualmente contiene ms de 74.180 vulnerabilidades registradas (que abarcan ms
de dos dcadas) de ms de 23.980 proveedores que representan ms de 71.470 productos.
Los datos de spam, phishing y malware son capturados a travs de una variedad de fuentes,
incluyendo Symantec Probe Network, un sistema de ms de cinco millones de cuentas seuelo,
Symantec. cloud, entre otras tecnologas de seguridad de Symantec. Skeptic, la tecnologa
heurstica patentada de Symantec. cloud, es capaz de detectar amenazas dirigidas nuevas y
sofisticados antes de que lleguen a la red de los clientes. Mensualmente, 13 centros de datos
procesan ms de nueve mil millones de mensajes de correo electrnico y ms de 1.800 millones
de solicitudes web son filtradas diariamente. Symantec tambin recopila informacin de phishing a
travs de una amplia comunidad antifraude de empresas, proveedores de seguridad, y ms de 52
millones de consumidores y 175 millones de endpoints.
Symantec Website Security protege ms de un milln de servidores web en todo el mundo con
el 100 % de disponibilidad desde 2004. La infraestructura de validacin procesa ms de 6.000
millones de verificaciones Online Certificate Status Protocol (OCSP) por da, que son usadas para
la obtencin del status de revocacin de certificados digitales X.509 en todo el mundo. El Sello
de Seguridad Norton es exhibido casi mil millones de veces por da en sitios en 170 pases y en
resultados de bsqueda de navegadores habilitados.
Esos recursos brindan a los analistas de Symantec fuentes inigualables de datos para identificar,
analizar y proporcionar comentarios actualizados sobre las amenazas emergentes de ataques,
actividades de cdigos maliciosos, phishing y spam. El resultado es el Informe Anual Symantec
Sobre las Amenazas a la Seguridad en Internet, que brinda a las corporaciones, pequeas empresas
y consumidores, informacin esencial para garantizar sus sistemas de forma eficaz, ahora y en el
futuro.
SUMARIO EJECUTIVO
Introduccin
Symantec descubri ms de 430 millones de nuevas instancias nicas de malware en
2015, un aumento del 36% en relacin al ao anterior. Posiblemente lo ms interesante
es que esos nmeros no nos sorprenden ms. Como la vida real y la vida online se
tornan indistinguibles entre s, el cibercrimen se ha tornado una parte de nuestras vidas
diarias. Los ataques contra las empresas y las naciones llegan a los titulares de prensa
con tal frecuencia que nos tornamos insensibles al gran volumen y al aumento rpido
de las ciberamenazas.
La mayora de los informes de amenazas apenas muestra la informacin bsica del
escenario de amenaza, mientras que la amplitud de datos de Symantec permite que
Internet Security Threat Report (ISTR) examine mltiples facetas que incluyen ataques
dirigidos, amenazas para smartphones, fraudes en redes sociales, y las vulnerabilidades
de Internet de las Cosas (IoT), as como tcticas, motivaciones y comportamientos de
los grupos de ataque. Si bien hay mucho que aprender con esa amplia visin acerca del
escenario de amenazas, citamos las seis principales conclusiones y tendencias de 2015.
En Promedio, Una Nueva Vulnerabilidad de Da hasta que sean expuestas pblicamente, a seguir, las dejan
Cero Fue Hallada a Cada Semana en 2015 de lado para enfocar en vulnerabilidades recientemente
Los grupos de ataque avanzados continan lucrndose descubiertas. Cuando Hacking Team fue expuesto en 2015 por
por medio de las fallas que previamente no fueron tener al menos seis vulnerabilidades de da cero en su cartera,
descubiertas en navegadores y plugins de sitios web confirm nuestra caracterizacin de la caza por casos de da
cero como algo profesionalizado.
En 2015, el nmero de vulnerabilidades de da cero hallados ms
que duplic para 54, un aumento del 125% en relacin al ao Las vulnerabilidades pueden aparecer en casi cualquier tipo
anterior. En otras palabras, una nueva vulnerabilidad de da cero de software, sin embargo lo ms atractivo para los grupos de
fue hallada a cada semana (en promedio) en 2015. En 2013, el ataques dirigidos es un software que sea ampliamente utilizado.
nmero de vulnerabilidades de da cero (23) duplic en relacin Muchas veces, la mayora de esas vulnerabilidades son halladas
al ao anterior. En 2014, el nmero se mantuvo relativamente en software como Internet Explorer y Adobe Flash, que son
estable en 24, lo que nos llev a concluir que habamos alcanzado utilizados diariamente por un gran nmero de consumidores y
un nivel. Esa teora dur poco tiempo. La explosin de 2015 en el profesionales. Cuatro de las cinco vulnerabilidades de da cero
nmero de hallazgos de da cero sostiene el papel fundamental ms exploradas en 2015 eran relacionadas a Adobe Flash. Una
que desempean en los ataques dirigidos lucrativos. vez halladas, las vulnerabilidades de da cero son rpidamente
adicionadas a los toolkits de los cibercriminales y comienzan a
Dado el valor de esas vulnerabilidades, no nos sorprende que
ser exploradas. En este momento, millones sern atacados y
se haya desarrollado un mercado para atender la demanda. En
cientos de miles infectados si un parche no est disponible, o si
realidad, considerando la velocidad con la que las vulnerabilidades
las personas no se mueven con suficiente rapidez para aplicar
de da cero se estn hallando, pueden tornarse un commodity.
el parche.
Los grupos de ataques dirigidos exploran las vulnerabilidades
Ms de Quinientos Millones de Registros lo que significa que es necesario apenas un esfuerzo trivial
Personales Fueron Robados o Perdidos en 2015 para que los cibercriminales obtengan acceso y manipulen
Cada vez ms empresas estn dejando de reportar esos sitios para sus debidos fines. Es el momento de que
la dimensin completa de sus violaciones de datos los administradores de sitios asuman la responsabilidad y
solucionen los riesgos de una forma ms agresiva.
A fines de 2015, el mundo sufri la ms grande violacin de
datos ya registrada pblicamente. Un espantoso volumen de
191 millones de registros fue expuesto. Esa puede haber sido Las campaas de Spear Phishing Dirigidas a
la ms grande megaviolacin, sin embargo no fue la nica. En los Funcionarios Aumentan el 55% en 2015
2015, se report un rcord total de nueve megaviolaciones. Los responsables de los ciberataques poseen una
(Una megaviolacin es definida como una violacin de ms de estrategia de largo plazo contra grandes empresas
10 millones de registros.) En 2015, una organizacin gubernamental o empresa financiera
El nmero total reportado de identidades expuestas creci el blanco de un ataque, tena una gran propensin de ser blanco
23%, para 429 millones. Sin embargo, este nmero esconde nuevamente, al menos tres veces ms a lo largo del ao. En
una historia mayor. En 2015, cada vez ms empresas general, las grandes empresas que sufrieron un ciberataque,
optaron por no revelar la magnitud total de las violaciones fueron vctimas, en promedio, de 3,6 ataques exitosos cada
que sufrieron. Las empresas que optaron por no comunicar una.
el nmero de registros perdidos aumentaron el 85%. Una En los ltimos cinco aos, hemos observado un aumento
estimativa conservadora de Symantec de esas violaciones no constante de ataques contra empresas con menos de 250
declaradas empuja el nmero real de registros perdidos para empleados, con 43% de todos los ataques dirigidos a las
ms de quinientos millones. pequeas empresas en 2015, comprobando que las empresas
El hecho de que las empresas estn cada vez ms optando de todos los tamaos corren riesgos.
por no divulgar detalles crticos tras una violacin es una No son solamente las empresas de Fortune 500 ni las naciones
tendencia preocupante. La transparencia es fundamental que corren el riesgo de tener la direccin de IP robada, sino
para la seguridad. En cuanto se estn llevando a cabo varias tambin incluso el servicio de lavandera local puede ser un
iniciativas de comparticin de datos en el sector de seguridad, blanco. Como ejemplo, una organizacin de 35 funcionarios
ayudndonos a todos a mejorar nuestras posiciones y fue vctima de un ciberataque liderado por un competidor. El
productos de seguridad, algunos de estos datos estn siendo competidor se escondi en su red durante dos aos robando
cada vez ms difciles de recopilar. informacin sobre precios y clientes, lo que le proporcionaba
una ventaja considerable. Esto sirve como un aviso claro
de que todas las empresas son potencialmente vulnerables
Vulnerabilidades Graves de Seguridad en Tres a los ataques dirigidos. En realidad, las campaas de spear
de cada Cuatro de los Sitios Ms Populares phishing dirigidas a los empleados aumentaron el 55% en
Ponen en Riesgo a Todos 2015. Ningn negocio est libre de riesgos. Los grupos de
Los Administradores Web an tienen dificultades para ataque motivados puramente por el lucro pueden ser tan
mantenerse actualizados en relacin a los parches tcnicamente sofisticados y bien organizados como cualquier
Ms de un milln de ataques web fueron dirigidos a la grupo de ataque patrocinado por una Nacin. Vamos a poner
poblacin, todos los das en 2015. Muchas personas creen como ejemplo el grupo Butterfly, que rob informacin para
que visitando apenas sitios legtimos y bien conocidos utilizarla en la manipulacin de acciones.
los mantendrn a salvo de los crmenes online. Eso no es
verdad. Los cibercriminales continan aprovechndose de las
vulnerabilidades en sitios legtimos para infectar a los usuarios,
porque los administradores de sitios web fallan al intentar
protegerlos. Ms del 75% de todos los sitios legtimos tienen
vulnerabilidades no corregidas con parches. El 15% de los sitios
legtimos poseen vulnerabilidades consideradas crticas,
Ransomware Aument el 35% en 2015 Symantec Bloque 100 Millones de Falsos

Los cibercriminales estn usando el cifrado como Fraudes de Soporte Tcnico en 2015
un arma para mantener de rehenes los datos Los ciberdelincuentes ahora hacen que usted
crticos de las empresas y a los individuos los llame para entregarles su dinero
Ransomware contina evolucionando. El ao pasado, vimos Si bien ransomware contina creciendo como una amenaza,
el crypto-ransomware (cifrado de archivos) sustituir el no es la nica que las personas enfrentan. Como las personas
ransomware antiguo, menos perjudicial (bloqueo de pantalla de realizan ms actividades online en sus vidas, los ataques estn
la computadora). Crypto-ransomware creci el 35% en 2015. encontrando nuevas formas para atraer a las vctimas. Los
Un tipo extremadamente rentable de ataque, ransomware falsos golpes de soporte tcnico, relatados por primera vez
continuar iludiendo a los usuarios de PC y se expandir a por Symantec en 2010, evolucionaron de un modelo en el que
cualquier dispositivo conectado a la red que pueda mantenerse las vctimas reciban llamadas inesperadas, para un modelo
como rehn para obtener lucro. En 2015, ransomware en el que los responsables del ataque engaan a las vctimas
encontr nuevos blancos y ampli su foco originalmente en para que los llamen a ellos directamente. Los grupos de ataque
PC para sistemas Mac, Linux y en smartphones. Symantec engaan a las personas con pop-ups que las alertan hacia
incluso demostr ataques de prueba de concepto contra un error o problema grave, conduciendo de ese modo a la
smartwatches y televisores en 2015. vctima a un nmero 0800, donde un analista de soporte
tcnico intenta vender servicios intiles a la vctima. En 2015,
Symantec bloque 100 millones de esos tipos de ataques.
Los responsables de los ataques continan encontrando
maneras de lucrarse con lo que pueden robarse online. El
ao pasado Netflix se expandi en nuevos pases, atrayendo
la atencin de los ataques. Investigadores de Symantec
descubrieron usuarios y claves de cuentas legtimas de Netflix
que se vendan en el mercado negro. La informacin de acceso
a la cuenta fue robada a travs de phishing o malware. Es
evidente que la reventa de informacin de acceso a la cuenta
en el mercado negro no es un fenmeno nuevo. Symantec
contina viendo la informacin de cuentas de programas de
fidelidad de hoteles y compaas areas, as como las cuentas
de juegos anunciadas para venta en el mercado negro.
GRANDES Total de Identidades Expuestas
NMEROS
2013 2014 2015
552M 348M 429M

-37% +23%
VIOLACIONES Total de Violaciones Promedio de Identidades

2013 2014 2015
Expuestas por Violacin
253 312 305 2013 2014 2015
+23% -2% 2.2M 1.1M 1.3M
-49% +21%
Violaciones con Ms
de 10 Millones de Nmero Promedio de Identidades
Identidades Expuestas por Violacin
2013 2014 2015 2013 2014 2015
8 4 9 6.777 7.000 4.885

-50% +125% +3% -30%
AMENAZAS DE CORREO ELECTRNICO, MALWARE Y BOTS
Indicador General de Spam de Correo Electrnico

2013 2014 2015
66% 60% 53%

-6% pts -7% pts Nuevas Variaciones de
Malware (Adicionadas a
Cada Ao)
Indicador de Phishing de Correo Electrnico (No Spear Phishing)
2014 2015
2013 2014 2015
317M 431M
1 de cada 392 1 de cada 965 1 de cada 1.846 +36%
Indicador de Malware de Correo Electrnico (General)

Crypto-Ransomware
2013 2014 2015
1 de cada 196 1 de cada 244 1 de cada 220 Total

2014 2015
269K 362K
Nmero de Bots +35%
2013 2014 2015 Promedio Promedio

2.3M 1.9M 1.1M Diario Diario
-18% -42% 737 992

DISPOSITIVOS MVILES WEB
Nuevas Vulnerabilidades Ataques Web Bloqueados por Da

Dispositivos Mviles
2013 2014 2015
2013 2014 2015
569K 493K 1.1M
127 168 528 -13% +117%
+32% +214%
Sitios Escaneados con Vulnerabilidades...

Nuevas Familias de Malware para
Dispositivos Mviles Android 2013 2014 2015
2013 2014 2015 77% 76% 78%

57 46 18 -1% pts +2% pts
-19% -61%
...Porcentaje de Vulnerabilidades que Eran Crticas
Nuevas Variantes de Malware 2013 2014 2015
para Dispositivos Mviles Android 16% 20% 15%

+4% pts -5% pts
2013 2014 2015
3.262 2.227 3.944

-32% +77%
Sitios Encontrados con Malware
2013 2014 2015

VULNERABILIDADES 1 de cada 566 1 de cada 1.126 1 de cada 3.172
Nuevas Vulnerabilidades
2013 2014 2015
6.787 6.549 5.585 SPEAR-PHISHING

-4% -15% (ATAQUES DIRIGIDOS A CORREOS ELECTRNICOS)
Vulnerabilidades de Correos Electrnicos

Da Cero Spear Phishing por Da
2013 2014 2015 2013 2014 2015
23 24 54 83 73 46
+4% +125% -12% -37%
DISPOSITIVOS MVILES & EL INTERNET DE LAS COSAS
DISPOSITIVOS
MVILES &
EL INTERNET
DE LAS
COSAS
SMARTPHONES Y Un Telfono por Persona

DISPOSITIVOS MVILES En 2015, se compraron en todo el mundo ms de 1.400 millones de
smartphones, un aumento del 10% en relacin a las 1.300 millones
de unidades vendidas el ao anterior, de acuerdo con IDC Worldwide
Los smartphones se estn tornando Quarterly Mobile Phone Tracker (27 de enero de 2016). Cinco de los
un blanco cada vez ms atractivo para seis nuevos telfonos utilizan Android, y uno en cada siete usa el sis-
tema operativo iOS de Apple (Smartphone OS Market Share, 2015, Q2).
los criminales online. Como resultado, Ericsson, fabricante de dispositivos mviles, prev que podr haber
hasta 6.400 millones de suscripciones de smartphones hasta fines de
ellos estn invirtiendo en ataques 2020, casi uno por persona.
ms sofisticados que son eficaces en Al mismo tiempo, los telfonos y tabletas con tecnologa de punta
el robo de datos personales valiosos poseen procesadores poderosos y con la red 4G, los aparatos tienen
conectividad a internet de alta velocidad. Tambin contienen valiosa
o extorsin de dinero de vctimas. informacin personal. En 2015, Apple Pay fue lanzada en ms pases
alrededor del mundo. Con Samsung Pay y Android Pay tambin com-
Si bien los usuarios de Android pitiendo para administrar las tarjetas en su cartera, deben surgir otros
continan siendo el principal blanco, sistemas de pago mvil. Todo eso hace que los smartphones sean muy
atractivos para los criminales.
2015 nos mostr tambin ataques
eficaces en los dispositivos de Apple,
y los dispositivos iOS no necesitan
desbloquearse para ser comprometidos.
Amenazas en Mltiples Plataformas

Con muchas tiendas de aplicativos, los usuarios son capaces de nave- El nmero de vulnerabilidades de dispositivos mviles ha aumentado
gar, comprar e instalar remotamente aplicativos a partir de su equipo en los ltimos tres aos. Al contrario de los dispositivos Android, las
de escritorio, lo que proporciona una oportunidad nica para las ame- vulnerabilidades de iOS han sido una parte fundamental para lograr
nazas en mltiples plataformas. Como ejemplo, con Google Play, los el acceso a un dispositivo iOS, especialmente para dispositivos desblo-
clientes pueden navegar en Play Store a partir de su computadora queados. Desbloquear un aparato permite que un usuario pueda ins-
usando un navegador web normal, que instala aplicativos directamente talar aplicativos que no son autorizados en Apple Store e ignorar la
en su telfono. Los ejemplos recientes de algunos casos de malware de seguridad integral de iOS. Es mucho ms difcil comprometer un apa-
Windows han explorado esta situacin, robando los cookies de sesio- rato original, no desbloqueado, pues eso normalmente requiere que un
nes de Google Play del navegador del equipo de escritorio infectado, aplicativo sea instalado a travs de una descarga en Apple Store. Apple
para usar estos cookies robados (esencialmente las credenciales del es bastante conocida por sus procesos rigurosos de seleccin, razn
usuario), pasarse por el usuario e instalar remotamente aplicativos por la cual el nmero de aplicativos iOS maliciosos es mucho menor
en los telfonos y las tabletas de las vctimas, sin su conocimiento o que para Android.
autorizacin.
En 2012, IOS.Finfish haba sido el primer ejemplo de un app iOS mali-
cioso descubierto en Apple Store. Finfish logr robar informacin de
Total de Familias de Malware para Dispositivos Mviles un dispositivo comprometido. OSX.Wirelurker surgi en 2014 y utiliz
Android un ataque que inclua conexiones USB a un Mac o PC, potencialmente
TT El nmero de familias de malware Android aadidos en 2015 creci un 6%, permitiendo que los aplicativos fuesen instalados en dispositivos iOS
en comparacin con el crecimiento del 20% en 2014. no desbloqueados.
No obstante, en 2015, se revel que los ataques usando XcodeGhost y

350 YiSpecter no exigan vulnerabilidades, o que el dispositivo fuese des-
bloqueado, a fin de comprometer un dispositivo iOS. Ms adelante en
300
295
277 esta seccin, vamos a observar detenidamente estas y otras amenazas
a dispositivos mviles.
250 231
200
174 Vulnerabilidades en Dispositivos Mviles por Sistema
150 Operativo
TT Las vulnerabilidades en la plataforma iOS han representado el mayor
100 nmero de vulnerabilidades en dispositivos mviles en los ltimos aos,
71
con consultas muchas veces alimentada por el inters en desbloquear
50 aparatos u obtener acceso no autorizado para instalar malware.
2013 2014 2015

2011 2012 2013 2014 2015 100%
90
82 84 84
80
Total de Variantes de Malware para Dispositivos Mviles 70
Android 60
TT El volumen de variantes Android aument el 40% en 2015, en comparacin 50
con el 29% de crecimiento en relacin al ao anterior.
40
30
16 20 16
13 11
13.783 10
1 4 1 <1%
14 <1% <1%
12 iOS Android Blackberry OS Windows
9.839 Phone
10
7.612
MIL
8
Ataques a Android Se Tornn Ms Furtivos
6
4.350 Malware para Android se est tornando ms furtivo. Por ejemplo, los
4 autores de malware han comenzado a ofuscar el cdigo para ignorar
2
el software de seguridad basado en firmas. Adems, antes de iniciar
567 sus ataques, algunas instancias de malware pueden ahora verificar si
estn siendo ejecutadas en telfonos reales o en algn tipo de emula-
2011 2012 2013 2014 2015 dor o sandbox usados por investigadores de seguridad.
El nmero de ataques de malware contra Android oscil en 2015. En el Cmo los Mensajes Maliciosos de Vdeo
1 trimestre, Symantec bloque cerca de 550 ataques por da, el mayor
perodo del ao. Este nmero cay para cerca de 272 por da en el 3 Pueden Llevar al Stagefright y Stagefright 2.0
trimestre y volvi a subir a 495 en el final del 4 trimestre. No importa la rapidez con que Google corrija las vulnerabilidades cr-
ticas en el sistema operativo Android, la velocidad con la que los usua-
Volumen de Malware para Android rios finales reciben las actualizaciones depende de sus fabricantes de
aparatos, y eso a veces puede tardar ms tiempo. Esto fue destacado,
TT El nmero de aplicaciones de android que fueron clasificadas con contenido
malware en 2015 fue 3 veces mayor que en 2014, un aumento del 230%. en julio de 2015 cuando siete vulnerabilidades fueron corregidas, que
podran permitir que los invasores comprometiesen los aparatos afec-
tados simplemente envindoles un mensaje multimedia malicioso
25.000
(MMS). Lo nico que la vctima tena que hacer era ver el mensaje mali-
cioso que activaba un exploit.
20.000
Las siete vulnerabilidades implicadas fueron conocidas colectivamente
15.000
como las Google Stagefright Media Playback Engine Multiple Remote
Code Execution Vulnerabilities, (CVE-2015-1538, CVE-2015-1539,
CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828
10.000
y CVE-2015-3829) y todas estaban relacionadas con un componente
Android conocido como libStageFright, que trataba la reproduccin de
5.000 media Joshua Drake, de Zimperium zLabs, relat las vulnerabilidades
para Google en abril y mayo de 2015, incrementando mucho ms la preo-
cupacin de que si bien Google haba suministrado parches a sus aliados,
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
muchos fabricantes demoraron an ms a suministrar los parches para
2015
proteger a sus clientes. La gravedad de esas vulnerabilidades fue inten-
sificada por el hecho de que, a pesar de la disponibilidad de un parche
de Google, los usuarios permanecieron en riesgo hasta que las operado-
Los Diez Principales Malware para Android ras y fabricantes lanzasen sus propios parches. Eso muchas veces puede
TT El 37% del malware Android bloqueado por Symantec en 2015 era tardar semanas o meses, y muchos dispositivos ms antiguos pueden
relacionado con variantes de Android.Lotoor, que es la deteccin genrica simplemente no tener un parche lanzado para sus aparatos.
para herramientas de hacking que pueden explorar vulnerabilidades en
Android, a fin de obtener privilegios de acceso root en dispositivos Android No obstante, Google insiste en resaltar que los dispositivos con Android
comprometidos.
4.0 y superior (cerca del 95% de los dispositivos Android activos), cuen-
tan con proteccin incorporada contra ataques de buffer, usando una
Clasif. Malware Porcentaje tecnologa llamada Address Space Layout Randomization (ASLR). Adi-
cionalmente tambin aseguran que los usuarios de Android tambin
1 Android.Lotoor 36,8% pueden apagar la recuperacin automatica de mensajeria multimedaia
a travs de la aplicacin de mensajes incoporada, asi como a travs de
2 Android.RevMob 10,0%
Google Hangouts.
3 Android.Malapp 6,1%
Sin embargo esta mitigacin parcial, no previene que las vulnerabili-
4 Android.Fakebank.B 5,4% dades puedan ser exploradas si un mensaje multimedia malformado o
malicioso es descargado y abierto.
5 Android.Generisk 5,2%
En octubre de 2015, Dos nuevas vulnerabilidades similares al bug sta-
6 Android.AdMob 3,3%
gefright original fueron divulgadas. Igualmente, si eran exploradas
7 Android.Iconosis 3,1% podan permitir que el atacante obtuviese el control del dispositivo com-
prometido, cuando la victima realizase una vista previa de un archivo
8 Android.Opfake 2,7% mp3 o mp4. Con la creacin de archivos maliciosos de audio o vdeo, los
9 Android.Premiumtext 2,0% responsables del ataque podran atraer a un usuario a visualizar una
msica o vdeo en un dispositivo Android sin parche de correccin.
10 Android.Basebridge 1,7%
Google ya haba corregido la biblioteca libStageFright para que no pro-
cesase automticamente esos mensajes; sin embargo, an era posible
que los ataques explorasen libStageFright a travs del navegador del
dispositivo mvil. Llamada Stagefright 2.0, estas nuevas vulnerabilida-
des tambin podran ser exploradas a travs de ataques man-in-the-
middle y mediante aplicativos de terceros que tambin usasen Stage-
fright. Descubiertas y reportadas en agosto, se incluyeron los parches
para estas nuevas vulnerabilidades en la actualizacin de seguridad
mensual de octubre de Google.
Usuarios Android Bajo Presin con Phishing y Ransomware Ataca Dispositivos Mviles
Ransomware TT Imagine la frustracin de un usuario que descarga un nuevo aplicativo
interesante en su telfono y despus encuentra el dispositivo bloqueado
Adems de trucos familiares como esconder cdigos maliciosos en con un aviso del FBI en la pantalla inicial cuando intenta iniciar la sesin.
aplicativos aparentemente legtimos, o disfrazndose como algo ms TT Tiene dos opciones: pagar una multa y esperar que los responsables del
til, los invasores estn usando tcnicas ms sofisticadas para sacarle ataque desbloqueen el telfono o desistir de acceder a las fotos valiosas,
contactos y memoria.
dinero a sus vctimas. Por ejemplo, investigadores de Symantec han
descubierto un nuevo troyano de phishing Android, que engaa a los
usuarios a informar sus credenciales bancarias, generando un pop-up
falso sobre aplicativos legtimos de bancos. De la misma forma, el ms
nuevo ransomware Android copia el estilo de diseo de Google para
hacerlo parecer ms legtimo e intimidante cuando exhibe falsos avi-
sos del FBI en el bloqueo de la pantalla de los usuarios. Vimos tambin
ransomware para telfonos que logra cifrar archivos, como imgenes,
en lugar de simplemente alterar el cdigo de acceso al telfono.
Usuarios de Apple iOS Nunca

Estuvieron Tan Amenazados
Gracias a un control riguroso de Apple sobre su tienda de aplicativos y
sistema operativo, las amenazas a iPhones e iPads han sido poco fre-
cuentes y en escala limitada. Eso cambi en 2015.
TT En 2015, se identificaron nueve nuevas familias de amenazas iOS,

en comparacin con cuatro en el total anteriormente.
TT La herramienta de desarrollo de software pirateada, conocida
como XcodeGhost, infect hasta 4.000 aplicativos.
TT El malware YiSpecter escap por completo de los controles de la
tienda de aplicativos, usando la estructura de aprovisionamiento
de aplicativos corporativos.
TT Los investigadores encontraron Youmi incorporado en 256 aplica-
Desarrolladores de Aplicativos
tivos iOS. Este software es usado en aplicativos para exhibir publi- iOS Sufren con XcodeGhost
cidad, pero tambin enva informacin personal hacia un local En cuanto Apple vende cada vez ms iPads e iPhones, estamos seguros
remoto, sin la autorizacin de los usuarios. de que los criminales pondrn esos aparatos como blanco, atraidos en
TT Las vulnerabilidades en el sistema de transferencia de archivos parte por el poder superior de renta (en promedio) de sus propietarios.
inalmbrico AirDrop de Apple podran permitir que un invasor Sin embargo, los propietarios y usuarios de Apple no deben afirmar
instalase malware en un dispositivo Apple. ms que los dispositivos de Apple son inmunes a los ataques. En sep-
tiembre de 2015, un malware fue hallado en una serie de aplicativos
iOS en China, adems de ser encontrado en varios aplicativos legti-
mos de Apple Store, incluyendo WeChat, un aplicativo popular de
mensajera instantnea. El problema es que esos aplicativos no fueron
especficamente creados para ser maliciosos, pero sus desarrolladores
haban sido comprometidos con malware que fue incorporado en los
aplicativos que estaban desarrollando.
El cdigo malicioso, conocido como XcodeGhost (detectado como OSX.

Codgost), haba sido descubierto en ciertas versiones no oficiales del
ambiente de desarrollo integrado de Apple, Xcode. Los desarrolladores
de aplicativos de iOS que usaron esas versiones infectadas de Xcode
fueron inadvertidamente permitiendo que el cdigo malicioso se intro-
dujera en sus propios aplicativos iOS oficiales, poniendo en riesgo a
sus usuarios.
Si un usuario baja e instala un aplicativo infectado, XcodeGhost carga

la informacin sobre el dispositivo a su servidor de comando y con-
trol (C&C). El responsable del ataque, entonces, sera capaz de emitir
comandos a travs del servidor C&C para llevar a cabo acciones como:
TT Crear falsas alertas de phishing para robar nombre de usuario y sigue o el procedimiento de habilitacin. Por otro lado, pueden haber
clave de la vctima sido capaces de robar certificados legtimos de un desarrollador ya
registrado o a travs de alianzas con algn desarrollador.
TT Lectura y escritura de datos en el rea de transferencia del disposi-
tivo, que podra ser usado para descubrir contraseas copiadas de As que los invasores lograron acceso a un certificado vlido de
una herramienta de administracin de contraseas empresa, fueron capaces de crear, firmar y distribuir sus aplicativos
TT Secuestro del navegador para abrir direcciones URL especficas, lo maliciosos, potencialmente hacia cualquier dispositivo iOS, sin cual-
que podra llevar a nuevos exploits quier intervencin de Apple. Es evidente que cuando Apple descubre
acerca del mal uso de cualquier certificado corporativo, el mismo
Se estima que se infectaron cientos de aplicativos iOS en Apple App
puede ser inmediatamente revocado, tornando intil cualquier apli-
Store, potencialmente afectando a cientos de miles de usuarios, espe-
cativo firmado. Los aplicativos corporativos firmados generalmente
cialmente en China, donde el app WeChat es bastante popular.
pueden instalarse apenas cuando el usuario acepta la solicitud para
Esta amenaza no exiga un aparato iOS desbloqueado, como en casos confiar en el aplicativo o desarrollador. En nuestra experiencia, sabe-
anteriores de amenaza a iOS, tornndose un hecho nuevo y bastante mos que preguntar al usuario si confa en un aplicativo o desarrollador
alarmante en el escenario de las amenazas mviles. Symantec bloque raramente es una eficaz medida de seguridad, pero es la ltima lnea
33 ataques entre septiembre y diciembre de 2015. Asimismo, no fue de defensa que necesita ser cruzada antes de que el malware logre ins-
apenas iOS de Apple que estuvo bajo presin en 2015. Mac OS X, el talarse.
popular sistema operativo de equipos de escritorio de empresas, tam-
bin vio un incremento en las vulnerabilidades, exploits y amenazas Explorando las APIs Privadas de Apple
durante el ao.
Una de las razones por las cuales YiSpecter ha incluido funcionalida-
des ms avanzadas fue porque tambin utiliz las propias APIs priva-
YiSpecter Muestra Cmo Los Ataques Tienen das de Apple para llevar a cabo actividades que los aplicativos estn-
Ahora iOS Firmemente en Su Punto de Mira dar iOS no consiguen. Estas APIs privadas son reservadas para que
los propios aplicativos de Apple sean capaces de realizar una serie de
En 2015, vimos un aumento de las amenazas dirigidas a la plataforma
acciones en el nivel de sistema. Otros desarrolladores iOS no deben
iOS, que incluyen YiSpecter (detectado como IOS.Specter), que tambin
usar esas APIs en sus aplicativos, y cualquier aplicativo de terceros que
fue descubierto en octubre de 2015. YiSpecter fue especficamente pro-
lo realice, es rechazado por Apple App Store. De hecho, YiSpecter es
yectado para atacar a usuarios del idioma chino y han afectado prin-
capaz de escapar de los controles de App Store oficial, pues logra utili-
cipalmente a los usuarios en Asia Oriental, incluso China y Taiwan.
zar los canales de distribucin no oficiales para diseminar el malware.
YiSpecter es un caballo de troya capaz de explorar tanto dispositivos Como resultado, la amenaza es capaz de obtener ventaja de las APIs
iOS desbloqueados como originales; esencialmente suministrando una privadas para sus debidos fines.
puerta de los fondos al dispositivo comprometido para la instalacin de
adware. El troyano permite que un invasor realice una serie de tareas Madware Youmi para Mltiples Plataformas
que incluyen la desinstalacin de aplicativos, descarga de nuevos apli-
cativos fraudulentos, y forzando a otros aplicativos a exhibir anuncios.
Roba Datos Personales en iOS y Android
En octubre de 2015, Apple retir hasta 256 aplicaciones de su App Store
por, aparentemente, violar directrices de privacidad de la empresa. Los
Dispositivos IOS Originales Son Blancos para
aplicativos haban empleado tecnologa de publicidad de terceros de
los Atacantes y Hay Abuso de Certificados una empresa llamada Youmi (detectado como Android.Youmi), que
YiSpecter fue la primera amenaza iOS que se aprovech de la estruc- estaba secretamente siendo usada para acceder a informacin perso-
tura de aprovisionamiento de aplicativos corporativos de Apple para nal, que incluyen direcciones de correo electrnico de cuentas de usua-
comprometer los aparatos no desbloqueados. La estructura es usada rios de Apple, adems de nmeros IMEI - International Mobile Station
por muchas empresas para poner a disposicin, de manera legtima, Equipment Identity.
aplicativos privados para sus equipos de trabajo, sin tener que dejar-
Poco tiempo despus, la misma biblioteca de publicidad fue descubierta
los pblicamente disponibles en App Store oficial. Los aplicativos son
en una serie de aplicativos para Android, que estaba siendo usada para
desarrollados y firmados con certificados corporativos, y no necesitan
ejecutar una serie de acciones que tambin podan comprometer la
ser controlados por Apple antes de distribuirse fuera de App Store. Eso
privacidad del usuario, incluyendo la recopilacin de la ubicacin de
tambin brinda ms espacio para que las empresas desarrollen aplica-
su GPS y el nmero de telfono, as como tambin realizar la descarga
tivos con recursos que de otra forma seran rechazados por Apple, sin
de aplicaciones adicionales, potencialmente indeseables.
embargo tambin pueden ser firmados e implantados legtimamente a
travs de la estructura.
Cmo Identificar Madware
No obstante, como demostrado con YiSpecter, los certificados cor-
Adware y su contraparte mvil, adware mvil (o madware), estn pre-
porativos iOS tambin pueden utilizarse para empaquetar y firmar
sentes por muchos aos y es una manera popular de financiar aplica-
malware. No se sabe exactamente como los responsables del ataque
ciones gratuitas, donde el desarrollador del aplicativo recibe un valor
han logrado el acceso a los certificados, pero es posible que se hayan
por cada uno de los anuncios presentados a sus usuarios. Muchas
registrado en Apple como una empresa que paga las debidas tasas y
personas se sienten felices en poner a disposicin una pequea rea
de la pantalla para anuncios a cambio de un aplicativo gratuito; sin Protegiendo Dispositivos Mviles
embargo, eso a veces puede suceder sin la autorizacin del usuario o
de una forma particularmente agresiva. Symantec ha registrado un Recomendamos que las personas y los empleadores traten los disposi-
aumento del 77% en aplicativos que contienen madware indeseado. tivos mviles como las computadoras pequeas y poderosas que son y
cuiden su proteccin, que incluye:
Las herramientas que bloquean anuncios han crecido en popularidad
como una manera de evitarlo, y mediante el bloqueo de anuncios en TT Control de acceso, incluso la biometra, siempre que sea posible.
dispositivos mviles, tambin ayudan a reducir el consumo de planes Prevencin de fuga de datos, por ejemplo, cifrado en el dispositivo.
de datos que ocurre con el trfico generado por madware, adems de Backup automatizado del dispositivo.
minimizar el nmero de anuncios que aparece en la pantalla. Del mismo TT Herramientas remotas que encuentren y remuevan datos, en el
modo, ese software puede tambin ayudar a mejorar la postura de segu- caso de un dispositivo perdido.
ridad de un dispositivo, bloqueando madware potencialmente inde-
TT Actualizaciones regulares. Por ejemplo, la ltima versin de
seado que puede instalarse sin autorizacin o conocimiento del usuario.
Android, Marshmallow (versin 6.0), fue lanzada en octubre e
incluye una serie de recursos diseados especficamente para frus-
Anlisis de Aplicativos por Norton Mobile Insight de Symantec trar los ataques. De acuerdo Statista, en octubre de 2015, KitKat
TT Symantec analiz un nmero 71% mayor de aplicativos en 2015 y una (versin 4.4) an era la versin ms usada de Android en el 38,9%,
cantidad ms de tres veces mayor (230%) de los mismos se clasificaron y Lollipop (versin 5.0) era responsable del 15,6%.
como maliciosos. Hubo un aumento del 30% en grayware, en gran
parte, debido al aumento del 77% en aplicativos que contienen madware
TT Abstngase de realizar la descarga de aplicativos de sitios descono-
indeseado. cidos y solamente instale aplicativos de fuentes seguras.
TT No desbloquee dispositivos. Los dispositivos desbloqueados son
2013 2014 2015 muchas veces ms susceptibles a problemas de seguridad.
TT Preste especial atencin a las autorizaciones solicitadas por un
Total de Aplicativos 6,1 6.3 10,8 aplicativo.
Analizados Millones Millones Millones TT Actualice los aplicativos lo ms rpido posible, o si identifica un
aplicativo sospechoso, exclyalo y espere que est disponible una
Total de Aplicativos nueva versin.
Clasificados como
0,7 1,1 3,3
TT Altere la contrasea de Apple ID o Google Play, si sospecha que
Malware Millones Millones Millones
su cuenta ha sido invadida. Esta recomendacin se extiende a la
proteccin de credenciales de la cuenta en cualquier tienda de apli-
Total de Aplicativos cativos de terceros.
Clasificados como
2,2 2,3 3,0
Grayware Millones Millones Millones TT Cuidado con los correos electrnicos sospechosos o notificaciones
push hacia su dispositivo solicitando sus credenciales, o cualquier
Total de Grayware informacin de identificacin personal.
Clasificado 1,2 1,3 2,3 TT Proceda con cautela al usar su navegador mvil para visualizar
Posteriormente como Millones Millones Millones archivos de audio y video no solicitados hasta que se aplique una
Madware correccin.
TT Es aconsejable a los usuarios Android aplicar cualquier actualiza-
Programas y archivos que son creados
Definicin de cin de seguridad publicada por la operadora o fabricante del dis-
para generar daos. Malware incluye virus,
Malware positivo, tan pronto estn disponibles.
gusanos y caballos de troya.
TT Las soluciones adicionales de seguridad para dispositivos mviles
Programas que no contienen virus y que no tambin pueden ayudar a proteger contra software malicioso, y las
son directamente maliciosos, sin embargo empresas deben considerar las herramientas de gestin de movili-
Definicin de pueden ser irritantes o incluso perjudiciales dad que pueden ayudar a proteger y controlar dispositivos mviles
Grayware para el usuario, (por ejemplo, herramientas dentro de una organizacin.
de hacking, accessware, spyware, adware,
discadores y programas con pasatiempos).
Tcnicas agresivas para colocar publicidad

en lbunes de fotografas y entradas de
Definicin de calendario de su dispositivo mvil y generar
Madware mensajes en su barra de notificacin. El
madware puede, incluso, llegar al punto de
sustituir un tono de llamada con un anuncio.
DISPOSITIVOS MVILES & INTERNET DE LAS COSAS
Mirando hacia el Futuro nmero llegar a 20.800 millones hasta 2020 (Gartner, Inc., comuni-
cado de prensa, 10 de noviembre de 2015).
Las amenazas para dispositivos mviles continuarn diseminndose en
2016. En breve podremos ver kits de exploracin como los que existen Para que Internet de las Cosas entregue el prometido beneficio eco-
para PC, disponibles para telfonos en el mercado negro. nmico de US$ 2 trillones, los diseadores y los fabricantes tendrn
que enfrentar los retos fundamentales de seguridad. Sin embargo, las
Al mismo tiempo, Apple y Google estn trabajando duro para asegurar perspectivas no son buenas.
sus sistemas operativos y ecosistemas ms amplios. En particular, anti-
cipamos mejoras en las tcnicas utilizadas para validar y firmar aplica-
ciones, as como en la entrega de aplicativos. Los usuarios de telfonos La Inseguridad de las Cosas
se acostumbrarn con las frecuentes actualizaciones automticas como Durante el ltimo ao, Symantec ha visto un aumento en los ataques
norma del sistema operativo y aplicativos, adems de la necesidad de de prueba de concepto y un nmero creciente de ataques a Internet
software de seguridad en sus dispositivos mviles. de las cosas en el mercado. En varios casos, las vulnerabilidades eran
obvias y muy fciles de explorar. Los dispositivos de Internet de las
Posiblemente es un indicador de progreso, en vez de un motivo de pre-
Cosas no suelen ofrecer rigurosas medidas de seguridad, y algunos
ocupacin. El hecho sugiere que los investigadores de seguridad, desa-
ataques son capaces de explorar vulnerabilidades en los sistemas ope-
rrolladores de sistemas operativos y aplicativos estn, realmente, pres-
rativos basados en Linux encontrados en varios dispositivos y routers
tando ms atencin a la seguridad mvil al identificar y corregir ms
de IoT. Muchos problemas provienen de lo seguro que sean los meca-
problemas. Si bien esperamos que los dispositivos mviles sufran cre-
nismos implementados por los distribuidores para autenticacin y
cientes ataques durante el prximo ao, existe tambin la esperanza de
cifrado (o no). Aqu le damos algunos ejemplos:
que con las adecuadas medidas preventivas y una constante inversin
en seguridad, los usuarios puedan lograr un elevado nivel de proteccin TT Coches. Fiat Chrysler hizo un llamado de revisin a 1.4 millones
contra estos ataques. de vehculos luego de que un grupo de investigadores demostr por
medio de un ataque ficticio en una prueba de concepto que podan
tomar remotamente el control del vehculo. En el Reino Unido, los
EL INTERNET DE LAS COSAS ladrones han hackeado los sistemas de abertura sin llave para robarse
los coches.
Las cosas conectadas a Internet TT Dispositivos domsticos inteligentes. Millones de hogares son vul-
estn multiplicndose rpidamente. nerables a los ciberataques. Investigaciones de Symantec han des-
cubierto varias vulnerabilidades en 50 dispositivos disponibles en el
Vimos muchos ataques de prueba mercado, incluso una traba inteligente de puerta que puede abrirse
remotamente online sin una contrasea.
de concepto y reales en 2015,
TT Dispositivos mdicos. Investigadores han descubierto vulnerabi-
identificando vulnerabilidades serias lidades potencialmente mortales en decenas de dispositivos, como
bombas de insulina, sistemas de rayos x, escneres de tomografas
en coches, dispositivos mdicos y computarizadas, frigorficos mdicos y desfibriladores implantables.
mucho ms. Los fabricantes necesitan TT Smart TV. De acuerdo con un estudio realizado por Symantec, cien-
tos de millones de televisores conectados a Internet son potencial-
priorizar la seguridad para reducir mente vulnerables a clics invlidos, botnets, robo de datos, e incluso
el riesgo de graves consecuencias ransomware.
Dispositivos incorporados. Miles de dispositivos utilizados diaria-
personales, econmicas y sociales. TT
mente, incluyendo routers, cmaras web y telfonos IP, comparten
los mismos certificados de servidor HTTPS y SSH con codificacin
Miles de Millones de Cosas predefinida, dejando ms de 4 millones de dispositivos vulnerables a
la interceptacin y acceso no autorizado.
Internet de las Cosas ya est presente. Nosotros solamente tenemos
que observar alrededor de nuestro propio ambiente para ver el impacto Esperamos ver ms historias como sta el prximo ao. Si un disposi-
que est teniendo en nuestra vida cotidiana. El smartphone estndar tivo puede ser hackeado, posiblemente lo ser. Adems, cuando exis-
ahora tiene ms poder informtico que un mnibus espacial; un smar- ten ataques de prueba de concepto, los ataques reales invariablemente
twatch ahora realiza descargas de actualizaciones de Internet; las ter- seguirn. Incluso podemos esperar que los dispositivos de internet
minales de punto de venta en una tienda de caf estn todas vincula- de las cosas sean la va preferencial para atacar a una organizacin
das al sistema financiero central de la empresa; muchos coches ahora y, potencialmente, los blancos ms difciles para que el equipo de res-
tienen navegacin por satlite y conexiones Bluetooth; un termostato puesta a incidentes logren reconocerlos y removerlos.
conectado a Internet puede controlar la temperatura en nuestras casas.
Dado el pobre estado actual de la seguridad en los dispositivos conec-
En Estados Unidos existen 25 dispositivos online por cada 100 habi- tados, representarn un blanco cada vez ms atractivo para los crimi-
tantes y eso es tan solo el comienzo. Gartner prev que 6.400 millones nales que buscan blancos fciles, de la misma forma que los asaltantes
de cosas conectadas estarn en uso en todo el mundo en 2016, y este prefieren las casas sin alarmas o perros.
Una Visin del Futuro:

El Riesgo de las Cosas
1 Fuente: gartner.com/newsroom/id/3165317
Automacin Residencial Alcanzar reas. Sin embargo, la ciberseguridad debe ser un tema central para
que la adopcin de esta nueva generacin de tecnologa IoT pueda
un Punto de Ruptura hasta 2020 lograr xito. A medida que ms casas queden conectadas, ser difcil
A pesar del aumento de la popularidad y el rpido desarrollo, Inter- para los consumidores ignorar los beneficios que esta nueva tecnolo-
net de las cosas no alcanz una cantidad masiva cuando se trata de ga promete.
automacin residencial. Posiblemente, una de las ltimas barreras
Es siempre importante ponderar la conveniencia del control remoto,
que impiden el dominio de Internet de las cosas est relacionada con
automacin, facilidad de uso y los beneficios que ellos pueden propor-
protocolos estandarizados de comunicacin. Hasta el momento hemos
cionar, contra los riesgos potenciales introducidos que podran llevar
visto un gran crecimiento de dispositivos de Internet de las cosas
a los hackers abrir cerraduras que usan IoT, desactivar alarmas IoT, o
interconectados utilizando protocolos bien establecidos, tales como
de forma general, causar daos con los dispositivos de Internet de las
Wi Fi y Bluetooth. Los dispositivos que utilizan protocolos inalmbri-
Cosas.
cos 802.11b/g/n/ ac, que incluyen Smart TVs, termostatos inteligen-
tes, cmaras IP, y otros dispositivos, estn surgiendo en todas partes.
Los dispositivos que utilizan Bluetooth 4.0, como rastreadores de fit- Cmo proteger los Dispositivos Conectados
ness, smartwatches y otros dispositivos wearables, tambin han ayu- Proteger el Internet de las cosas requiere el mismo abordaje holstico
dado a Internet de las cosas a obtener una fuerza considerable en ese como en otras reas de seguridad de TI. Desafortunadamente, tanto
mercado. los ecosistemas IoT Industriales, el Consorcio de Internet Industrial
No obstante, estos protocolos de comunicacin fracasan en muchos (IIC), los ecosistemas IoT para consumidores, tales como la Alianza
casos de automacin residencial. Las ms recientes tecnologas Wi AllSeen, estn en el perodo inicial de la definicin de normas para
Fi funcionan bien para conexiones inalmbricas rpidas y eficientes, esta rea en rpida evolucin. Para resolver esto, Symantec ha publi-
pero tienen requisitos de energa que pueden ejercer una presin sobre cado su Arquitectura de Referencia de Seguridad, y contribuido para
los dispositivos menores. Bluetooth funciona mejor en este escenario, los esfuerzos de IIC y AllSeen, juntamente con Online Trust Alliance
pero su corto alcance no lo torna ideal para la comunicacin a partir de (OTA) IoT Trust Framework, y el programa del Departamento de Segu-
algunos metros de distancia. Eso no significa que no pueda ser hecho. ridad Interna (DHS) de Estados Unidos, Security Tenets for Life Criti-
Solamente no fue posible an hacerlo a un menor costo para propor- cal Embedded Systems.
cionar la tecnologa a todas partes. Una seguridad eficaz requiere capas integradas de seguridad en dispo-
Un nmero de proveedores ha trabajado para enfrentar esos retos de sitivos y en la infraestructura que los administra, que incluyen auten-
comunicacin, a pesar de que ninguno todava haya logrado dominar ticacin, firma de cdigo y seguridad en el dispositivo (como tecnologa
el mercado. Eso dej como resultado un mercado fragmentado de espe- embutida de Proteccin de Sistemas Crticos). Tambin son esenciales
cificaciones de comunicacin inalmbrica competidoras, relaciona- datos analticos, auditora y alertas para comprender la naturaleza de
dos a especficos proveedores o grupos de proveedores. Lo que puede las amenazas emergentes en esta rea. Finalmente, la tecnologa de
finalmente abrir las puertas para los dispositivos pequeos, de baja cifrado fuerte SSL/TLS desempea un papel crucial en la autentica-
potencia de Internet de las cosas es Wi Fi HaLow (IEEE 802.11ah), cin y proteccin de datos.
un nuevo protocolo de comunicacin para Internet de las cosas y dis-
positivos wearable, programado para ser finalizado y certificado entre Hacia un Futuro Seguro y Conectado
2016 y 2018. Una vez liberado, los fabricantes de routers podran rpi-
As como sucede con otros aspectos de la seguridad en Internet, algu-
damente incorporar el protocolo en sus productos, como sucede con
nas amenazas son ms peligrosas que otras, y mientras un monitor de
otros protocolos de comunicacin como 802.11ac, y al realizarlo, abrir
fitness hackeado puede ser un inconveniente, una vulnerabilidad en
las puertas para que los consumidores automaticen sus casas de forma
millones de coches puede presentar un peligro ms grave. De la misma
ms fcil y barata.
forma, un backdoor en un dispositivo mdico puede suministrar a los
Por supuesto que al introducir una nueva tecnologa, la superficie de ladrones acceso a registros mdicos, si bien relativamente en pequea
ataque se expande, lo que presenta una variedad de nuevos problemas escala, puede llevar a graves lesiones o potencialmente incluso a la
desde el punto de vista de la seguridad. Redes propietarias de Internet muerte.
de las cosas ya han sido encontradas con varias vulnerabilidades de
Las formas de correccin son bien comprendidas, pero los fabrican-
seguridad, algunas triviales y algunas graves. La pregunta fundamen-
tes necesitan priorizar la seguridad y encontrar el correcto equilibrio
tal sobre Internet de las cosas y automacin residencial no es, Cmo
entre la innovacin, facilidad de uso y restricciones de Time to mar-
podemos hacerlo? sino, Cmo podemos hacerlo de forma segura?
ket. Principalmente, las empresas y los consumidores necesitan estar
Con la adopcin de normas comunes, es probable que los antiguos pro- seguros de que los distribuidores estn introduciendo seguridad en los
tocolos propietarios quedarn en el olvido, abriendo el camino para, dispositivos que estn comprando de Internet de las cosas.
potencialmente, una mayor consolidacin en el mercado. En cuanto
las marcas ms grandes y bastante conocidas continuarn lanzando
sus propios productos, las empresas menores e innovadoras de Inter-
net de las Cosas se tornarn blancos atractivos para las organizacio-
nes que buscan expandir rpidamente su cartera de productos en esas
AMENAZAS WEB
AMENAZAS
WEB
ATAQUES WEB, TOOLKITS Los propietarios de sitios an no estn aplicando parches ni actuali-
zando sus sitios web y servidores con la frecuencia que tal vez debe-
Y EXPLORACIN DE ran. Es como dejar una ventana abierta a travs de la cual los ciber-
criminales pueden entrar y aprovecharse de todo lo que encuentran.
VULNERABILIDADES ONLINE En los ltimos tres aos, ms del 75% de los sitios escaneados conte-
Si los servidores web estn vulnerables, nan vulnerabilidades no corregidas, uno en cada siete (15%) que eran
consideradas como crticas en 2015.
entonces los sitios y las personas
que los visitan tambin lo estn. Los
grupos de ataque estn explorando
cualquier vulnerabilidad que pueda
comprometer sitios y comandar
sus servidores host. La facilidad
de uso y amplia disponibilidad de
toolkits para los ataques web est
aumentando el nmero de estos
ataques, que se duplicaron en 2015.
AMENAZAS WEB
Sitios Escaneados con Vulnerabilidades Nmero Anual de Vulnerabilidades de Plugins

TT Una vulnerabilidad crtica es aquella que, si es explorada, puede permitir que TT El nmero de vulnerabilidades en plugins Adobe creci en 2015, una
el cdigo malicioso sea ejecutado sin interaccin del usuario, potencialmente indicacin de que los invasores estn buscando explorar plugins que son
resultando en una violacin de datos y comprometiendo a los visitantes de no solamente multiplataforma, sino tambin omnipresentes. La mayora
los sitios afectados. de las vulnerabilidades de Adobe est relacionada con Adobe Flash Player
(tambin conocido como Shockwave Flash).
2013 2014 2015 700 679

Plugins Adobe
600 Plugins Apple
Plugins Chrome
500
Plugins ActiveX
400 375
77% 76% 78% 336
300
-1% pts +2% pts
200
100
Porcentaje de Vulnerabilidades que Eran Crticas

2013 2014 2015
2013 2014 2015

El Fin Est Prximo para Flash
Adobe Flash Player ha sido constantemente objeto de exploracin
maliciosa a lo largo de los aos y fue responsable de 10 vulnerabilida-
des clasificadas como de da cero en 2015 (17%) en comparacin con
16% 20% 15% 12 en 2014 (50%), y cinco en 2013 (22%). Con nmeros tan expresi-
+4% pts -5% pts
vos, es evidente el motivo por el cual los grupos de ataque se enfocan
tanto en la exploracin de Flash. Apple, Google y Mozilla han manifes-
tado su preocupacin con el plugin Flash, y Google recientemente ha
anunciado que Flash no ser ms soportado originalmente en Chrome.
Plugins Problemticos Mozilla sigue dando soporte a Flash en Firefox como una excepcin a
No son solamente los sistemas operativos que tornan vulnerables a los la poltica general de plugins.
servidores web. A pesar de que muchos de los principales proveedores
de sistemas de administracin de contenido han mejorado la seguri- A partir de una perspectiva de seguridad, esperamos que Adobe Flash
dad e implementado actualizaciones automticas en los ltimos aos, gradualmente deje de utilizarse de forma comn durante el prximo
la seguridad de plugins para estos sistemas an es un gran problema. ao.
Vulnerabilidades de los Navegadores Ataques Web Bloqueados por Mes

TT El grfico muestra el nmero de ataques Web bloqueados por da en
promedio, desde 2013. Un promedio de un milln de ataques web fueron
1.000 bloqueados por da en 2015, un aumento del 117% (ms del doble) en
Opera comparacin con 2014.
891 876
Mozilla Firefox
800
Microsoft Internet 1.500
639 Explorer
591
600 Google Chrome 1.200
Apple Safari
400 351 900
MIL
600
200
300
2011 2012 2013 2014 2015
2013 2014 2015

AMENAZAS WEB
Exploracin de Plugins para Servidores Web Enfoque en Anuncios Maliciosos

No son solamente los plugins para navegadores web que son vulne- El kit de exploit Angler, visto por primera vez en 2013, est, sin lugar a
rables y explorados. Considere WordPress, que ahora abarca un 25% dudas, entre los ms sofisticados kits de exploit disponibles hoy, y fue
de los sitios del mundo, por ejemplo. Cualquiera puede desarrollar pionero en muchos avances tcnicos que otros kits de exploit frecuen-
plugins para WordPress. Plugins van desde lo til a lo completamente temente siguieron, incluyendo el uso de contramedidas anti cibersegu-
ridculo, como Logout Roulette: cada vez que una pgina admin ridad. Por ejemplo, Angler es capaz de bajar y ejecutar malware de la
carga, existe una chance en diez de que usted ser desconectado. memoria, sin necesidad de grabar todos los archivos en el disco, en un
intento de evitar la deteccin por tecnologa de seguridad tradicional.
El problema es que algunos plugins son demasiado inseguros. Win-
Adems, un factor significativo en el crecimiento increble de Angler
dows atrae muchos exploits por causa de su gran base de usuarios, y
en 2015 es que ha sido muy rpido en la integracin de un creciente
lo mismo se aplica a plugins de WordPress. Plugins vulnerables encon-
nmero de nuevos exploits de da cero en su arsenal.
trados en sitios WordPress pueden y sern explorados.
Plugins, ya sea para navegadores o servidores, necesitan ser actuali- Cinco Principales Toolkits de Ataques Web
zados regularmente, pues son vulnerables a fallas de seguridad, y las
TT El kit de exploit Angler fue el kit de exploit ms comn en uso durante 2015,
versiones desactualizadas deben evitarse siempre que sea posible. y fue responsable del 23% de todos los ataques web generados por kits de
exploit. Present un crecimiento considerable en el ltimo ao y no estaba
en la lista de los cinco primeros de 2014.
Reduzca el Riesgo de Plugins
TT Actualice los plugins regularmente.
TT Preste atencin en la media y las listas de seguridad para avisos.
TT Sea muy selectivo sobre los plugins usados para reducir la
superficie de ataque
Otros 50%
Infeccin por Inyeccin

En 2015, Symantec tambin vio el retorno de Team GhostShell, que
afirma haber hackeado un nmero significativo de sitios. A inicios de
este ao, el equipo de Symantec Security Response relat:
Otros 64%
De acuerdo con la impresin inicial, la lista recientemente lanzada de
sitios hackeados parece ser aleatoria y no existe ninguna indicacin de
que cualquier pas o sector en particular est siendo un blanco espe-
cfico. Es ms probable que el grupo est hackeando sitios con base en Angler fue el ms activo kit de exploit en 2015, y Symantec bloque
su vulnerabilidad. diariamente cientos de miles de ataques de este kit. En total, el nmero
de ataques bloqueados basados en Angler supera los 19,5 millones. El
De acuerdo con su modo de actuacin anterior, es probable que el
mecanismo de entrega favorito de Angler fue a travs de malvertis-
grupo haya comprometido los bancos de datos mediante ataques de
ments, favoreciendo vulnerabilidades exploradas de Adobe Flash.
inyeccin de SQL y scripts PHP mal configurados.
Windows fue el blanco preferido de Angler en 2015. Windows 7, en
Nuevamente, stos son hacks que probablemente podran haber sido particular, sufri el 64% de los ataques de Angler y Windows 8.1 sufri
evitados con una mejor administracin de sitios web y servidores. La el 24% de los ataques. Adems, Mac OS X no pareci estar en la lnea
inyeccin de SQL es un mtodo de ataque antiguo, que sigue funcio- de fuego de los grupos de ataque usando toolkit Angler en 2015, pero
nando debido a una debilidad innecesaria en los parmetros que los es esperado que eso cambie a medida que los cibercriminales busquen
administradores establecen para consultas de bsqueda. explorar el ecosistema de Apple.
Toolkits de Exploit para Ataques Web Los Fraudes de Soporte Tcnico Aumentan
Es difcil defenderse contra nuevas y desconocidas vulnerabilidades, Considerablemente, Diseminando
particularmente vulnerabilidades de da cero para las cuales puede no Ransomware
existir cualquier parche y los grupos de ataque se estn esforzando para
En 2015, Symantec registr un aumento de fraudes de soporte tcnico,
explorarlas ms rpidamente que los proveedores logran lanzar parches.
equivalente a un aumento del 200% en relacin al ao anterior.
En 2015, en la secuencia de la violacin de Hacking Team, una empresa
Los fraudes de soporte tcnico no son una nueva tctica, y cientos de
con sede en Italia, se divulgaron exploraciones de da cero previa-
miles de personas en todo el mundo son blancos diariamente. Los pri-
mente desconocidas por los responsables del ataque. Se compartieron
meros tipos de fraude de soporte tcnico involucraban a representan-
exploits para vulnerabilidades de da cero y en pocas horas, se integra-
tes de call center llamando al azar a usuarios, e intentaban venderles
ron en toolkits de exploits.
paquetes de soporte tcnico para resolver problemas inexistentes en
las computadoras de las vctimas.
AMENAZAS WEB
Esos fraudes han evolucionado a lo largo del tiempo, y los ejemplos Malvertising
ms recientes pueden exhibir mensajes falsos de aviso aparentemente
interminables, incentivando a las vctimas a llamar a un nmero de Los meses que implica mediados de 2015 fueron vctimas de cuen-
telfono gratuito para obtener ayuda. Al llamar al nmero, un equipo tas de malvertising, que afectan casi todos los segmentos de Internet
de call center aparentemente profesional intenta convencer a sus vc- soportado por anuncios. Una posible explicacin es que malvertising
timas a instalar malware y otros aplicativos indeseados en sus compu- es simplemente una manera ms fcil para infectar a los visitantes
tadoras, mientras afirman que esto corregir su problema. de sitios que enviar enlaces de spam hacia los sitios infectados. Es
mucho ms fcil para un grupo de ataque intentar comprometer un
En la ltima versin del fraude, el soporte tcnico estaba usando el kit sitio popular o buscar alojar anuncios maliciosos en sitios populares
de exploit Nuclear para instalar ransomware en las computadoras de de alto trfico, porque eso significa que ellos no necesitan considerar
sus potenciales vctimas. Los delincuentes pueden distraer al usuario los matices complejos de la ingeniera social, eliminando un paso ms
mientras el ransomware cifra los archivos en su computadora, proba- en el filtro de los criminales.
blemente aumentando su chance de obtener dinero con la vctima.
Las empresas de publicidad muchas veces no suelen solicitar mucha
Sin embargo, esa no fue la primera vez que los estafadores de soporte informacin acerca de las personas que publican anuncios, tornando
tcnico fueron descubiertos instalando ransomware. Los ejemplos ms ms fcil para los criminales enmascararse como empresas legtimas
recientes incluyen un iframe HTML malicioso en su sitio, redirigiendo y hacer upload de anuncios maliciosos, que pueden aparecer en una
los visitantes hacia un servidor que aloja el kit de exploit Nuclear. Se gran cantidad de sitios.
identific que el kit de exploit estaba aprovechando la reciente vul-
nerabilidad de ejecucin de cdigo remoto no especificado de Adobe Gracias al uso de cookies, los autores de malware tambin pueden
Flash Player (CVE-2015-7645), entre otras vulnerabilidades. En caso adaptar su cdigo malicioso o redireccionamientos para alcanzar prc-
de xito, instalaba Trojan.Cryptowall (ransomware) o Trojan.Miuref.B ticamente cualquier subconjunto de usuarios, por la geografa, hora
(un troyano de robo de informacin). del da, empresa, intereses o actividades recientes en el Internet.
sta fue la primera vez que Symantec vio los fraudes de soporte tc-
Clasificacin de los Sitios Explorados con Mayor Frecuencia
nico usados en paralelo con el kit de exploit Nuclear para instalar
ransomware, y si eso se revela una combinacin eficaz, esta tendencia TT En 2015, los sitios relacionados con negocios y tecnologa fueron los ms
populares para el alojamiento de contenido malicioso y malvertising.
debe continuar. A pesar de que sea bastante admisible que los estafa-
dores de soporte tcnico y los grupos de ataque con exploit kits hayan
unido fuerzas, es posible que los servidores web de los propios estafa- 2015
dores de soporte tcnico fueron comprometidos por un grupo separado 2015 Porcentaje del
10 Categoras de 2014 2014
que estn usando el kit de exploit Nuclear. Nmero Total
Sitios Explorados con Top 10 %
Mayor Frecuencia de Sitios Web
Infectados
Fraudes Bloqueados de Soporte Tcnico
TT En total, Symantec bloque ms de 100 millones de ataques de malware o
kits de exploit relacionados con fraudes de soporte tcnico en 2015. 1 Tecnologa 23,2% Tecnologia 21,5%
TT Los pases que sufrieron ms fraudes dirigidos de soporte tcnico fueron
Estados Unidos, Reino Unido, Francia, Australia y Alemania. 2 Bsqueda 8,1% Hosting 7,3%
18 3 Pesquisa 7,5% Blogs 7,1%

16
14 4 Blogs 7,0% Negocios 6,0%
12
MILLONES
10 5 Dinmico 6,4% Anonimizador 5,0%
6
6 Educativo 4,0% Entretenimiento 2,6%
4
Dominio
7 3,2% Compras 2,5%
2 estacionado
8 Entretenimiento 2,6% Ilegal 2,4%
2015
Dominio
9 Compras 2,4% 2,2%
estacionado
10 Ilegal 2,1% Virtual Comunidad 1,8%

AMENAZAS WEB
Desafortunadamente, malvertising es notoriamente difcil de contro- gobierno britnico revel recientemente que haba ahorrado 1.700
lar y los criminales se han tornado cada vez ms inteligentes, remo- millones a travs de la transformacin digital y tecnolgica en 2014.
viendo el cdigo malicioso de sus anuncios despus de una o dos horas,
tornndose casi invisibles. Debido a su poder, eficacia y difcil anlisis, Si bien los certificados SSL/TLS, marcas de confianza y una buena
creemos que el uso de malvertising siga creciendo. De esa forma, puede seguridad en sitios web ayudan a mantener la economa online, toda
haber un aumento en la bsqueda por bloqueadores de anuncios, a fin esa actividad econmica podra estar en peligro si las personas perdie-
sen la confianza en la base de seguridad de la economa online.
de ayudar a reducir el impacto negativo de malvertising.
Los Sitios An Son Vulnerables a Ataques

RETOS DE CIBERSEGURIDAD PARA Llevando a Malware y a Violaciones de Datos
LOS PROPIETARIOS DE SITIOS Los sitios son un elemento crtico en grandes ataques: son un camino
hacia la red, un camino hacia los datos sensibles, y constituyen una
La confianza en los servicios online se forma de llegar a clientes y aliados.
ha tornado fundamental para nuestro Por ejemplo, el aumento en el malware destinado a Servidores Web
Linux, que incluyen hosts de sitios, comprueba que los criminales han
modo de vida, ya sea por la forma como notado que la infraestructura por tras de sitios es tan valiosa, si no
hacemos las compras, trabajamos ms, que las informacin cifrada por certificados SSL/TLS.
o pagamos nuestros impuestos. Muchos ataques contra la infraestructura de sitios web podran evi-
tarse con mantenimiento y aplicacin de parches de forma regular,
Afortunadamente, los cambios pero los nmeros sugieren que los propietarios de sitios simplemente
no estn logrando mantenerse actualizados. Tres de cada cuatro de los
estn llegando en la forma como sitios escaneados por Symantec en 2015 tenan vulnerabilidades, un
usamos y aseguramos Internet para nmero que no ha cambiado en los ltimos aos.
Los cibercriminales continan descubriendo vulnerabilidades en

reforzar la confianza en la privacidad, la infraestructura estructural de seguridad de sitios web en 2015,
seguridad y transacciones online. incluyendo FREAK, que permiti que los invasores interceptasen una
conexin segura para forzar el servidor a hacer el downgrade para un
La seguridad de un sitio web abarca ms que la informacin en trnsito cifrado de un protocolo ms fcil de penetrar.
entre un servidor y los visitantes de un sitio. Las organizaciones deben
Los ataques distribuidos de negacin de servicio (DDoS) tambin con-
pensar en sus sitios como parte de un ecosistema completo que nece-
tinuaron dejando perjuicios a las empresas en 2015. Si bien los ata-
sita cuidados constantes y atencin si desean mantener la confianza
ques de larga escala, como el que afect a BBC a fines de 2015, tienden
de las personas.
a atraer titulares de prensa, las empresas de todos los tamaos son
Las consecuencias de no reforzar la seguridad de sitios web deben un blanco para los ataques y generalmente los sitios menores pueden
sobrepasar los costos para una empresa especfica: pueden daar la sufrir como parte del dao colateral cuando un host necesita derribar
confianza de los consumidores y las consecuencias econmicas pue- un servidor, dejando varios sitios offline, por causa de un ataque con-
den ser enormes. tra apenas uno de sus clientes.
Existen tcticas de mitigacin y herramientas para defenderse contra

Ponga su Dinero Donde Est su Mouse los ataques DDoS, pero los gestores de los sitios necesitan un tiempo
El peso de la balanza finalmente cambi de lado, durante el feriado de para entender e implantarlas a fin de lograr mantener sus sitios segu-
Accin de Gracias en Estados Unidos en 2015, debido a que el nmero ros.
de consumidores que compr online super las compras en tiendas
fsicas, de acuerdo con la Fundacin Nacional de Minoristas. Acelerar el Uso de Cifrado Constante
E-commerce es un gran negocio, y Ecommerce Europe inform que No todas las noticias son malas. Se llevaron a cabo varios avances,
el volumen de negocios B2C global de comercio electrnico creci un tanto en la fuerza y adopcin de certificados SSL/TLS en 2015, como
24%, llegando a US$ 1.900 millones en 2014. No obstante, eso puede en las iniciativas de las Autoridades de Certificacin (CAs) para tornar
parecer pequeo si es comparado con los US$ 6,7 trillones que Frost el proceso de emisin de certificados SSL/TLS ms transparente.
& Sullivan estima que valdr el mercado de e-commerce B2B en 2020.
Crucialmente, casi el 40% de todo el trfico downstream de Internet en
El pronstico de Frost & Sullivan incluye todas las formas de comercio
Estados Unidos es cifrado, de acuerdo con estudios de Sandvine, y eso
electrnico, incluso el uso de sistemas electrnicos de transferencia de
debe crecer para ms del 70% del trfico mundial de Internet durante
datos e Internet.
el prximo ao.
Incluso los gobiernos se estn tornando cada vez ms dependientes
Desafortunadamente, en un mundo donde todo es cifrado, los con-
de los servicios digitales para controlar sus costos. Como ejemplo, el
sumidores tienen una falsa sensacin de seguridad siempre que ven
AMENAZAS WEB
HTTPS en el navegador, creyendo que el sitio en el que estn fue vali- Transferencia de Hipertexto. Llamado de HTTP/2, probablemente
dado y autenticado y por lo tanto, debe ser verdadero. En la realidad, ser adoptado como modelo en un futuro prximo y, como la pro-
el fraude online histricamente ha ocurrido en los sitios con Dominios puesta establece, HTTP/2 permite un uso ms eficiente de los
Validados (DV), que no ofrecen ninguna validacin de la organizacin recursos de la red, significando que HTTP/2 fue proyectado para
por detrs del sitio. ofrecer un mejor desempeo responsivo y ms rpido para los
sitios desde su lanzamiento. Y todos los principales navegadores
Con certificados DV, CA verificar si un contacto en el dominio refe-
han confirmado que su soporte para HTTP/2 solamente ocurrir
rido aprueba el pedido de certificado, normalmente mediante el correo
sobre SSL/TLS. Por consiguiente, esto hace que el cifrado sea obli-
electrnico o telfono, y eso muchas veces es automtico. Por lo tanto,
gatorio para los sitios que usan ese nuevo modelo.
los certificados DV son generalmente ms baratos que los ms rigu-
rosos certificados SSL de Validacin Extendida (EV), que exigen una La esperanza es que, dentro de los prximos aos, cada pgina en
verificacin y validacin mayor. Internet tendr un certificado SSL/TLS. Symantec ya est trabajando
con proveedores de alojamiento web, a fin de ayudarlos a brindar el
Si bien es cierto que los certificados DV comprueban la autorizacin cifrado como parte de su servicio para propietarios de sitios.
del propietario de un dominio, no intentan verificar quien realmente es
el propietario del dominio, tornndolo ideal tanto para ataques MITM
Garanta Reforzada
(man-in-the-middle) as como para ataques de phishing. Symantec
espera ver un movimiento de las organizaciones, particularmente de Varios de los principales navegadores tambin estn migrando sus
aquellas guiadas por compliance PCI, para reforzar los requisitos de indicadores de seguridad - los colores y smbolos utilizados en la barra
autenticacin ms fuerte, y la adopcin de certificados EV SSL que de direccin para indicar a los visitantes la seguridad de un sitio - para
ofrecen mayores niveles de seguridad. dejar claro cuando una pgina web con seguridad SSL/TLS incluye
contenido no protegido que es vulnerable a ataques man-in-the-mi-
El cifrado de SSL/TLS tambin se tornar ms fuerte con la migra- ddle. En otras palabras, eso dejar ms claro cuando un sitio no logra
cin de SHA-1 a SHA-2. Histricamente, SHA1 es una funcin hash alcanzar un cifrado de punta a punta y el peligro que eso representa.
unidireccional muy popular, donde cada hash generado a partir de
una fuente debe ser exclusiva. No debera existir colisin, donde ste es apenas un ejemplo de las acciones que ofrecen garanta adi-
dos fuentes distintas generen el mismo hash; sin embargo, en 2005 cional a los sitios de visitantes y compradores online. Incluye tambin
se identificaron los primeros puntos dbiles. Eso vino a conocimiento marcas de confianza y garantas de compras, que ayudan a eliminar la
de todos en 2014, cuando Google anunci que en breve no dara ms preocupacin que muchos compradores tienen cuando efectan com-
soporte a los sitios que usasen SHA1 y exhibira avisos de seguridad pras online y no pueden ver personalmente al dueo de la tienda, o
para los visitantes que intenten acceder a sitios con certificados SHA-1 tocar los productos que estn comprando.
que caducan despus del 1 de enero de 2017. Otros fabricantes de nave-
TT Retirado del Blog de Seguridad de Mozilla
gadores siguieron el ejemplo, anunciando el fin inevitable de SHA-1.
La comunidad de seguridad est obteniendo un gran avance y existe Versin anterior Nueva versin
una oportunidad real para reducir, de forma considerable, el xito del
Sitios con certificados DV
nmero de ataques a sitios. Sin embargo eso solamente va a suceder si
los propietarios de sitios asumen la responsabilidad y toman medidas
tambin. Sitios con certificados EV
Rumbo a una Autenticacin Ms Fuerte Sitios con contenido activo mezclado bloqueados
De acuerdo con una investigacin de Sandvine, casi el 40% de todo el

Sitios con contenido activo mixto autorizados
trfico downstream de Internet en Estados Unidos ahora es cifrado, y
esa cifra debe crecer para ms de 70% del trfico mundial de Internet
durante el prximo ao. Este repentino aumento se debe a un nmero Sitios con contenido mixto pasivo cargados
de factores:
TT Compromiso de las grandes empresas. Algunos de los mayores

nombres en Internet ya adoptaron HTTPS, incluso Facebook, Twi-
tter y, ms recientemente, Netflix.
TT Preferencias de los motores de bsqueda. En 2014, Google
anunci que la adopcin de HTTPS en todos los lugares tendra
un impacto positivo en los rankings de busca, incentivando a los
propietarios de sitios a adoptarlo para obtener una ventaja en los
rankings del motor de bsqueda.
TT Actualizacin HTTP. Internet Engineering Task Force (IETF), la
organizacin responsable de la creacin de estndares para el
Internet, public, en 2015, una nueva versin del Protocolo de
AMENAZAS WEB
Los Sitios Necesitan Ser Ms Difciles de Atacar este estado frgil de confianza se va a desmoronar y el e-commerce
simplemente no ser capaz de funcionar.
Las organizaciones necesitan ser ms proactivas en la implantacin de SSL/
TLS. sa no es una tarea que finaliza al trmino de la implantacin inicial.
Las herramientas que automatizan y agilizan el proceso son esenciales. Fuerza en los Nmeros
La fuerza de SSL/TLS ya ha recorrido un largo camino desde 1994, y
Regularmente se lanzan actualizaciones para las bibliotecas de protocolo
este ao vio la migracin de SHA-1 a SHA-2 mientras que los estnda-
SSL/TLS, como OpenSSL, que protegen contra esas vulnerabilidades, sin
res de la industria continan avanzando.
embargo los propietarios de sitios an necesitan instalarlas. La migra-
cin de certificados SHA-1 a SHA-2, mucho ms fuertes, tambin est As como el poder computacional ha aumentado, tambin aument
siendo acelerada, pero nuevamente las organizaciones necesitan implan- la capacidad de un hacker para lograr romper algoritmos de hash
tar los nuevos certificados de forma adecuada para que la alteracin sea mediante la fuerza bruta. Muchos especialistas predicen que SHA-1 se
eficaz. tornar vulnerable en un futuro muy prximo. Por esa razn, los prin-
cipales navegadores han coincidido en parar de dar soporte a certifica-
En lugar de pensar solamente en la proteccin, los gestores de los sitios
dos SHA-1 durante los prximos dos aos, con el objetivo de que todos
necesitan pensar sobre la proteccin, deteccin y respuesta. Necesitan
los visitantes que intenten acceder a un sitio que continen utilizando
usar herramientas de automacin para monitorear constantemente sus
esos certificados, vern un aviso de seguridad.
sitios por seales de vulnerabilidad o ataques, bloquear estos ataques, y
enseguida, informar, actualizar y aplicar de forma adecuada los parches El plan actual es [dejar de aceptar certificados SHA-1] el 01 de enero
de correccin. de 2017. Sin embargo, debido a los recientes ataques al SHA-1, tambin
estamos analizando la posibilidad de tener una fecha de corte anterior,
a partir del 01 de julio de 2016, informa Mozilla, y hubo discusiones
SSL/TLS Y LA RESPUESTA para anticipar an ms esta fecha con el objetivo de acelerar el cambio.
DE LA INDUSTRIA Symantec brinda un servicio gratuito de actualizacin, sin embargo las

grandes organizaciones necesitan garantizar que tengan un plan de
SSL/TLS permanece en el corazn de la migracin completo establecido para actualizar cualquier dispositivo
y aplicaciones que no logren actualmente reconocer SHA-2.
privacidad online, autenticacin y cifrado,
sin embargo a su alrededor existe
Es momento de desesperarse, o
una infraestructura de confianza que cmo dicen en Ingls, freak out?
requiere mantenimiento y vigilancia para TT La vulnerabilidad conocida como FREAK fue descubierta en
marzo de 2015. Los responsables del ataque que interceptaron
el establecimiento de una conexin segura entre un servidor
mantener su eficacia. La industria debe afectado y el cliente podran forzarlos a usar el estndar de
cifrado export-grade, una forma mucho ms dbil de cifrado
aprender y adaptarse. de lo que es normalmente utilizada en la actualidad, por lo tanto,
tornando el mensaje transaccionado fcil de romper con los
recursos de computacin disponibles hoy en da.
La Evolucin del Cifrado TT Se estima que los servidores que soportan el 9,6% de un milln de
El 11 de agosto de 1994, Daniel Kohn vendi un CD a un amigo en Fila- dominios de sitios eran inicialmente vulnerables a ataques y nueve
meses despus, el 8,5% contina as.
delfia. Su amigo us la tarjeta de crdito para gastar US$ 12,48, pero
los costos de flete, en una transaccin que, por primera vez, estaba
protegida por la tecnologa del cifrado. El sitio que Daniel adminis-
traba en aquella poca exiga que los clientes descargasen un navega- Pasando Desapercibido
dor especial para realizar transacciones seguras, y aplicaba el cifrado A pesar de que el cifrado es cada vez ms fuerte, muchos de los ataques
estndar PGP que su sitio web utilizaba. que tienen como blanco SSL/TLS este ao enfocaron en deficiencias en
el ecosistema ms amplio de SSL/TLS.
El da siguiente, un artculo en The New York Times comentaba:
Symantec ha visto un enfoque mucho mayor en el ltimo ao sobre las
Alarmados por el aumento de relatos de violaciones de bibliotecas de cdigo relacionadas con implementaciones de SSL/TLS,
seguridad en Internet, muchas personas y empresas desconfan y, como resultado, hemos visto un flujo regular de actualizaciones y
en transmitir informacin sensible que incluye nmeros de correcciones de vulnerabilidades.
tarjeta de crdito, informacin de venta, o mensajes de correo
electrnico particulares en la red. sa es la buena noticia. Pero las vulnerabilidades no corregidas ms
comunes en servidores web el ao pasado revelan que los propieta-
Veinte aos despus, la preocupacin de las personas permanece, a rios de sitios no estn acompaando estas actualizaciones. Es de gran
pesar de que su comportamiento sugiere que estn dispuestas a asu- importancia que los gestores de sitios mantengan la integridad de sus
mir el riesgo de confiar en su banco para obtener ayuda si algo sucede. implementaciones de SSL/TLS. No es una tarea que se lleva a cabo una
Sin una infraestructura SSL/TLS consistente y segura, no obstante, vez y se olvida.
AMENAZAS WEB
Las 10 Principales Vulnerabilidades Encontradas en Verificaciones y Evaluaciones

Servidores Web sin Parches Escaneados A fin de reforzar el ecosistema SSL/TLS, Symantec ha incentivado la
TT POODLE (Padding Oracle On Downgraded Legacy Encryption) explor una adopcin generalizada de DNS Certification Authority Authorization
forma anticuada de cifrado (SSL 3.0) en vez de TLS. (CAA). Eso permite que una organizacin, o el propietario de DNS,
especifique de cual autoridad de certificacin (CA) comprar los cer-
Nombre tificados SSL/TLS. Si un actor con malas intenciones, o un empleado
que no conozca la poltica de la empresa, intenta adquirir un certifi-
1 Vulnerabilidad SSL/TLS POODLE cado de una CA que no est en la lista aprobada, aquella CA puede veri-
ficar CAA y alertar al propietario de DNS de la solicitud.
2 Falta de Configuracin en el Encabezado X-Content-Type-Options
Eso reduce el riesgo de certificados no autorizados que se emiten en
nombre de una organizacin legtima sin su conocimiento, y a su vez
3 Falta de Configuracin en el Encabezado X-Frame-Options reducira el riesgo de que los criminales sean capaces de crear sitios de
phishing certificados.
4 Certificado SSL firmado Usando Algoritmo Dbil de Hash
En un esfuerzo para detectar mejor los certificados no autorizados,
Symantec tambin cumple con la solicitud de Google para registrar
5 Vulnerabilidad Cross Site Scripting
todos los certificados EV que emitimos en su log de Transparencia de
Certificados. En marzo de 2016, Symantec tambin registr certifica-
6 Falta de Configuracin en el Encabezado Strict-Transport-Security dos OV y DV. Junto con el software que puede monitorear y auditar
certificados y su uso, eso crea, como dicen sus autores, una estructura
7 SSL v2 support detected abierta que permite que cualquier persona observe y verifique los cer-
tificados SSL recientemente emitidos y existentes en tiempo casi real.
8 Falta de Atributos de Seguridad en Cookie de Sesin Cifrada (SSL)
Servicios de Confianza, Identificacin
9 SSL Weak Cipher Suites Supported Electrnica (eID), y Servicios de
Confianza Electrnicos(eTS)
10 Vulnerabilidad de renegociacin de protocolos SSL y TLS
En septiembre de 2015, la Comisin Europea concluy la aprobacin
de todos los actos necesarios de ejecucin para la adopcin de la nueva
reglamentacin eIDAS. Esta reglamentacin marca un gran cambio en
Si bien no vimos ninguna vulnerabilidad potencialmente peligrosa el ambiente regulatorio para permitir las interacciones electrnicas
como Heartbleed en 2014, OpenSSL lanz varias actualizaciones y seguras y continuas entre empresas, ciudadanos y autoridades pbli-
parches de correccin a lo largo de 2015. OpenSSL es una de las imple- cas en toda Europa.
mentaciones ms utilizadas de los protocolos de cifrado SSL y TLS y es
usada en dos de cada tres de todos los servidores web. Asimismo, tambin es un importante paso para promover mayores
exigencias de seguridad de las Autoridades de Certificacin (CAs), con
Las actualizaciones lanzadas fueron para vulnerabilidades que varia- la implementacin de una Marca de Confianza de la Unin Europea
ban de bajo riesgo a alta gravedad y que podran permitir que los inva- para Trust Services calificados. La nueva marca de confianza va a ayu-
sores realizasen ataques man-in-the-middle para espiar las comunica- dar a distinguir de forma clara trust services calificados de otros en el
ciones seguras o lanzar ataques de negacin de servicio. mercado, fomentando una mayor transparencia y confianza para estos
esenciales servicios online.
REDES SOCIALES, FRAUDES, &

AMENAZAS DE CORREO ELECTRNICO
REDES SOCIALES,
FRAUDES, &
AMENAZAS
DE CORREO
ELECTRNICO
INGENIERA SOCIAL Y No Confe en Nadie

EXPLORANDO INDIVIDUOS En 2015, Symantec vio muchos fraudes tradicionales y ataques de
malware con el objetivo de recopilar informacin personal. Por ejem-
plo, un fraude prometa un gran nmero de seguidores gratuitos en
La sofisticacin y crueldad de algunos Instagram, al mismo tiempo que trataba de engaar a las personas
de los ataques y tcticas empleadas por para que revelasen sus contraseas. En algunos ataques, los responsa-
bles se pasaban por funcionarios de rganos fiscales, con la intencin
los cibercriminales en 2015 demostraron de engaar a las personas para que hiciesen la descarga de adjuntos
maliciosos de correo electrnico.
la vulnerabilidad online de los individuos
En su forma ms sencilla, muchos fraudes an cuentan con los malos
y disminuyeron la confianza del pblico hbitos de seguridad del pblico en general para lograr xito. Sin
en la seguridad online. Las violaciones embargo, tambin vimos la vulnerabilidad a la seguridad de los sitios
web para exponer datos de los clientes. En este ltimo ejemplo, no
de datos, vigilancia gubernamental, importa lo fuerte que sea una contrasea si el sitio es vulnerable a una
violacin de datos.
y fraudes simples y antiguos fueron
Ms alarmante son los ataques en 2015 que hicieron uso de ingeniera
combinados para invadir mucho ms social sofisticada para driblar los sistemas de autenticacin de dos fac-
la privacidad personal, ya sea en fotos tores creados para proteger a los usuarios.
Tras establecer un proceso de restablecimiento de contrasea legtima

personales, credenciales de usuario as y pasndose por Google va SMS, un fraude fue capaz de explorar la
como historiales mdicos. Los datos confianza del pblico en una marca respetable y obtener acceso a las
cuentas de correo electrnico, sin levantar sospechas de las vctimas.
personales no tienen nada de privado.

Cmo Funciona el Fraude de Gmail


Secretos y Mentiras TT Cuentas Mockingbird: el uso de marcas e imgenes de celebrida-

des para la falsificacin de la identidad
Si bien los fraudes tradicionales continuaron, 2015 tambin presenci
fraudes ms obscenos y amenazas a la privacidad. TT Cuentas Parrot: cuentas falsas usando tweets y fotografas roba-
das de mujeres reales
La extorsin sexual online ha ocurrido durante aos y los ejemplos
TT Cuentas Huevo: comportarse como nuevos usuarios sin tweets y
ms recientes, particularmente prevalentes en Asia, se han enfocado
usar el huevo como estndar de avatar
en los aplicativos maliciosos Android. Esos estafadores utilizan un
avatar o perfil de imagen atractiva e incentivan a la vctima a compar- Cada tweet a partir de una cuenta Mockingbird recibi cerca de 1.000
tir vdeos sexualmente explcitos. A seguir, los criminales encorajan retweets y 500 favoritos, que no eran verdaderos, pues eran origina-
a la vctima a continuar la llamada usando un aplicativo Android, dos a partir de una cuenta secundaria, que llamamos de Parrot. A su
que tambin recoge el nmero de telfono de la vctima, detalles de su vez, las cuentas Parrot, siguen a cualquiera en la esperanza de que
cuenta y todos sus contactos. los usuarios verdaderos de Twitter los seguirn de vuelta, una tctica
extremadamente eficaz.
Ahora con un vdeo incriminante y una lista de amigos y familiares de
la vctima, la banda cibercriminal amenaza enviar, en caso de que no Si estas cuentas Parrot solamente hiciesen retweets de spam de
paguen, el contenido sexualmente explcito a toda la lista de contac- cuentas Mockingbird, rpidamente seran notadas, por lo tanto,
tos de la vctima. Por causa de la naturaleza sensible de la amenaza, tambin publicaban otros tweets, normalmente copiando tweets y
las vctimas muchas veces no suelen ir a las autoridades y acaban haciendo retweets de memes de usuarios verdaderos de Twitter.
enviando cientos o miles de dlares al responsable del ataque.
Por otro lado, la mayora de las cuentas huevo nunca publicaban
En la secuencia del ataque de Ashley Madison, se relat un aumento de siquiera un nico tweet. En lugar de eso, simplemente eran usadas
mensajes de spam con ttulos como Usaste Ashley Madison? Fijate para reforzar el nmero de seguidores de las cuentas Parrot en torno
si tus datos han sido expuestos o Ashley Madison fue hackeada, su de varias centenas.
cnyuge lo est traicionando?. El hack fue tal vez ms inusual en el
Esta compleja operacin estaba centrada en spam para prdida de
que sus ramificaciones traspasaron la esfera financiera para afectar
peso. Los operadores hicieron un gran esfuerzo para evitar medidas
las relaciones y reputaciones personales de los individuos.
antispam y lograron operar por un largo perodo de tiempo.
Ingeniera Social Usando

Redes Sociales
Las redes sociales siguen siendo un blanco
preferido de los estafadores, ya que los cri-
minales buscan fomentar la confianza que
las personas tienen en sus propios crculos
sociales para diseminar fraudes, enlaces
falsos y phishing. Para lograr xito, la inge-
niera social involucrada debe ser convin-
cente, de ese modo hemos visto ms tcticas
progresivas e ingeniosas para engaar a las
potenciales vctimas.
Un fraude en especial, hizo un gran esfuerzo

para crear un rbol genealgico completo de
cientos de miles de cuentas falsas de Twitter,
en que cada ramo impulsaba la credibilidad
del ramo de encima, para obtener seguidores
y retweets de usuarios verdaderos de Twitter.
En el tope del rbol de la familia aparecan
cuentas personificando agencias de noticias
y celebridades, que inclua la curadura de
tweets reales de las cuentas genuinas para
hacerlas parecer ms crebles.
A travs del hallazgo de esas cuentas de

TT El grfico muestra cmo funciona la operacin de spam. Retirado de un white paper.
impostores, identificamos tres tipos de
cuenta que estaban siendo utilizadas:

Los fraudes de las redes sociales exigen alguna forma de interaccin, que hable, usted an puede estar bajo la amenaza de ciberataques.
de esa forma, el uso compartido manual permaneci siendo la ruta Considere la Factura Bancaria (Boleto), un sistema de pago utilizado en
principal hacia los ataques en redes sociales en 2015, expandindose Brasil, por ejemplo. La factura bancaria puede considerarse un nicho,
en la tcnica que se haba tornado una bola de nieve el ao anterior. sistema muy local, y an en 2015, tres familias de malware surgieron
visando especficamente eso.
Redes Sociales Los ataques similares, localizados en todo el mundo, demuestran que
los cibercriminales se estn esforzando para manipular a las vctimas,
100% no importa el lugar ni el idioma. La adaptacin de fraudes de phishing
90
2013 2014 2015 que utilizan toolkits de phishing torna extremadamente fcil dirigir
81 una campaa contra un blanco en un pas, alterar los templates, y esta-
80 76
70 blecer rpidamente otro blanco en otro lugar. Muchas veces, el len-
70 guaje utilizado en tales ataques localizados es traducido automtica-
60 mente a travs de los templates y puede parecer convincente a alguien
50 que no es nativo del idioma.
40
30
Nmero de Direcciones URL de Phishing en las Redes
23
20 17
Sociales
7 TT El grfico muestra como las redes sociales han desempeado un papel
10 5 5 crucial en la ingeniera social de ataques en el pasado. En los ltimos aos,
2 2 1 2 0 0 <1
esos sitios web han combatido tales abusos y se ha tornado mucho ms
Uso de Datos Ofertas Likejacking Aplicativos Plugins difcil explorarlos para los responsables de los ataques.
Compartidos Falsas Falsos Falsos
Manualmente 30.000
25.000
TT Uso de Datos Compartidos Manualmente - Depende de que 20.000

las vctimas realmente hagan el trabajo de compartir el fraude,
presentndoles vdeos intrigadores, ofertas falsas o mensajes
15.000
que comparten con sus amigos.
TT Ofertas Falsas - Esos fraudes invitan a los usuarios de redes 10.000
sociales a participar de un evento falso o de un grupo con
incentivos, tales como vale gratis de compras. Para tener
5.000
derecho al beneficio, muchas veces, el usuario debe compartir
las credenciales con el grupo de ataque o enviar un mensaje de
texto a un nmero que costar un valor alto.
2013 2014 2015
TT Likejacking - Usando botones falsos de Me Gusta, los
responsables del ataque engaan a los usuarios a hacer clic
en botones del sitio que instalan malware y pueden publicar
actualizaciones en el feed de noticias del usuario, diseminando Proteccin contra la Ingeniera Social
el ataque.
De acuerdo con BofA Merrill Lynch Global Research, el cibercrimen
TT Aplicativos Falsos - Los usuarios son invitados a suscribirse cuesta a la economa global hasta US$ 575.000 millones anualmente,
en un aplicativo que parece ser integrado para uso con una red cuyo informe indica que, en un potencial escenario de Cybergeddon
social, pero no funciona como descrito, y puede ser usado para
robar credenciales o recopilar otros datos personales.. en 2020, el cibercrimen podra extraer hasta un quinto del valor creado
por el Internet.
TT Plugins Falsos - Se enva una invitacin a los usuarios para
instalar un plugin y ver un vdeo, sin embargo el plugin es Es responsabilidad de todos hacer lo posible para impedir que eso suceda.
malicioso y puede diseminarse publicando el mensaje de vdeo
falso en la pgina de perfil de la vctima sin su autorizacin. Para los consumidores, es el momento de abandonar los malos hbitos.
Los ejemplos incluyen la instalacin de una extensin YouTube
premium falsa en el navegador para visualizar el vdeo o requerir Muchas personas conocen los principios bsicos de la buena ciberse-
que se instale un plugin DivX, y el plugin falso se disfraza como guridad, pero continan compartiendo sus contraseas. En realidad,
tal. Para ms informacin, visite: www.symantec.com/connect/ ms de 1 de cada 3 personas que comparten las contraseas en Esta-
blogs/fake-browser-plug-new- vehicle-scammers dos Unidos compartieron la contrasea de su cuenta bancaria online.
Las personas necesitan comenzar a asumir ms responsabilidad para
reforzar su seguridad online.
Idioma y Localizacin No Son Obstculos Los usuarios deben tener ms cuidado con quienes ellos siguen en las
Otras formas de ataque vistas en 2015 tambin comprueban la sofisti- redes sociales. Los bots pueden aparecer cada vez ms como una per-
cacin y crueldad que los criminales estn dispuestos a emplear para sona real, y a veces son difciles de detectar. Al escoger en quien debe
obtener lucro. En cualquier lugar donde viva o sin importar el idioma confiar en las redes sociales, considere el siguiente consejo:

TT Desconfe de los nuevos seguidores. Si alguien aleatorio lo sigue, Abuso de Correo Electrnico
no lo siga automticamente. Verifique sus tweets. El contenido de
esas publicaciones de retweets se parece a spam? Si lo es, proba- El correo electrnico sigue dominando la comunicacin digital, inde-
blemente es un bot. pendientemente de la creciente popularidad de la tecnologa de men-
sajera instantnea tanto para uso de los negocios como para los con-
TT Los nmeros pueden mentir. Aunque esos seguidores aleatorios sumidores. Symantec estima que en 2015 haba en circulacin a cada
tengan decenas de miles de seguidores, esa cifra puede ser fcil- da cerca de 190.000 millones de correos electrnicos, una cifra que
mente falsificada. No tome su decisin de seguirlos basado en la consideramos que deba crecer en hasta un 4 % hasta fines de 2016. En
cantidad de personas que lo siguen. promedio, cada usuario corporativo envi y recibi 42 correos electr-
TT Busque el sello verificado. Los usuarios de Twitter deben siem- nicos por da, y un creciente nmero de individuos estn leyndolos
pre verificar para validar si una marca bastante conocida o una en dispositivos mviles. Para los cibercriminales que desean llegar al
celebridad fue verificada por Twitter antes de seguir al usuario. El mayor nmero de personas de manera electrnica, el correo electr-
emblema azul de verificado indica que Twitter autentic al ver- nico an es la mejor manera para lograrlo.
dadero dueo de una cuenta.
No es de extraar que tambin sea ampliamente utilizado por crimina-
Asumir riesgos con ciberseguridad no es aceptable, y debemos recha- les de Internet para spam, phishing y malware de correo electrnico.
zar la idea equivocada de que la privacidad no existe ms. La privaci- En 2015, Symantec vio un descenso en las amenazas de correo electr-
dad es valiosa y debe protegerse con cuidado. nico. Los ataques basados en correo electrnico de phishing y malware
son clasificados como spam, y fueron responsables por alrededor de
Para las empresas, eso significa tratar la seguridad en trminos de
1 % de todos los spam de correo electrnico. Symantec brinda un
educacin, entrenamientos de concientizacin de ciberseguridad, as
anlisis ms profundo de spam clasificado como malware y phishing,
como una buena higiene digital. Cada funcionario debe formar parte
debido a que estas amenazas tienen, potencialmente, consecuencias
del esfuerzo, para que la empresa permanezca digitalmente saludable.
perjudiciales significativas.
Los CIOs y los gerentes de TI necesitan saber exactamente cuntos
riesgos enfrentan y comenzar de forma proactiva el monitoreo de los Symantec escanea una proporcin significativa del trfico de correo
sntomas a fin de que puedan diagnosticar enfermedades digitales electrnico de negocios global, lo que nos brinda una perspectiva
antes de poner los datos de los clientes y la confianza de los consumi- nica sobre este medio y las amenazas de seguridad que ella presenta.
dores en peligro. Muchos correos electrnicos de negocios no se enviarn fuera de una
organizacin, con alrededor del 75 % del trfico de correo electrnico
entrante de negocios externos, y ms de la mitad de este volumen
AMENAZAS PARA CORREO como spam.
ELECTRNICO Y COMUNICACION
Tendencias de Spam
Los sistemas de TI siguen sufriendo A pesar de un descenso gradual en los ltimos aos, en 2015 ms de la
ataques de malware en rpida evolucin. mitad del trfico de correo electrnico de negocios entrante era spam.
En 2015, el spam lleg a su nivel ms bajo desde 2003. No obstante,
El correo electrnico sigue siendo el medio el problema de spam est lejos de acabar. Los spammers estn encon-
trando otras formas de llegar a sus pblicos, incluyendo el uso de las
social predilecto de los cibercriminales y redes sociales y la mensajera instantnea, dos de los ms populares
el volumen de correo electrnico contina tipos de aplicativos encontrados en los dispositivos mviles. Al explo-
rar estos medios as como el correo electrnico, los spammers buscan
creciendo, incluso con el descenso del constantemente evolucionar sus tcticas.
volumen de phishing y spam, siendo Asimismo, Symantec ha observado un aumento en lo que es comn-
mente conocido como snowshoe spam. Como una analoga, las
que el spam fue responsable de ms de raquetas de nieve son diseadas para distribuir el peso del usuario a
la mitad del trfico entrante de correo travs de una vasta rea, y snowshoe spamming distribuye grandes
volmenes de spams mediante una amplia gama de direcciones de IP.
electrnico. Los ataques de phishing Como el nombre lo indica, esta tcnica visa burlar la tecnologa antis-
pam, como latencia de propagacin y reputacin de direccin IP, a tra-
fueron ms dirigidos y los correos vs del envo de grandes volmenes de mensajes de spam en perodos
electrnicos maliciosos crecieron en muy cortos. Tras hacer rpidamente la rotacin de dominios y direc-
ciones IP de recirculacin, eso puede tornar ms difcil bloquearlos
nmero y complejidad, destacando como rpidamente.
el correo electrnico sigue siendo el medio

eficaz para los cibercriminales.

Indicador General de Spam de Correo Electrnico Porcentaje de Spam de Correo Electrnico por Sector
TT Algunos sectores reciben ms spam que otros, pero el intervalo es de
apenas el 5%.
Porcentaje de Correo
Sector Electrnico que es
Spam
Minera 56,3%
Manufactura 54,2%
Construccin 53,7%
Servicios 53,0%
Indicador Global Previsto Diariamente para Spam de Agricultura, Forestal y Pesca 52,9%
Correo Electrnico
TT En junio, por primera vez el spam cay por debajo de 50% desde 2003. Comercio Minorista 52,7%
Establecimentos No Clasificables 52,6%

100%
90 Comercio Mayorista 52,5%

80
Administracin Pblica 52,2%
70
60
Finanzas, Seguros y Mercado Inmobiliario 52,1%
50
40 Transporte & Servicios Pblicos 51,8%

30
20
Sectores No Relacionados a los SIC (Standard Industrial Classification)
10
Salud 54,1%
2013 2014 2015
Energa 53,0%
Spam por Tamao de Empresa

TT Ningn tamao especfico de empresa recibi considerablemente ms
spam que otro, con un intervalo de apenas 1,5%.
Tamao de la Empresa % Spam en Correo Electrnico
1-250 52,9%
251-500 53,3%
501-1000 53,3%
1001-1500 51,9%
1501-2500 52,6%
2501+ 52,5%

Tendencias de Phishing Indicador de Phishing

A lo largo de los aos, las campaas de phishing se han tornado mucho TT Los nmeros de phishing en 2015 continuaron fluctuando, pero se
mantuvieron en descenso gradual a lo largo del ao.
ms fciles de operar, gracias al mercado en constante evolucin de
cibercriminales. Los responsables del ataque cooperarn, con algunos
especializndose en kits de phishing y otros vendiendo estos kits a 2013 2014 2015
otros delincuentes que desean realizar campaas de phishing.
300
Con frecuencia, estos kits se comercializan entre US$ 2 y US$ 10, y sus 600
usuarios no necesitan poseer muchas habilidades tcnicas para ope-
900
rarlos o personalizar sus pginas de la web para atender a sus nece-
1.200
sidades. Los delincuentes pueden utilizar los datos robados de estos
1 DE CADA
1.500
ataques para sus propios fines, o venderlos en mercados clandestinos
en busca de lucro. 1.800
2.100
Symantec ha reportado un aumento alarmante en el nmero y sofis-
2.400
ticacin de intencin de phishing, teniendo como objetivo los depar-
2.700
tamentos especficos dentro de las organizaciones. Si bien algunos
3.000
intentos de phishing pueden parecer obvios, como los correos electr-
nicos falsos de acompaamiento de entrega, los departamentos jur-
dicos y financieros en algunas empresas fueron objeto de ataques de
phishing bien elaborados. Relacin de Phishing en Correo Electrnico por Sector
TT El sector Minorista fue el sector ms fuertemente expuesto a ataques de
Algunos de estos ataques incluyen tentativas de transferencia ban-
phishing en 2015.
caria, y, si bien puede parecer sorprendente, algunas empresas han
perdido millones de dlares, porque los funcionarios creyeron que
Relacin de Phishing
los pedidos de transferencia bancaria y otros ataques de phishing
Sector x
eran verdaderos. La ingeniera social involucrada en estos ataques de Correo Electrnico
phishing es ms sofisticada y dirigida. Ellos no slo envan fraudes
genricos hacia un gran nmero de personas, sino tambin tratan de Comercio Minorista 1 de cada 690
desarrollar relaciones continuas, validando el acceso a la informacin
de la empresa, y construyendo la confianza. Administracin Pblica 1 de cada 1.198
La ingeniera social requiere investigacin y reconocimiento, reviendo

Agricultura, Forestal y Pesca 1 de cada 1.229
perfiles de redes sociales, la actividad online de blancos potenciales,
para aprender sobre su trabajo, sus compaeros de trabajo y la estruc-
Establecimentos No Clasificables 1 de cada 1.708
tura organizativa. Con esta informacin, tan fcilmente obtenida
online, los correos electrnicos de phishing son ms personalizados
Servicios 1 de cada 1.717
y convincentes, exhibiendo un entendimiento del negocio y el conoci-
miento de los ejecutivos principales y los procesos laborales.
Manufactura 1 de cada 1.999
Muchas empresas son un blanco principal, y suponer que la tecnologa
puede ofrecer proteccin automtica es falso. Al mismo tiempo que Finanzas, Seguros y Mercado Inmobiliario 1 de cada 2.220
incentivan controles sofisticados y tecnologa para proteccin, las
empresas an dependen de la capacidad de sus empleados para detec- Minera 1 de cada 2.225
tar las campaas de phishing avanzadas y dirigidas.
Comercio Mayorista 1 de cada 2.226
Un intento exitoso puede ocasionar graves daos a la reputacin y cre-
dibilidad de una empresa. Construccin 1 de cada 2.349
Indicador de Phishing de Correo Electrnico (No Spear Phishing) Transporte & Servicios Pblicos 1 de cada 2.948
2013 2014 2015 Sectores No Relacionados a los SIC (Standard Industrial Classification)
Energa 1 de cada 2.349

1 de cada 392 1 de cada 965 1 de cada 1.846
Salud 1 de cada 2.948

Indicador de Phishing en Correo Electrnico Proporcin de Trfico de Correo Electrnico Donde el

TT Ningn tamao especfico de empresa recibi considerablemente ms Virus fue Detectado
spam que otro, con un intervalo de apenas 1,5%. TT El indicador general de malware en correo electrnico en 2015 aument
en comparacin a 2014. El correo electrnico sigue siendo un medio eficaz
Indicador de Phishing en para los cibercriminales.
Tamao de la Empresa
Correo Electrnico
1-250 1 de cada 1.548

40
251-500 1 de cada 758
80
501-1000 1 de cada 1.734 120
1 DE CADA
160
1001-1500 1 de cada 2.212 200
240
1501-2500 1 de cada 1.601 280
320
2501+ 1 de cada 2.862
360
2013 2014 2015

Tendencias de Malware de Correo Electrnico
As como sucede con el fraude de phishing, el malware distribuido en
correo electrnico requiere ingeniera social para convencer al destina-
Archivos Adjuntos Maliciosos en Correo Electrnico
tario a abrir el adjunto o a hacer clic en un enlace. Los adjuntos pueden
ser disfrazados como facturas falsas, documentos de escritorio u otros TT En 2015, los documentos de Office fueron el tipo de adjunto ms popular,
con archivos ejecutables cada vez menos populares. En general, 1,3% de
archivos, y muchas veces explora una vulnerabilidad no corregida en tipos de adjuntos fueron ejecutables, incluyendo .exe, .com, .pif, .bat y otros.
el software usado para abrir ese tipo de archivo. Los enlaces malicio-
sos pueden dirigir al usuario hacia un sitio comprometido usando un
Bloqueado en
toolkit de ataque web para instalar algo malicioso en su computadora. Clasificacin Extensin de Archivo
Correo Electrnico
Las amenazas como Dridex usan exclusivamente las campaas de
spam de correo electrnico, e incorporan nombres de empresas reales
1 .doc 55,8%
en la direccin del remitente y en el cuerpo del correo electrnico. La
2 .xls 15,0%
gran mayora de spam Dridex es disfrazado como correos electrnicos
financieros, tales como facturas, recibos y pedidos. Los correos electr- 3 .zip 8,7%
nicos maliciosos incluyen adjuntos de Word o Excel con una carga que
instala el malware desarrollado para tener como blanco la informacin 4 .htm 7,9%
bancaria online.
5 .docm 2,4%
El grupo cibercriminal detrs de este ataque en particular ha empleado
muchas tcnicas distintas para el envo de spam y malware: desde 6 .js 2,2%
adjuntos simples de malware, hiperlinks en el cuerpo del mensaje que
sealan a un kit de exploit de una landing page, adjuntos PDF malicio- 7 .mso 1,9%
sos y macros de documentos.
El malware va correo electrnico no ha disminuido de la misma forma

8 .html 1,6%
como spam general, y debido a su volumen relativamente bajo, en com-
9 .exe 0,9%
paracin, est ms sujeto a variaciones. La variacin ocurre cuando se
realizan grandes campaas. 10 .png 0,8%
Indicador de Malware de Correo Electrnico (General)
2013 2014 2015
1 de cada 196 1 de cada 244 1 de cada 220


Relacin de Virus en Correo Electrnico por Sector Ataques en las Comunicaciones

TT El sector minorista tuvo el mayor ndice de malware de correo electrnico Hemos visto una sucesin de ataques y vulnerabilidades en el cifrado
en 2015, con ms de 1% del correo electrnico clasificado como malicioso.
estructural usado para proteger las transmisiones de correos electr-
nicos. Por ejemplo, el ataque Logjam explora una debilidad en el meca-
Relacin de Malware nismo de cambio de llaves que comienza cualquier cambio cifrado.
Sector
en Correo Electrnico
Comercio Minorista 1 de cada 74 TT Los clientes pueden verificar su dominio en relacin a Logjam,
y otras vulnerabilidades importantes, utilizando SSL Toolbox de
Administracin Pblica 1 de cada 151 Symantec.
TT Utilice esta herramienta gratuita para verificar si existen
Agricultura, Forestal y Pesca 1 de cada 187 problemas importantes, como POODLE o Heartbleed, as como
errores potenciales en la instalacin de su(s) certificado(s) SSL/
TLS.
Servicios 1 de cada 199
Comercio Mayorista 1 de cada 234

Cifrado de Correo Electrnico
Construccin 1 de cada 240
El cifrado de correo electrnico es importante porque protege la priva-
cidad de mensajes y puede ayudar a autenticar a los remitentes. Est
Manufactura 1 de cada 243
bajo amenaza por causa de vulnerabilidades en la tecnologa estruc-
tural (ver encima), pero tambin porque no es ampliamente utilizado.
Establecimentos No Clasificables 1 de cada 277
Si bien los sistemas de webmail, como Outlook.com de Microsoft y
Minera 1 de cada 304 Google Mail usan cifrado en los clientes, y casi todos los sistemas de
correo electrnico priorizan la transmisin cifrada, una proporcin
Finanzas, Seguros y Mercado Inmobiliario 1 de cada 310 sorprendente de correos electrnicos es enviada de forma simple,
usando transferencias SMTP no cifradas. Google relata que en 2015,
Transporte & Servicios Pblicos 1 de cada 338 cerca del 57% de los correos electrnicos recibidos fueron cifrados en
comparacin al 51% del ao anterior. El nmero de correos electrni-
Sectores No Relacionados a los SIC (Standard Industrial Classification) cos salientes cifrados aument de 65% para 80% en el mismo perodo.
No es raro que algunos casos de spam sean enviados con cifrado. Ya en
Energa 1 de cada 319 2010, botnet Rustock us cifrado TLS como un medio para disfrazar el
spam que estaba enviando.
Salud 1 de cada 396
Existen buenas herramientas de cifrado de correo electrnico para
equipos de escritorio y gateway, incluyendo el propio de Symantec,
Relacin de Malware en Correo Electrnico por Tamao pero las empresas necesitan hacer un mejor uso de la tecnologa dis-
de Empresa ponible para proteger el correo electrnico en trnsito y en reposo.
TT El mayor ndice de malware en el trfico de correo electrnico fue en
empresas cuyo tamao vara entre 251 y 1000 personas. El ndice fue de
0,4%.
Indicador de Malware en
Tamao de la Empresa
Correo Electrnico
1-250 1 de cada 184
251-500 1 de cada 82
501-1000 1 de cada 189
1001-1500 1 de cada 312
1501-2500 1 de cada 168
2501+ 1 de cada 352


Consejos para la Seguridad de Correo Mirando hacia el Futuro

Electrnico Con un descenso constante en los ltimos tres aos, esperamos que los
Las organizaciones e individuos necesitan percibir que, a pesar de que ataques de phishing permanezcan por lo menos en los niveles actua-
ellos no consideren que sean un blanco obvio para los cibercriminales, les, o disminuyan an ms. Los ataques de phishing se han tornado
eso no significa que son inmunes. ms dirigidos y menos dispersos. Muchos ataques migraron hacia las
redes sociales, contribuyendo para el descenso del nmero de ataques
En un nivel personal, eso significa mantener la vigilancia a travs de: de correo electrnico. Algunas partes del mundo sufren ms con los
ataques de phishing de correo electrnico que otros, con un mayor des-
TT No abrir correos electrnicos de remitentes desconocidos
censo en muchos pases que usan el idioma Ingls, Amrica del Norte y
TT Buscar el candado y verificar el certificado de cifrado en todos los regiones de Europa Occidental.
sitios donde usted ingrese datos sensibles
Las personas continuarn haciendo, cada vez ms, acciones online y
TT No utilizar redes inseguras al acceder datos sensibles como el acceso al Internet y a las transacciones online est creciendo
en popularidad en los pases en desarrollo, tal vez incluso veamos el
Para las organizaciones, significa permanecer vigilantes a travs de: crecimiento en ataques de phishing en estas regiones. Por ejemplo,
pagar cuentas de servicios pblicos, reserva de consultas mdicas,
TT Implantar cifrado de correo electrnico siempre que sea posible
apuntarse en una universidad, administrar cuentas de millas areas,
TT Garantizar que los correos electrnicos sean escaneados para comprar un seguro, son todas actividades que sirven de inspiracin
malware, spam y phishing fecunda para los ataques de phishing.
TT Usar sistemas de seguridad web para bloquear el acceso a sitios de Como las organizaciones ofrecen ms servicios online, necesitan estar
phishing conocidos conscientes de las necesidades de seguridad, y trabajar con los clientes
para educarlos an ms y construir la confianza. Adems, deberan
considerar la autenticacin de dos factores para garantizar la con-
fianza de los clientes y reducir el costo de fraudes de phishing.
Como ya hemos observado, los cibercriminales estn usando cada vez

ms, amenazas de correo electrnico ms complejas y los autores de
malware, creadores de ransomware, phishers y estafadores buscarn
explorar lo que ellos consideran ser el eslabn ms debil en esa cadena,
los humanos. La ingeniera social, o hacking de cabezas, es un ingre-
diente vital para cualquier posible invasor que est intentando obte-
ner acceso a los sistemas que almacenan informacin potencialmente
valiosa.
ATAQUES DIRIGIDOS
ATAQUES DIRIGIDOS
ATAQUES DIRIGIDOS, SPEAR Ataques Persistentes
PHISHING Y ROBO DE En febrero de 2015, 78 millones de registros de pacientes fueron
expuestos a una gran violacin de datos en Anthem, el segundo
PROPIEDAD INTELECTUAL mayor proveedor de cuidados de la salud en Estados Unidos. Syman-
tec rastre el ataque a un grupo con muchos recursos financieros,
Los ataques generalizados, persistentes, llamado Black Vine, que posee asociaciones con una organizacin
de seguridad de TI basada en China, llamada Topsec. Black Vine es
y sofisticados contra las organizaciones responsable de la realizacin de campaas de ciberespionaje contra
industrias de varios segmentos, incluso energa y aeroespacial, que
gubernamentales y las empresas de todos utiliza malware avanzado y personalizado.
los tamaos ofrecen mayores riesgos a Otros blancos de ciberespionaje de destaque en 2015 incluyen a la
la seguridad nacional y a la economa. El Casa Blanca, el Pentgono, Bundestag alemn, y el Departamento
de Gestin de Personal del gobierno de Estados Unidos, que perdi
nmero de vulnerabilidades de da cero 21,5 millones de archivos personales, que incluyen informacin con-
fidencial, como registros de salud y financieros, registros de prisin,
creci, y las evidencias de que estn siendo e incluso datos de huellas digitales.
usadas como armas para ciberataques Estos ataques forman parte de una creciente ola de ataques sofisti-
cados de ciberespionaje, bien financiados y persistentes en todo el
fueron reveladas. Las campaas de mundo. Los blancos incluyen secretos de Estado, propiedad intelec-
spear phishing se han tornado ms tual, tales como proyectos, patentes y planos y, como evidenciado
por violaciones de datos recientes, informacin personal.
furtivas, teniendo como blanco menos
La investigacin continua de Symantec sobre Regin Trojan nos brinda
individuos dentro de un nmero menor de una nueva visin sobre las capacidades tcnicas de los grupos de
ataque patrocinados por naciones. Trojan revel 49 nuevos mdu-
organizaciones especficas. los, cada uno de los cuales agrega nuevos recursos, como keylogging,
ATAQUES DIRIGIDOS
correo electrnico y acceso a archivos, y una extensa infraestructura de Diversidad en Ataques de Da Cero
comando y control. Los analistas de Symantec han comentado que el
nivel de sofisticacin y complejidad de Regin sugiere que el desarrollo Hubo un indito nmero de 54 vulnerabilidades de da cero encontradas
de esa amenaza podra haber tomado a los equipos de desarrolladores durante el ao de 2015, ms del doble del nmero encontrado el ao
con vastos recursos financieros un perodo de muchos meses o aos para anterior. El hallazgo de vulnerabilidades desconocidas y descubrir cmo
desarrollarse. explorarlas se ha tornado evidentemente una tcnica de trabajo de los
grupos de ataques avanzados, y no existen ninguna seal de cambio de
Actualmente, los ataques de spear phishing y watering hole que explo- esta tendencia.
ran sitios comprometidos son los caminos favoritos para los ataques
dirigidos. No obstante, al mismo tiempo que las capas adicionales de
Vulnerabilidades de Da Cero
tecnologa son introducidas a una organizacin, se expande la super-
ficie de ataque. Con las empresas volviendose ms a tecnologas en la TT Las vulnerabilidades de da cero comandan precios altos en el mercado
negro. Debido a ello y a su propia naturaleza, se supone que el nmero de
nube y el predominio de dispositivos del Internet de las Cosas, espera-
vulnerabilidades de da cero que an se descubrir es mucho mayor.
mos ver ataques dirigidos que busquen explorar las vulnerabilidades
en esos sistemas dentro del prximo ao o dos. Los servicios en la nube 2013 Migracin 2014 Migracin 2015
especialmente vulnerables a exploits, como fallas de inyeccin de SQL,
probablemente sern los primeros blancos. Las campaas de spear
phishing que exploran configuraciones incorrectas y falta de seguri- 23 +4% 24 +125% 54
dad de los usuarios, en lugar de los proveedores de servicios en la nube,
proporcionarn fciles oportunidades para los grupos de ataque.
A fin de permanecer sin que sean detectadas, las campaas de spear La mayora de los ataques de da cero vistos en 2015 tena como objetivo
phishing han aumentado en nmero, pero se han tornado menores, las tecnologas antiguas y fieles que fueron dirigidas por aos. Ac-
con menos personas como blanco en cada campaa. Esperamos que en mulo de ataques
breve, las campaas de spear phishing estn compuestas por apenas Durante el ao se encontraron 10 vulnerabilidades diferentes de da
un nico blanco, o algunos individuos escogidos en la misma organiza- cero contra Flash Player de Adobe. Microsoft recibi la misma atencin
cin. Adems, las campaas mayores de spear phishing probablemente por parte de los desarrolladores maliciosos de da cero, si bien las 10 vul-
sern todas conducidas usando ataques de watering hole basadas en la nerabilidades de da cero encontradas con su software como blanco fue-
web, con sitios comprometidos explorando altamente vulnerabilidades ron distribuidas entre Microsoft Windows (6x), Internet Explorer (2x) y
codiciadas de da cero. Microsoft Office (2x). El sistema operativo Android tambin fue atacado
por cuatro vulnerabilidades de da cero en 2015.
Vulnerabilidades de Da Cero y Watering Holes
Las vulnerabilidades de da cero son particularmente valiosas para los Vulnerabilidades de Da Cero, Total Anual
grupos de ataques. De hecho, viendo que las vulnerabilidades de da
TT El mayor nmero de vulnerabilidades de da cero fue divulgado en 2015, lo
cero son una mercadera aparentemente rara, los grupos de ataque
que evidencia un mercado de investigacin en evolucin en esta rea.
guardarn cuidadosamente sus exploits para que puedan utilizarse
por ms tiempo y permanezcan sin ser detectados.
70
Los ataques sofisticados de watering hole, que utilizan sitios compro-
metidos, se activan solamente cuando un visitante del sitio proviene de 60
54
una determinada direccin IP. De esta forma, reducir los daos colate-
rales torna menos probable que se descubra el ataque secreto. Adems, 50
este abordaje tambin torna ms difcil el trabajo de los investigadores

de seguridad que visitan el sitio a partir de un lugar diferente. Una vez 40
que un exploit es divulgado pblicamente por el proveedor relevante,

30
esos sitios de watering hole, muchas veces, pasan a usar otro exploit 23 24
an no publicado para una vulnerabilidad de da cero diferente, a fin
20
de permanecer escondido. 13 15 14 14
12
9 8
10
La violacin de Hacking Team en 2015 se destac porque los respon-
sables del ataque no estaban tras el dinero o las identidades; estaban
tras las ciberarmas, como exploraciones de da cero. Hacking Team es
2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
un equipo italiano especializado en software de vigilancia y espionaje
secreto comercializado a usuarios de gobiernos. Se descubrieron exploits
de da cero anteriormente desconocidos en el ataque y divulgados al
pblico por los responsables del ataque. Los detalles de vulnerabilidades
de da cero usados como armas y varios troyanos usados por el grupo fue-
ron compartidos en das en foros pblicos, y en pocas horas, autores de
kits de exploit haban integrado esta informacin en toolkits de exploits.
ATAQUES DIRIGIDOS
Una Nueva Vulnerabilidad

de Da Cero es Hallada
Cada Semana en 2015 1
1
En promedio, basado en 54 vulnerabilidades
2
symantec.com/connect/blogs/third-adobe-ash-
zero-day-exploit-cve-2015-5123-leaked-hacking-
team-cache
3
Tiempo total de exposicin para las 5 principales
vulnerabilidades de da cero
ATAQUES DIRIGIDOS
Lo que es alarmante, si bien no sorprendente, es que ocurrieron 11 Las 5 Principales Vulnerabilidades de Da Cero
vulnerabilidades de da cero que fueron usadas para explorar software
Exploradas con Mayor Frecuencia
de cdigo abierto. Algunos exploits tienen como blanco los paquetes y
las bibliotecas comunes, mientras que otros atacaron herramientas de TT Con excepcin de CVE-2015-0235, los exploits de da cero usados con
mayor frecuencia eran relacionados a las vulnerabilidades en Flash Player
desarrollo web de cdigo abierto, como sistemas de administracin de de Adobe.
contenido y plataformas de e-commerce. Los protocolos de red tam-
bin fueron grandes blancos, con ataques constantes contra OpenSSL,
as como Samba. 2015 Exploit 2015 2014 Exploit 2014
Sin embargo, lo que debe preocupar a la mayora de las personas es Microsoft

que los grupos de ataque parecen estar descubriendo y explorando Adobe Flash Player
1
CVE-2015-0313 81% ActiveX Control 81%
vulnerabilidades de da cero en sistemas de control industrial (ICSs) CVE-2013-7331
- dispositivos usados para controlar cosas que varan desde fabrica-
cin industrial hasta usinas de energa. En 2015 se identificaron siete Microsoft
Adobe Flash Player
vulnerabilidades de da cero que tenan como blanco una variedad de
2
CVE-2015-5119 14% Internet Explorer 10%
CVE-2014-0322
fabricantes y dispositivos.
Adobe Flash Player Adobe Flash Player

Las 5 Principales Vulnerabilidades de Da Cero, Parche 3
CVE-2015-5122 5% CVE-2014-0515 7%
y Duracin de Firma
TT Si bien se divulgaron ms vulnerabilidades de da cero en 2015, algunas Heap-Based Buffer
eran de prueba de concepto, pero los distribuidores, en general, fueron ms Overflow aka Adobe Flash Player
4
Ghost <1% CVE-2014-0497 2%
rpidos para proporcionar correcciones en 2015 que en 2014.
CVE-2015-0235
Tiempo Total de Exposicin Adobe Flash Player Microsoft Windows

7 Promedio de Das para Correccin
5
CVE-2015-3113 <1% CVE-2014-4114 OLE <1%
2015
1
En el caso de CVE-2015-5119, Symantec ya tena firmas que eran
capaces de detectar exploits cuatro das antes de la vulnerabilidad ser
295
2014 divulgada pblicamente. A veces, las firmas existentes pueden tener
59 xito en el bloqueo de ataques que exploran nuevas vulnerabilidades,
y las firmas son actualizadas frecuentemente para bloquear ms ata-
ques aun cuando existe proteccin previa. Adems, esta vulnerabilidad
19 estaba entre aquellas expuestas en la violacin contra Hacking Team.
2013
4
Spear Phishing
25 50 75 1001 25 1501 75 2002 25 250 2753 00 325 No son apenas los sitios que pueden contener exploits ocultos. Una
DIAS vulnerabilidad previamente desconocida puede ser explorada para
atacar una organizacin usando un documento infectado adjunto en
Las motivaciones detrs de esos ataques no son claras, y pueden variar un correo electrnico. Un ataque con estas caractersticas es conocido
de disputas geopolticas a ataques relacionados con rescates. Indepen- como spear phishing, y depende fuertemente de una buena ingeniera
dientemente, si no son cuidadosamente monitoreados, esos ataques social, a fin de disfrazar el correo electrnico para aparecer convin-
pueden tener consecuencias graves en el futuro, y no parece probable cente.
que desaparecern tan pronto.
Los correos electrnicos de spear phishing son enviados en olas o cam-
paas, a un grupo muy pequeo de personas, muchas veces no todos
de una vez, sin embargo, individualmente o en una situacin en la que
ms de una persona en una organizacin pueda ser blanco. A lo largo
del tiempo, si esos ataques se revelan ineficaces, pueden utilizarse dis-
tintos exploits contra las mismas. No obstante, en los ltimos aos, los
grupos de ataque alternan rpidamente las tcticas despus de algu-
nas tentativas fallidas, a fin de pasar desapercibidos. En aos anterio-
res, eran ms propensos a continuar con diferentes exploits o atacando
a diferentes individuos dentro de la organizacin.
ATAQUES DIRIGIDOS
Campaas de Correo Electrnico Spear Phishing esa organizacin puede esperar ser blanco de un ataque por lo menos
cuatro veces durante el ao. Los grupos de ataque solo necesitan lograr
TT En 2015, el nmero de campaas aument, mientras que el nmero de
ataques y el nmero de destinatarios dentro de cada campaa continu
xito una vez, al tiempo que las empresas deben frustrar todo y cual-
disminuyendo. Con perodos ms cortos, queda claro que esos tipos de quier ataque para permanecer seguras. Las empresas ya deben estar
ataques estn tornndose ms furtivos. pensando sobre lo que hacer cuando (no se sabe) ocurra tal violacin.
Nmero Promedio de Ataques de Campaas

Correo Electrnico por Campaa
Las Principales Industrias Blancos de Ataques de Spear
150
Destinatarios por Campaa
1,500 Phishing
ATAQUES DE CORREO ELECTRNICO Y
TT En 2015, combinamos los grupos Servicios (anteriormente, Servicios,

DESTINATARIOS POR CAMPAA
120 1,200 Profesional y Servicios, No Tradicional) en un grupo. Tambin identificamos

algunos de los subsectores ms frecuentemente blancos de ataques, que
incluan el sector de energa que contiene algunas industrias de minera,
CAMPAAS
90 900 adems de Salud que forma parte de la categora Servicios.
TT *El valor Riesgo del Grupo es una medida de la probabilidad de una

60
organizacin sufrir ataque en aquel sector por lo menos una vez durante el
600
ao. Por ejemplo, si existen 100 clientes en un grupo y 10 fueron objetivos
concretos de ataques, esto indicara un riesgo del 10%.
30 300
Ataques % Riesgo
Sector Distribucin
por Org del Grupo*
2012 2013 2014 2015
Finanzas, Seguros y
Mercado Inmobiliario 35% 4,1 8,7%
Migracin 2013 2014 2015

Servicios 22% 2,1 2,5%
779 779 779 Manufactura 14% 1,8 8,0%

Campaas
+91% +8% +55%
Transporte & Servicios
Pblicos 13% 2,7 10,7%
Destinatarios por 779 779 779

Campaa -81% -20% -39% Comercio Mayorista 9% 1,9 6,9%
Nmero Promedio
Comercio Minorista 3% 2,1 2,4%
de Ataques de 779 779 779
Correo Electrnico
por Campaa
-76% -14% -52% Administracin Pblica 2% 4,7 3,2%
Establecimentos No
Clasificables 2% 1,7 3,4%
Duracin Promedio 8 Das 9 Das 6 Das
de una Campaa +173% +13% -33%
Minera 1% 3,0 10,3%
Los ataques de spear phishing son menos propensos a levantar sos-

pechas con campaas que son menores, ms cortas y con pocos des-
Construccin <1% 1,7 1,1%
tinatarios como objetivo. Hace algunos aos, una campaa de ataque

Agricultura, Forestal y
dirigido era enviada a cien o ms individuos, cualquiera de los cuales
Pesca <1% 1,4 2,0%
podra sospechar del ataque y avisar a la organizacin. Con menos per-
sonas, esa probabilidad es bastante reducida.
Sectores No Relacionados a los SIC (Standard Industrial Classification)
En 2015, el sector de Finanzas fue el ms visado, con 34,9% de todos
los correos electrnicos de spear phishing dirigidos a una organizacin
en este segmento, 15 puntos porcentuales a ms que el ao anterior. La
Energa 2% 2,0 8,4%
probabilidad de una organizacin en este sector ser un blanco, por lo

menos una vez en el ao, fue de 8,7% (aproximadamente 1 de cada 11). Salud <1% 2,0 1,1%
Con tantos ataques destinados a este sector, algunas empresas esta-
ban siendo atacadas de forma ms agresiva que otras. Normalmente,
ATAQUES DIRIGIDOS
Industrias Blancos de Ataques de Spear Phishing por Las Industrias Blancos de Ataques de Spear Phishing
Grupo Salud por Grupo Finanzas, Seguros y Mercado Inmobiliario
TT La salud est incluida en el grupo de Servicios SIC, pero la tratamos de TT Instituciones Depositarias incluyen organizaciones del sector de bancos de
forma aislada aqu para dejar ms claro. minoristas.
Ataques % Riesgo Ataques % Riesgo

Sector Distribucin Sector Distribucin
por Org del Grupo* por Org del Grupo*
Finanzas, Seguros y
Servicios de Salud <1% 2,0 1% Mercado Inmobiliario 34,9% 4,1 8,7%
Instituciones Depositarias 18,9% 5,9 31,3%
Industrias Blancos de Ataques de Spear Phishing por Holding & Otras Agencias
de Inversin 8,3% 2,9 11,0%
Grupo Energa
TT Las empresas de energa son clasificadas en la categora de Minera Instituciones No
o Transportes y Servicios Pblicos, dependiendo de la naturaleza de su Depositarias 3,7% 6,7 5,3%
negocio. Tratamos las categoras de forma aislada aqu para dejar ms
claro.
Mercado Inmobiliario 1,4% 2,4 2,2%
Ataques % Riesgo
Sector Distribucin Agentes de Seguros,
por Org del Grupo* <1% 2,1 4,0%
Correctores y Servicios
Energa 1,8% 2,0 8,4% Aseguradoras <1% 1,6 10,1%
Extraccin de Petrleo Correctoras de Acciones y

1,4% 3,4 12,3% Commodities <1% 2,2 3,7%
y Gas
Servicios Sanitarios,
Electricidad y Gas <1% 1,6 5,7%
Industrias Blancos de Ataques de Spear Phishing por
Grupo Administracin Pblica
Minera de Carbn <1% 1,0 8,1%
TT El sector de Administracin Pblica incluye tanto agencias gubernamentales
centrales nacionales como agencias gubernamentales locales..
Ataques % Riesgo
Sector Distribucin
por Org del Grupo*
Administracin Pblica 2,0% 4,7 3,2%
Ejecutivo, Legislativo y
General 1,8% 5,7 3,6%
Justicia, Orden Pblico y

Seguridad <1% 4,3 1,1%
Administracin de
Programas Econmicos <1% 1,1 7,3%
Asuntos de Seguridad
Nacional e Internacionales <1% 2,5 3,5%
Administracin de
Recursos Humanos <1% 1,0 2,0%
ATAQUES DIRIGIDOS
Ataques de Spear Phishing por Tamao de la Organizacin Anlisis de Correos Electrnicos de Spear Phishing
Blanco Usados en Ataques Dirigidos
TT Los ataques contra pequeas empresas continuaron creciendo en 2015, TT Los documentos de Microsoft Office, como Word y Excel, permanecen
si bien, muchos de esos ataques fueron dirigidos a menos organizaciones, populares como un mecanismo de entrega de exploits que instalan
aumentando en 9%. malware en una computadora de destino. Tal vez de forma sorprendente,
los archivos ejecutables an son populares, sin embargo, representan por
100%
lo menos el 36% de los adjuntos de spear phishing en 2015. En malware
Grandes de correos electrnicos de ataques no dirigidos, los adjuntos de archivos
Empresas ejecutables han sido responsables de aproximadamente el 1,3% de los
35% 2.500+ adjuntos maliciosos.
39% 41%
Funcionarios
50% 50%
2015 2014
Tipo de Tipo de
Medianas Clasificacin Porcentaje Porcentaje
Adjunto Adjunto
Empresas General General
22% 251 a 2.500
31 % 25%
Funcionarios 1 .doc 40,4% .doc 38,7%
19%
32% Pequeas 2 .exe 16,9% .exe 22,6%
Empresas
43% (PYMES) 3 .scr 13,7% .scr 9,2%
31 %
30% 34% 1 a 250
18% Funcionarios 4 .xls 6,2% .au3 8,2%
0
2011 2012 2013 2014 2015 5 .bin 5,4% .jpg 4,6%
6 .js 4,2% .class 3,4%

Relacin del Riesgo de Ataques de Spear Phishing por
Tamao de la Organizacin 7 .class 2,6% .pdf 3,1%
TT Las pequeas empresas tuvieron una chance de 1 de cada 40 (3%) de ser
blanco, indicando una convergencia de ataques a menos organizaciones. 8 .ace 1,7% .bin 1,9%
Las grandes empresas presentaron una chance de 1 de cada 2,7 (38%),
sugiriendo un foco mucho ms amplio en ataques, con una frecuencia ms 9 .xml 1,6% .txt 1,4%
elevada.
10 .rtf 1,4% .dmp 1,0%
2015
2015
Relacin Ataques
Detalle del Sector Relacin del
del Riesgo por Org
Riesgo
como % Grupos de Ataques Activos en 2015
Algunos de los grupos de ataques dirigidos ms notables que estuvie-
Grandes Empresas ron activos en 2015 incluyeron los siguientes:
2.500+ Funcionarios 1 de cada 2,7 38% 3,6
TT Black Vine - Ataques asociados con la organizacin de seguridad

de TI Topsec, teniendo como blanco principalmente los sectores
Medianas Empresas aeroespacial y de salud, incluyendo a Anthem, en busca de propie-
251-2.500 1 de cada 6,8 15% 2,2
dad intelectual e identidades
TT Advanced Threat Group 9 (ATG9, tambin conocido como Rocket
Pequeas Empresas Kitten) grupo de espionaje, ubicado en Irn y patrocinado por el
(PYME) 1-250 1 de cada 40,5 3% 2,1
Estado, con ataques enfocados en periodistas, activistas de dere-
chos humanos y cientficos
TT Cadelle and Chafer ubicado en Irn y atacando principalmente
compaas areas, de energa y empresas de telecomunicaciones
en Medio Oriente, adems de una empresa en Estados Unidos
TT Duke and Seaduke ataques patrocinados por naciones principal-
mente contra agencias gubernamentales europeas, individuos de
gran destaque y organizaciones de investigaciones privadas y pol-
tica internacional. Se supone que estn liderando ataques desde
2010
ATAQUES DIRIGIDOS
Los Ataques se Dirigen

Tanto a Grandes
Empresas Como a
Pequeas Empresas
ATAQUES DIRIGIDOS
TT Advanced Threat Group 8 (ATG9, conocido como Emissary Panda) Ciberseguridad, Cibersabotaje y Luchando
- Ataques contra los sectores financiero, aeroespacial, inteligen-
cia, telecomunicaciones, energa e ingeniera nuclear en busca de Contra los Eventos de Cisne Negro
la propiedad intelectual; notable por explorar CVE-2015-5119, un Un evento Black Swan (Cisne Negro en Ingls) fue un evento sin
exploit de da cero revelado en la violacin de Hacking Team precedentes e inesperado en el momento que ocurri. Sin embargo,
TT Waterbug y Turla - grupo de espionaje ubicado en Rusia, enfocado tras posterior anlisis, los especialistas, a veces, concluyen que podra
en ataques de spear phishing y watering hole contra instituciones haber sido previsto. El trmino se origina de la creencia de que todos
gubernamentales y embajadas; se cree que est activa desde 2005 los cisnes eran blancos, hasta que en 1697, se descubrieron cisnes
negros en Australia. Si el ciberespionaje avanzado es tan comn, es
TT Butterfly - ataques contra corporaciones de ingresos de varios tal vez curioso que el cibersabotaje no lo es. Los recursos necesarios
miles de millones de dlares en las reas de TI, productos farma- para infligir daos fsicos son semejantes a los necesarios para
cuticos, commodities, incluyendo Facebook y Apple para infor- el ciberespionaje, y el blanco establecido est creciendo gracias a
macin privilegiada la proliferacin de dispositivos conectados a Internet, incluyendo
sistemas de control industrial.
Logrando Ganancias con Ataques Corporativos
La evaluacin de seguridad y de defensa del Gobierno britnico en
de Alto Nivel y el Efecto Mariposa 2015 resume los retos ordenadamente:
Butterfly (Mariposa en Ingls) es un grupo de hackers extremada-
mente bien organizado y altamente capacitado que espa empresas La gama de actores virtuales que amenazan al Reino Unido
con la intencin de lucrarse en el mercado de acciones por medio de ha crecido. La amenaza es cada vez ms asimtrica y global.
la venta de informacin sensible de mercado al postor ms alto. Los La ciberdefensa confiable y consistente normalmente exige
tipos de informacin al que el grupo de ataque potencialmente tuvo habilidades avanzadas y una considerable inversin. Sin
acceso incluye correos electrnicos, documentos legales, documentos embargo, un nmero creciente de naciones, con recursos
de polticas, materiales de entrenamiento, descripciones de productos, patrocinados por el Estado, est desarrollando capacidades
y los datos recopilados de sistemas especializados de seguridad. Estos avanzadas que son potencialmente implementables en
materiales robados tambin pueden ser valiosos porque representan conflictos, inclusive contra CNI [Infraestructura Nacional
una informacin estimable para el mercado de acciones. Crtica], e instituciones gubernamentales. Y los actores no
Symantec vi por primera vez esos ataques en 2012 y 2013, cuando estatales, que incluyen a los terroristas y cibercriminales
comprometieron a algunas empresas reconocidas tales como, Apple, pueden usar ciberherramientas y tecnologas fcilmente
Microsoft y Facebook. Sin embargo, tambin emplean medidas sofis- disponibles para fines destructivos
ticadas para cubrir sus rastros, incluyendo servidores de control y
El ciberataque Stuxnet sobre el programa nuclear iran es el mejor
comandos virtuales cifrados.
ejemplo conocido de un ataque de Internet contra una infraestruc-
tura fsica. Puede que otros ataques exitosos hayan ocurrido de forma
Lnea del Tiempo de Ataques Mariposa Contra los oculta o que las infecciones estn implantadas, pero an no han sido
Sectores de la Industria activadas. Parece improbable que la infraestructura crtica mundial
est inmune. A fines de 2014, un ataque en una usina siderrgica ale-
TT El grupo Butterfly acta desde hace varios aos, teniendo como blanco
una variedad de organizaciones, incluyendo aquellas relacionadas a la mana fue un aviso de los ataques potencialmente ms graves que estn
extraccin de recursos naturales. por venir.
TT Su uso de vulnerabilidades de da cero en ataques revela un nivel de
Las especulaciones sobre posibles casos de cibersabotaje continuaron
sofisticacin que no habamos visto antes en ataques comercialmente
motivados. en 2015, con el descubrimiento de una amenaza de robo de informa-
cin llamada Trojan.Laziok. Esta amenaza en particular parece haber
TT El grfico muestra una lnea del tiempo, desde cuando los ataques de
Butterfly comenzaron contra diferentes sectores de la industria.
sido proyectada para ataques de reconocimiento que visan el sector de
energa, principalmente en Medio Oriente. Laziok no fue proyectado
implcitamente para atacar y derribar la infraestructura crtica, sino
Jurdico para reunir informacin sobre los sistemas que comprometi. Como
discutimos en ISTR 20, esos ataques pueden ser tan potentes como
Tecnologa
los ataques directos contra los sistemas crticos, mejorando la capa-
Farmacutico cidad de un grupo de ataque para colocar mucha ms presin en un
ambiente, simplemente aprendiendo ms acerca de los tipos de siste-
Commodities mas que estn atravesando. Simplificando, si el grupo de ataque sabe
que tipos de computadoras puede comprometer, pueden decidir cmo
proceder, a fin de llevar a cabo sus objetivos maliciosos.
2012 2013 2014 2015 2016
ATAQUES DIRIGIDOS
Cibersabotaje y la Amenaza existe una prueba concreta en este caso. Lo que se sabe es que el grupo
detrs de BlackEnergy Trojan ha estado activo por muchos aos y tiene
de Warfare Hbrido como blanco varias organizaciones en Ucrania, as como pases de
La nocin de amenazas hbridas ha estado presente por un largo Europa Occidental, NATO y otros. En torno de la poca de esos ataques,
tiempo en ciberseguridad, tradicionalmente, refirindose a malware este grupo tambin fue descubierto atacando organizaciones de mdia
que posee muchos vectores diferentes de ataque, como implantar el en Ucrania. Es probable que ste no sea el ltimo caso que escuchemos
cdigo de un troyano malicioso en un dispositivo infectado e infectar hablar sobre ellos.
otro cdigo en el sistema, al diseminarse mediante el correo electr-
Los ataques de cibersabotaje en Ucrania han generado muchos debates
nico o algunos otros medios. El trmino warfare hbrido, sin embargo
sobre el uso y la eficacia de warfare hbrido, y es probable que sta no
se refiere a un tipo de guerra que es una combinacin de informacin
sea la ltima vez que escuchemos hablar de ese tipo de ataque, par-
convencional y no convencional y ciberguerra. De acuerdo con NATO,
ticularmente por el hecho de que las tensiones internacionales sigan
el trmino surgi aproximadamente en 2005 y fue posteriormente
siendo elevadas en algunas partes del mundo y la administracin de
usado para describir la estrategia utilizada por Hezbollah en la Guerra
riesgos de ciberterrorismo obtenga un mayor destaque en la lista de
del Lbano de 2006.
muchos gobiernos nacionales.
A partir de fines de 2015, las especulaciones sobre cibersabotaje se
transformaron en indicios concretos de tal ataque. El 23 de diciembre, Las Pequeas Empresas y el Caso del
una falla de energa afect la regin de Ivano-Frankivisk al oeste de
Ucrania. Los detalles surgieron en el transcurso de los prximos das Ataque a General Linens Service
y semanas, que se refera a un ciberataque multifacetado que no solo Es evidente que las pequeas empresas poseen presupuestos menores
cort la energa en ocho provincias de la regin, sino tambin enmas- de TI, y, por consiguiente gastan menos en ciberseguridad que las gran-
car la actividad de los responsables del ataque y torn difcil evaluar des empresas. No obstante, esta tendencia ha proseguido durante aos,
la magnitud de la interrupcin. a pesar de las evidencias que muestran una mayor proporcin de ata-
ques de spear phishing dirigidos anualmente a las pequeas empresas.
El malware detrs del ataque parece ser una combinacin potente
de BlackEnergy Trojan (Backdoor.Lancafdo) y Trojan.Disakil. Con el En 2015, el 43% de los ataques dirigidos de spear phishing bloqueados
objetivo de realizar el ataque, BlackEnergy Trojan fue probablemente por Symantec era destinado a las pequeas empresas, en comparacin
usado para entrar a la red, permitiendo que los responsables del ata- con el 34% en 2014. Del mismo modo, el foco de los grupos de ataque
que reuniesen informacin sobre las computadoras que haban com- se torn ms especfico, concentrndose en menos empresas, y cerca
prometido hasta que llegaron a los sistemas crticos, lo que les permi- del 3% de las pequeas empresas fue blanco en 2015, en comparacin
ti desconectar disyuntores, ocasionando la prdida de electricidad en con el 45% del ao anterior. En promedio, estas organizaciones fueron
la regin. Sin embargo, no fue el propio troyano el que interrumpi la blanco al menos dos veces durante el ao. Este cambio de una estra-
energia. Al contrario, permiti que los responsables del ataque descu- tegia de ataques ms diseminados en 2014 hacia una estrategia ms
briesen los sistemas crticos y, enseguida, obtuviesen el total control parecida a un francotirador, con ataques dirigidos a menos blancos en
sobre ellos, para que despues pudieran usar el software original en los 2015, tambin ayuda a mantener esos ataques ocultos.
sitemas para derribar la red electrica.
Uno de los retos ms difciles es saber cundo su organizacin est en
Si bien es notable hasta este punto, los responsables del ataque pare- el punto de mira de los grupos de ciberataques, especialmente cuando
cen haber planeado el ataque de forma muy detallada, ya que fueron la mayora de las noticias de ciberseguridad se concentran en las nacio-
capaces de prolongar la interrupcin ms all del perodo necesario nes disputando secretos corporativos, y las decenas de millones de
para identificarlo como un ciberataque real. Una manera que les per- informaciones de tarjetas de crdito y otros datos personales expuestos
miti hacer eso fue a travs de la realizacin de un ataque de negacin en violaciones. Se torna muy fcil creer que un ataque dirigido apenas
de servicio (TDoS) contra el call center del distribuidor de energa, que sucede con otras empresas. Sin embargo, ningn negocio es demasiado
Impeda a los clientes de llamar, dejando a los operadores sin informa- pequeo o demasiado oscuro para tornarse un blanco y un buen ejem-
cin concreta acerca de la magnitud de la interrupcin. plo que demuestra esto es el Ataque de la Ropa Sucia.
No obstante, esa combinacin de estrategias parece estar relacionada Probablemente un blanco improbable, General Linens Service, Inc. es
al uso de Trojan.Disakil en el ataque. Un troyano altamente destruc- una empresa muy pequea, con apenas una sede y 35 funcionarios.
tivo, Disakil fue probablemente utilizado para reemplazar los archivos Ofrece un servicio de ropa de cama y bao para restaurantes y el seg-
de sistema y limpiar los registros maestros de inicializacin en com- mento hotelero, que incluye la limpieza de uniformes y alfombras. A
putadoras que los operadores utilizaran para conectar nuevamente la pesar de ser un blanco improbable para una nacin, la competencia,
energa. De ese modo, no slo la energa fue interrumpida, sino tam- General Linen Services, LLC., estuvo escondida en su red durante dos
bin los sistemas utilizados para restaurarla, obligando a los operado- aos. Quizs la eleccin del nombre semejante de la empresa fue algo
res a restaurar manualmente la energa sin poder usar el software que premeditado, pues durante dos aos fueron capaces de robar clientes
normalmente estara disponible. accediendo a las facturas fiscales de la empresa, blanco del ataque, lo
que les permita ver el valor que estaban cobrando, brindndoles una
Como sucede con cualquier ciberataque, es difcil identificar a los res-
ventaja significativa. La pregunta era cmo ellos obtuvieron lograrlo;
ponsables. Basado en evidencias circunstanciales y disputas geopol-
una pequea empresa ejecutando ciberataques en un rival pareca
ticas actuales, es bastante fcil sacar conclusiones; sin embargo, no
extremo. Sin embargo, se pudo constatar que los responsables del
ATAQUES DIRIGIDOS
ataque notaron que ambas empresas usaban el mismo software para La Oscuridad No Es Una Defensa
su portal web, y la empresa blanco del ataque no alter la contrasea
estndar de administracin. Esto permiti a los invasores acceder a sus La ms valiosa forma de proteccin contra el ciberespionaje es simple-
datos 157 veces. La buena noticia es que General Linen Services, LLC mente tener conocimiento de lo que pueda suceder. Todas las empre-
fue descubierta y condenada, y General Linens Service, Inc. descubri sas son potencialmente vulnerables a los ataques dirigidos utilizando
la importancia de seguir las mejores prcticas de seguridad. tcnicas como watering hole y spear phishing. El tamao pequeo o la
oscuridad de una empresa no representan proteccin.
Sistemas de Control Industrial De hecho, en 2015, las pequeas empresas representaban un mayor
Vulnerables a Ataques porcentaje (43%) de los ataques de spear phishing, pero la probabili-
dad de ser blanco de un ataque ha disminuido. Si bien ms ataques se
Los sistemas de control industrial (ICSs) son encontrados en muchas destinaron a ese grupo, se han concentrado en un nmero menor, ms
reas de produccin industrial y los servicios pblicos mundialmente, discreto de empresas (3%).
y son de forma rutinaria conectados a Internet para monitoreo y con-
trol remoto. El hallazgo de vulnerabilidades en esos sistemas es una Compare eso con las grandes empresas, que respondieron por 35%
importante rea de investigacin, enfatizada por el crecimiento del de los ataques de spear phishing, y 1 de cada 2,7 (38%) fue blanco de
nmero de estas vulnerabilidades en 2015. ataques al menos una vez. Esto sugiere una escala mucho ms amplia
donde las campaas eran ms dispersas en su abordaje.
Se estima que el nmero real de vulnerabilidades que afectan ICSs es
mucho mayor, ya que muchas organizaciones estandarizan sus plata- Al reconocer el riesgo, las organizaciones pueden tomar medidas para
formas utilizando productos finalizados para el uso (COTS), tales como protegerse, rever sus planes de seguridad y respuesta a incidentes,
Windows o Linux, que tambin estn sujetos a vulnerabilidades, pero recibir consultora y ayuda si es necesario, as como tambin actuali-
que no son contados en estos resultados. Adems, los sistemas de ges- zar las defensas tcnicas, implantar polticas de personal y capacita-
tin ICS conectados a las redes de empresas pueden aumentar poten- ciones eficientes, adems de mantenerse actualizados con las ltimas
cialmente la exposicin a las amenazas ms tpicamente asociadas con informaciones.
esos sistemas operativos.
Vulnerabilidades Divulgadas en Sistemas de Control

Industrial
TT Por lo menos siete vulnerabilidades de da cero directamente relacionadas
a una variedad de fabricantes y dispositivos ICS en 2015.
Vulnerabilidades
160 74 80
Proveedores nicos
140
135 70
120 60
100 50
80 75 40
60 30
39 35
40 13 20
7 9
20 10
2012 2013 2014 2015

VIOLACIONES DE DATOS Y PRIVACIDAD
VIOLACIONES DE DATOS
Y PRIVACIDAD
VIOLACIONES DE DATOS La Situacin Actual

GRANDES Y PEQUEAS Los resultados de Symantec muestran que en 2015 el nmero total
de violaciones aument discretamente, alrededor de un 2%. Este ao
tambin present nueve megaviolaciones, superando el rcord de 2013
Ya sea un ataque interno o un fraude de ocho violaciones que contenan, cada una, ms de 10 millones de
criminal enfocado en sitios y dispositivos identidades. Otro nuevo rcord fue establecido cerca del fin de ao,
cuando 191 millones de identidades fueron expuestas, superando el
de punto de venta, las violaciones de rcord anterior de la mayor violacin nica de datos.
datos prosiguieron en 2015, dejando Ayudado en gran parte por esta violacin gigantesca, el nmero
total global de identidades expuestas creci 23%, para 429 millones.
perjuicios nunca antes vistos para las Lo ms alarmante es que este nmero probablemente sea mucho
vctimas. El nmero de megaviolaciones mayor, debido a la creciente tendencia de las organizaciones en limi-
tar la informacin divulgada sobre la magnitud de las violaciones que
subi al mayor nivel desde 2013. El sufren. En 2015, el nmero de violaciones reportadas que no inclu-
yeron un nmero de identidades expuestas aument el 85%, de 61
nmero de violaciones en el que toda para 113. Symantec estima que si esas violaciones fuesen reportadas
la magnitud de una violacin no fue con nmeros completos, el total de identidades expuestas sera, por lo
menos de, quinientos millones.
revelada, aument; menos empresas Es un nmero impresionante, pero tambin repleto de especulacin
se negaron a publicar los nmeros, a basado en datos incompletos. El nmero promedio de identidades
expuestas por violacin disminuy alrededor de un 33%, para 4.885
menos que fuesen exigidas por la ley. identidades por violacin. Sin embargo, eso no disminuy la causa de
preocupacin, pues sugiere que los datos robados en estas violaciones
son ms valiosos y el impacto para el negocio es mayor de lo que en
aos anteriores.
Lnea del Tiempo de Violaciones de Datos Removiendo esta violacin, los Servicios Sociales quedan en la parte
inferior de la lista. (Coincidentemente, ste es el lugar donde la cate-
TT Una gigantesca violacin en diciembre de 2015 ayud a establecer un
nuevo rcord de identidades expuestas en un ao. Con un total de 41, el
gora queda dentro de la lista de sectores, en relacin al nmero de
mes de julio tambin vio el mayor nmero de violaciones en un mes. infracciones.)
225 Identidades Expuestas 45

5 Principales Sectores que Sufrieron Violaciones por
(Millones) 41 Nmero de Identidades Expuestas e Incidentes
IDENTIDADES EXPUESTAS (MILLONES)
200 195 40
Nm. de Incidentes
175 34 35
33 30
MILLONES DE DENTIDADES EXPUESTAS

300 300
150 28 30
260 Identidades Expuestas
INCIDENTES
250 (Millones) 250
NMERO DE INCIDENTES
125 26 25
26 22
Nm. de Incidentes
100 93 23 20 200
200 200
18
75 15
13 150 150
50 42 10 120
11
22 22 100 100
25 13 17 11 11 5
.4 2 .2
50 33 50
28 30
F M A M J J A S O N D 17 12 11
2015 6
Servicios Finanzas, Admin. Comercio Comercio
Seguros y Pblica Mayorista Minorista
Mercado
Una gigantesca violacin en diciembre de 2015 ayud a establecer un Inmobiliario
nuevo rcord de identidades expuestas en un ao. Con un total de 41,
el mes de julio tambin vio el mayor nmero de violaciones en un mes.
Como resultado, las indemnizaciones de ciberseguros se estn tornando

ms comunes. El estudio de este ao de NetDiligence Cyber Claims
Principales Sub-Sectores que Sufrieron Violaciones por
mostr las indemnizaciones subiendo a US$ 15 millones, mientras Nmero de Identidades Expuestas e Incidentes
que las indemnizaciones ms comunes variaban de US$ 30.000 a US$
263.000. Pero el costo de asegurar activos digitales est en ascensin,
MILLONES DE DENTIDADES EXPUESTAS
200 191 200

contribuyendo mucho ms para el costo global creciente de las Identidades Expuestas
175 (Millones) 175
violaciones de datos.
NMERO DE INCIDENTES
150 Nm. de Incidentes 150
El promedio de premios de seguros para los minoristas subi 32% en 120
125 125
el primer semestre de 2015, y el sector de la salud vio triplicar algu-
100
nos premios. Reuters relata tambin que las franquicias ms grandes 100 100
son ahora comunes e incluso las ms grandes aseguradoras no emitirn 75 75

plizas de ms de US$ 100 millones para los clientes de riesgo.
50 40 50
Observando los sectores en todas las categoras, el sector de servicios 25 17 21 19 1920 20 25

6 5 1210 659 4
fue impactado por ms violaciones de datos que cualquier otro sector, 2 3
tanto en trminos del nmero de incidentes como en el nmero de iden-
les
les
os
os
Du les
os
d
ra
ra
ro
lu
tidades expuestas. No obstante, los motivos en cada caso son diferentes

tiv
an
ici
ne
cia
ia
Sa
do
de
on
ar
ca
um
Ge
So
ra
de
Se
es
rs
r
Se Edu
cuando se observa los subsectores contenidos dentro de estas clasifica-

gu
rre s H
y
Pe
pr
os
os
y
e
o
Em
es
ici
tiv
As
os
o
s
ios
ici
re
s
ciones de primer nivel.

rv
en
sla
rv
ici
ur
c
to
s
Se
rv
i
c
o
v
-B
gi
Re
ici
er
Se
Le
rv
S
Co
a
de
o,
ist
Se
El nmero ms grande de violaciones ocurri dentro del sub-sector de

,
tiv
ro
or
n
cu
gu
ay
c i
Servicios de Salud, que en realidad represent el 39% de todas las vio-

Eje
ra
Se
M
ist
cio
de
in
laciones en el ao. Esto no es una sorpresa, visto las rigurosas reglas

er
m
s
te
m
Ad
en
Co
dentro de la industria de la salud con relacin a la divulgacin de vio-

Ag
laciones de datos. Sin embargo, el nmero de identidades expuestas es

relativamente pequeo en este sector. El elevado nmero de violaciones
con bajos nmeros de identidades tiende a mostrar que los datos en si
son bastante valiosos para justificar tantas pequeas violaciones.
El sub-sector responsable de la mayora de las identidades expuestas fue

Servicios Sociales. Sin embargo, eso se debe en gran parte a una violacin
de datos que bati el rcord de 191 millones de identidades expuestas.
Hechos Sobre el
Ataque en Anthem
10 Principales Sectores que Sufrieron Violaciones por 10 Principales Sectores que Sufrieron Violaciones por
Nmero de Incidentes Nmero de Identidades Expuestas
TT Los Servicios de Salud son clasificados como un sub-sector dentro del TT El sector de Servicios fue responsable del 60% de las identidades expuestas,
sector de servicios, y 120 de las 200 violaciones que ocurrieron en el sector la mayora de las cuales estaban en el sub-sector de Servicios Sociales..
de servicio fueron atribuidas al segmento de la salud.
Nmero de % de Nmero de % de
Sector Sector
Incidentes Incidentes Incidentes Incidentes
1 Servicios 200 65,6% 1 Servicios 259.893.565 60,6%
Finanzas, Seguros y Finanzas, Seguros y

2 33 10,8% 2 120.124.214 28,0%
Mercado Inmobiliario Mercado Inmobiliario
3 Comercio Minorista 30 9,8% 3 Administracin Pblica 27.857.169 6,5%
4 Administracin Pblica 17 5,6% 4 Comercio Mayorista 11.787.795 2,7%
5 Comercio Mayorista 11 3,6% 5 Comercio Minorista 5.823.654 1,4%
6 Manufactura 7 2,3% 6 Manufactura 3.169.627 <1%
Transporte & Servicios Transporte & Servicios

7 6 2,0% 7 156.959 <1%
Pblicos Pblicos
8 Construccin 1 <1% 8 Construccin 3.700 <1%
10 Principales Sub-Sectores que Sufrieron Violaciones 10 Principales Sub-Sectores que Sufrieron Violaciones
por Nmero de Incidentes por Nmero de Identidades Expuestas
Nmero de % de Nmero de % de
Sector Sector
Incidentes Incidentes Incidentes Incidentes
1 Servicios de Salud 120 39,3% 1 Servicios Sociales 191.035.533 44,5%
2 Servicios Empresariales 20 6,6% 2 Aseguradoras 100.436.696 23,4%
3 Servicios Educativos 20 6,6% 3 Servicios Personales 40.500.000 9,4%
Administracin de Recursos
4 Aseguradoras 17 5,6% 4 21.501.622 5,0%
Humanos
Hoteles y Otros Agentes de Seguros,
5 14 4,6% 5 19.600.00 4,6%
Alojamientos Correctores y Servicios
Comercio Mayorista -
6 10 3,3% 6 Servicios Empresariales 18.519.941 4,3%
Bienes Duraderos
Comercio Mayorista -
7 Restaurantes y Bares 9 3,0% 7 11.787.795 2,7%
Bienes Duraderos
Ejecutivo, Legislativo y Ejecutivo, Legislativo y
8 9 3,0% 8 6.017.518 1,4%
General General
9 Instituciones Depositarias 8 2,6% 9 Servicios Educativos 5.012.300 1,2%
10 Servicios Sociales 6 2,0% 10 Servicios de Salud 4.154.226 1,0%

Esto pone en discusin como el riesgo influye en una violacin de Principales Sectores Filtrados por Identidades Ex-
datos. Un sector puede sufrir un gran nmero de violaciones de datos
puestas, Causados por Hacking y Robos Internos
o exponer un gran nmero de identidades, pero eso significa que los
datos en si estn siendo usados para fines nefastos? Identidades
Sector
Expuestas
Por ejemplo, el 48% de las violaciones de datos fue causado por datos
accidentalmente expuestos. Los datos personales en esos casos fueron 1 Aseguradoras 100.301.173
de hechos expuestos, ya sea por una empresa compartiendo datos con
las personas equivocadas o un sitio mal configurado que, inadvertida- 2 Servicios Personales 40.500.000
mente, hizo que los registros privados se transformasen en pblicos.
Pero estos datos fueron obtenidos por personas con intenciones mali- 3 Administracin de Recursos Humanos 21.500.000
ciosas? En muchos casos, es probable que no. Es improbable que una
abuela jubilada que accidentalmente recibe por correo electrnico el
4 Agentes de Seguros, Correctores y Servicios 19.600.000
registro de salud de otra persona, transforme esta informacin en un
robo de identidad. No significa que eso nunca suceda, apenas una gran
5 Servicios Empresariales 18.405.914
mayora de tales violaciones de datos es de menor riesgo.
Lo que presenta un riesgo mucho mayor son los casos en los que los En trminos de identidades expuestas en violaciones de alto riesgo,
hackers o robo de informacin privilegiada fueron la causa de una vio- los sub-sectores de Aseguradoras y Agentes de Seguros, Correcto-
lacin. stos son los casos en los que el motivo ms probable era robar res y Servicios aparecen entre los cinco primeros. Entre estos dos
datos. En estos casos, aqu le damos algunos ejemplos de sectores de sub-sectores estn casi la mitad de las megaviolaciones observadas
alto riesgo. en 2015. Eso presenta un otro tem interesante: de las violaciones
relacionadas a seguros, casi 40% tambin contenan registros de
Principales Sectores Filtrados por Incidentes, Causados salud. Dada la sobreposicin entre los costes de salud y las com-
paas de seguros que cubren esos costes, eso no es muy sorpren-
por Hacking y Robos Internos
dente. Lo que es preocupante es que los grupos de ataque pueden
Nmero de haber descubierto que estos datos altamente valorizados estn dis-
Sector ponibles en sectores relacionados con el de seguros, y en nmeros
Incidentes
mucho mayores que los encontrados en pequeos hospitales o con-
1 Servicios de Salud 53 sultorios particulares.
2 Hoteles y Otros Alojamientos 14 Por Algn Otro Nombre

3 Servicios Empresariales 14 Cuanto ms detalles alguien posee acerca de un individuo, ms fcil
se torna cometer fraudes de identidad. Los criminales estn diri-
Comercio Mayorista - Bienes giendo sus ataques a organizaciones gubernamentales, de seguros y
4 9
Duraderos de salud para obtener perfiles ms completos de individuos.
5 Servicios Educativos 9 Los tipos de informacin que los ladrones tienen como blanco no
alteraron en 2015, excepto algunas pequeas alteraciones en el ran-
El sub-sector de Servicios de Salud an est en el tope de la lista en king. Los nombres reales an son el tipo ms comn de informacin
relacin al nmero de incidentes, pero ahora es seguido por el sub-sec- expuesta, presente en ms de 78% de todas las violaciones de datos.
tor de los Hoteles y Otros Alojamientos. Curiosamente, el 100% de Las direcciones residenciales, fechas de nacimiento, documentos
las violaciones en este sub-sector especfico incluy informacin de emitidos por el gobierno (como SSN en Estados Unidos o CPF en
tarjetas de crdito, pero apenas el 7%, en realidad, report el nmero Brasil), registros mdicos e informacin financiera aparecen con
de identidades robadas. El sector de Servicios Empresariales cay de un volumen entre 30 y 40%, as como en 2014, si bien su orden en
la segunda a la tercera posicin cuando se consideran las causas de el ranking posee pequeas alteraciones. Completando el top 10, las
alto riesgo. Las empresas violadas en este sector son principalmente direcciones de correo electrnico, nmeros de telfono, informacin
empresas online y fabricantes de software. de seguros, y nombres de usuario / contraseas nuevamente apare-
cen con nmeros entre 10 y 20%.
Eso no significa que los datos de las tarjetas de crdito an no son

un blanco comn. El valor por tarjeta no es especialmente alto en
el mercado negro, ya que las empresas de tarjetas de crdito son
rpidas para detectar modelos de gastos anormales (as como los
propietarios de las tarjetas de crdito) y los datos de tarjetas robadas
y otras informaciones financieras tienen una vida til limitada. Sin
embargo, an existe un mercado constante para los datos robados
de tarjetas de crdito.
10 Principales Tipos de Informacin Expuesta En octubre de 2015, el 40% de los consumidores norteamericanos
tenan tarjetas EMV, y se estima que el 25% de los comerciantes era
TT La informacin financiera incluye detalles de tarjetas de crdito robadas y
otras credenciales financieras. compatible con EMV. Con la migracin a la norma EMV, las tarjetas de
crdito son mucho ms difciles de clonar, ya que requieren la utiliza-
2015 2015 2015 2014 cin de un PIN para poder utilizarlas. Pese a que la transicin pueda
Tipo % Tipo % llevar algunos aos para ser implementada integralmente, al lado de
otras mejoras en la seguridad de los puntos de venta, debe causar que
1 Nombres Reales 78% Nombres Reales 69% los hurtos de gran escala en puntos de venta sean ms difciles y, segu-
ramente, menos rentables para los criminales.
Nmeros de
Direcciones
2 44% Documentos 45%
Residenciales
(ej.: SSN, CPF) La Amenaza Interna
Fechas de Direcciones Si bien los robos internos representaron apenas cerca del 10% de las
3
Nacimiento
41% Residenciales
43% violaciones de datos en 2015, el estudio NetDiligence Cyber Claims
inform que haba involucrado recursos internos en 32% de las solici-
Nmeros de
Informacin tudes presentadas a las aseguradoras en 2015. De acuerdo con su CEO,
4 Documentos 38% Financiera
36%
(ej.: SSN, CPF) un recurso interno desconforme fue acusado de haber sido el respon-
sable de una de las violaciones de datos ms divulgadas del ao, en
Fechas de Ashley Madison. Si bien eso no ha sido confirmado, si es verdad, el
5 Registros Mdicos 36% Nacimiento
35%
caso destaca los potenciales daos que un recurso interno malicioso
Informacin puede infligir.
6
Financiera
33% Registros Mdicos 34%
7
Direcciones de
21%
Nmeros de
21%
Principales Sectores que Sufrieron Violaciones por
Correo Electrnico Telfono
Nmero de Incidentes
Nmeros de Direcciones de El porcentaje de incidentes implicando robos internos creci de menos de
8
Telfono
19% Correo Electrnico
20% TT
1% en 2014 para 10% en 2015.
Nombres de usuario
9 Seguro 13% y Contraseas
13%
100%
Nombres de usuario 2014 % de Incidentes
90
10
y Contraseas 11% Seguro 11% 2015 % de Incidentes
80
70
El sector minorista continua siendo un sector lucrativo para los crimi- 60

nales, a pesar de que la introduccin del modelo EMV, o tecnologa de 49%
50 46%
pago "chip-and-PIN" en Estados Unidos significa que la informacin 40
que los criminales sern capaces de robar de dispositivos de punto de 30
venta (POS) ser menos valiosa. EMV es un modelo global para tarjetas 22% 22% 21% 21%
20
equipadas con microchips, y la tecnologa ha sido usada en algunos 10%
10 8%
pases desde 1990 e inicios de los aos 2000. EMV es usado para auten-
ticar las transacciones de chip y PIN, y en la secuencia de innmeras Grupos de Accidentalmente Roubo o Prdida Robo
violaciones de datos en gran escala en los ltimos aos. Debido al costo Ataques publicado de Computadora Interno
creciente de los fraudes de tarjeta de crdito, los emisores de tarjetas o Drive
de crdito en Estados Unidos estn migrando hacia esa tecnologa en

un intento de reducir el impacto de tal fraude.
Anteriormente, los criminales podran apoderarse de datos 'Track 2',

que es una abreviatura para algunos de los datos almacenados en la
banda magntica de una tarjeta. Eso torn ms fcil clonar las tarjetas
de crdito y usarlas en las tiendas, o incluso en cajeros automticos, si
poseen PIN. "Track 1" almacena ms informacin que "Track 2", y con-
tiene el nombre del titular de la tarjeta, as como el nmero de cuenta y
otros datos discricionarios. Track 1 a veces es usado por las compaas
areas al asegurar reservas con una tarjeta de crdito. El valor de estos
datos se refleja en los precios de venta online en el mercado negro, con
datos "Track 2" que cuestan hasta US$ 100 por tarjeta.
Ms de Quinientos Millones de Registros

de Informacin Personal Robados o
Perdidos en 2015
Principales Causas de Violaciones de Datos por en el preludio para un ataque dirigido. El reconocimiento del valor
potencial de esos datos en manos equivocadas trajo como resultado
Identidades Expuestas
TT El porcentaje de identidades expuestas que fue accidentalmente publicado
aument para el 48%, del 22% en 2014.
la mejora de los servicios de redes sociales, restriccin en los controles
de privacidad y ms personas dando una mayor atencin a sus datos
100% personales. Por ejemplo, la decisin del "derecho a ser olvidado" del
2014 % de Incidentes Tribunal de Justicia de las Comunidades Europeas gener un gran
90
82% 2015 % de Incidentes impacto en la comunidad de recopilacin de datos en mayo de 2014,
80
siendo que hasta el final de 2015, Google haba recibido 348.085 soli-
70
citudes de exclusin de la lista de resultados de bsquedas especficas.
60
52%
50 48% Si bien muchos pensaban que eso solamente beneficiara a aquellos
40
que quieren esconder escndalos o evitar incriminaciones, de acuerdo
con FAQ de Google, algunos de los casos ms comunes para la remocin
30
son sitios que contienen informacin de contacto personal o direccio-
20 17%
nes, adems de "contenido que se refiere nicamente a la informacin
10
sobre la salud, orientacin sexual, raza, etnia, religin, filiacin pol-
<1% <1% <1% <1%
tica y estado civil de las personas".
Grupo de Accidentalmente Hackeo o Prdida Robo
Ataques publicado de Computadora Interno
o Drive Y el Tribunal de Justicia de la Comunidad Europea aument el foco del
pblico sobre la privacidad nuevamente este ao cuando decidi que
el acuerdo "Safe Harbor", del ao 2000, era invlido. Como Monique
El porcentaje de identidades expuestas que fue accidentalmente publi- Goyens, directora general de la Organizacin Europea de Consumi-
cado aument para el 48%, del 22% en 2014. dores explic, la decisin confirma que "un acuerdo que permite que
las empresas de Estados Unidos simplemente declaren que adhieren
Las amenazas internas siempre fueron un tpico de destaque en ciber- a las reglas de proteccin de datos de la Unin Europea, sin ninguna
seguridad, pero en 2015, los rganos gubernamentales no slo comen- verificacin por parte de las autoridades de esta reivindicacin, clara-
zaron a notar eso, sino tambin a tomar medidas. mente no vale el papel de lo que est escrito". Como el peridico The
Guardian coment en la poca, la decisin puede "ayudar a detener al
TT Ms de tres de cada cuatro de las agencias gubernamentales de
gobierno de Estados Unidos de ser capaz de obtener acceso a los datos
Estados Unidos encuestadas en MeriTalk Federal Insider Threat
de los usuarios de la UE" y "puede abrir la puerta para nuevas investi-
Report dicen que su agencia est ms enfocada en la lucha contra
gaciones, reclamaciones y acciones judiciales de usuarios y entidades
las amenazas internas hoy de lo que a un ao atrs.
reguladoras de datos".
TT La organizacin Centre for Defence Enterprise, en el Reino Unido,
patrocin varios proyectos en 2015 con el objetivo de monitorear el Sin embargo, en febrero de 2016, la Comisin Europea y Estados Uni-
comportamiento digital de los funcionarios para predecir e identi- dos llegaron a un acuerdo sobre una nueva estructura para la trans-
ficar las amenazas internas en tiempo real, as como simuladores misin de datos transatlnticos: "EU-US Privacy Shield". La nueva
de aprendizaje para ayudar a las personas a identificar los riesgos. estructura fue concebida para abordar los requisitos establecidos por
el Tribunal de Justicia de la Comunidad Europea, tras la decisin de
Reglamentaciones de Privacidad y que la estructura de Safe Harbor era invlida. El comunicado de prensa
indica, "El nuevo acuerdo proporcionar obligaciones ms fuertes
el Valor de los Datos Personales sobre las empresas en Estados Unidos para proteger los datos perso-
Los cibercriminales no estn apenas interesados en "quien puede hac- nales de los europeos y ms fuerte monitoreo y fiscalizacin por el
kear", sino tambin en "quien puede efectuar la fuga de informacin". Departamento de Comercio de Estados Unidos y la Comisin Federal
Si los datos pueden ser robados en una violacin de datos, accidental- del Comercio (FTC), incluyendo una mayor cooperacin con las Autori-
mente en una fuga de datos, o incluso publicados online legtimamente dades Europeas de Proteccin de Datos".
en el pasado, los datos personales tienen valor en la economa alterna-
tiva. Hasta hace relativamente poco tiempo, muchas personas no reco- En una encuesta con siete mil personas en toda Europa, State of Pri-
nocan el valor potencial en la informacin personal de identificacin, vacy Report, publicado por Symantec en 2015, muestra que solamente
y muchas veces eran muy apticos para protegerlas. El advenio de las en el Reino Unido, 49% de los consumidores se preocupan con la segu-
redes sociales en la ltima dcada permiti que ms personas compar- ridad de sus datos. Y en toda la Unin Europea, las empresas de tecno-
tiesen ms datos personales que en cualquier momento en la historia, loga (22%), minoristas (20%) y las empresas de redes sociales (10%),
y los controles de privacidad no estaban en la vanguardia de muchos fueron las menos confiables. Symantec considera la falta de confianza
aplicativos de las redes sociales. en esas empresas como una cuestin de reputacin, posiblemente pro-
veniente de recientes incidentes de violacin de datos de alto perfil.
Los datos personales pueden y sern usados para cometer crmenes,
ya sea para realizar fraudes de identidad, o para mejorar la ingeniera Consideramos que crecer la resistencia en compartir la informacin
social en fraudes de phishing, o incluso como parte del reconocimiento personal y comenzar a alterar el comportamiento online entre los
consumidores. Una de las principales razones por las cuales la priva- Reduciendo el Riesgo
cidad de datos se est tornando una preocupacin tan grande es que
existe ahora un claro entendimiento entre los consumidores de que sus Al mismo tiempo que esos pasos son importantes, un gran nmero de
datos poseen valor. Los prestadores de servicios de tecnologa deben violaciones de datos tambin podra haber sido evitado con acciones de
tomar cuidado cuando el asunto es privacidad de datos, porque hasta sentido comn, que incluyen:
que el sector de tecnologa consiga tener la confianza de que har lo
TT Correccin de vulnerabilidades
correcto por la proteccin de datos de sus consumidores, se exigir
ms trabajo en los prximos aos para construir y mantener el nivel TT Mantener una buena higiene de software
de confianza necesario. TT Implantar filtros eficaces de correo electrnico
En cuanto las violaciones de datos proliferan y la vida de las perso- TT Usar prevencin de intrusin y deteccin de software
nas cada vez ms migra hacia un ambiente online, esperamos ver ms
TT Restringir el acceso de terceros a los datos de la empresa
reglamentaciones y ms inters judicial en la proteccin de la privaci-
dad individual en 2016 y en los prximos aos. Las empresas necesitan TT Si se necesita, emplear cifrado para proteger los datos confidenciales
ser ms transparentes con los clientes acerca de cmo mantienen la TT Implementar tecnologa de prevencin de prdida de datos (DLP)
seguridad de los datos. La seguridad necesita incorporarse en la cadena
Evidentemente, todas esas acciones estn relacionadas con la preven-
de valor de una empresa, pero tambin no debe ser vista internamente
cin de ataques externos. Cuando se trata de mitigar el riesgo de ame-
como un costo, sino como un requisito para conquistar clientes.
nazas internas maliciosas o accidentales, las organizaciones necesitan
Ilias Chantzos, Director Senior de Asuntos Gubernamentales de enfocar en la educacin de los funcionarios y en la prevencin de pr-
Symantec, coment: "Existe una real consistencia emergente de que dida de datos.
la privacidad es una ventaja competitiva para las empresas y que las
Debe difundirse a los empleados la higiene bsica de seguridad, de la
preocupaciones con la privacidad tambin determinan el comporta-
misma forma que recibimos consejos bsicos de salud, como cubrir nues-
miento de los consumidores. Es fundamental garantizar que los con-
tras bocas cuando tosemos o higienizamos las manos en los hospitales.
sumidores logren comprender para qu se est usando su informacin
Las organizaciones tambin deben hacer uso de tecnologa de preven-
y de qu forma est protegida".
cin de prdida de datos para localizar, monitorear y proteger sus datos,
en cualquier lugar dentro de la organizacin, para que sepan quin hace
lo que, con qu datos, en tiempo real. La tecnologa DLP puede impedir
que ciertos tipos de datos dejen una organizacin, tales como nmeros
de tarjeta de crdito y otros documentos confidenciales.
La seguridad debe ser una parte esencial de las operaciones y el com-

portamiento de los funcionarios, en lugar de ser un adicional o algo que
satisfaga a los auditores. Es improbable que las violaciones de datos se
detengan en un futuro prximo, pero la escala y el impacto de estas vio-
laciones seguramente podran reducirse si las organizaciones recono-
cieran que la seguridad va mucho ms all de los lmites del CIO o del
gerente de TI. La seguridad est en las manos de cada funcionario.
E-CRIMEN Y MALWARE
E-CRIMEN Y MALWARE
LA ECONOMA CLANDESTINA Y Negocios en las Sombras Virtuales

LAS AUTORIDADES LEGALES Los cibercriminales estn profesionalizndose cada vez ms y ms
osados, no solamente en los blancos que establecen, sino tambin en
La economa clandestina est en relacin a los valores monetarios que ellos buscan. Estas empresas
criminales se identifican como un negocio completo, cubriendo una
expansin y el cibercrimen est gran variedad de reas, cada una con su propia especialidad. As como
creciendo rpidamente, pero como las empresas legtimas tienen aliados, colaboradores, distribuidores y
proveedores, lo mismo sucede con esas empresas que operan en las
vimos con el nmero creciente de sombras.
detenciones e interrupciones de Si bien el valor de las direcciones de correo electrnico en el mercado

negro ha disminuido en los ltimos aos, el valor de las tarjetas de
servicios de alto perfil en 2015, en crdito se ha mantenido relativamente bajo, pero estable. Sin embargo,
cualquier lugar que los cibercriminales ven datos de "lujo", como verificacin de que las cuentas del vende-
dor an estn activas o que una tarjeta de crdito an no ha sido blo-
estn, ahora las autoridades legales queada, ahora logran alcanzar un valor premium.
estn alcanzndolos mucho En la otra punta del mercado, un toolkit web para ataques de "dri-
ve-by download", que incluye actualizaciones y soporte 24x7, puede
ms rpidamente. Los ataques ser alquilado por entre US$ 100 y US$ 700 por semana, mientras que
de ransomware pueden haber los ataques distribuidos de negacin de servicio (DDoS) pueden ser
encomendados desde US$ 10 hasta US$ 1.000 por da. Y en el tope del
disminuido, pero tambin se estn mercado, una vulnerabilidad de da cero puede ser vendida por cientos
de miles de dlares. Adems, estos nmeros han sufrido pocas altera-
diversificando, incluyendo los ataques ciones desde 2014.
dirigidos a servidores web Linux.

E-CRIMEN Y MALWARE
Manos al Alto Existen sin intermediarios que el criminal necesite pagar y nada para
mitigar los perjuicios a la vctima, maximizando de ese modo los
Ransomware se ha tornado cada vez ms dominante en los ltimos lucros.
aos y en 2014 muchos esperaban ver que esta tendencia continuara.
No obstante, mientras observamos la diversificacin de los ataques Una tctica de crypto-ransomware, que visa aumentar la presin sobre
de ransomware, el crecimiento del volumen no ha sido observado. Los las vctimas a pagar el rescate, amenaza a destruir la nica copia de
ataques migraron hacia dispositivos mviles, cifrado de archivos, y la clave secreta despus de un cierto tiempo, con los datos cifrados
cualquier cosa que un propietario pague para recuperar. potencialmente perdidos para siempre.
Crypto-Ransomware a lo Largo del Tiempo

El Dominio Creciente de Crypto-Ransomware
TT En cuanto el estilo ms tradicional de locker ransomware viene mostrando
TT Porcentaje de nuevas familias de aplicativos fraudulentos, software falso un rpido descenso, crypto-ransomware sigue creciendo. Crypto-
de seguridad (antivirus falso), locker ransomware y crypto-ransomware ransomware utiliza un cifrado basado en clave, demasiado fuerte y
identificados entre 2005 y 2015. aparentemente irrompible, que secuestra los archivos personales de la
vctima para el rescate, cifrndolos con una clave que apenas los criminales
tienen acceso.
Aplicativos Fraudulentos AV Falso
Lockers Crypto-Ransomware
50.000
100%
90
40.000
80
70 30.000
60
20.000
50
40
10.000
30
20
10
2015
05 06 07 08 09 10 11 12 13 14 15
Crypto-Ransomware como Porcentaje del Total de
Ransomware
En 2015, un investigador de Symantec demostr que las Smart TV TT Si bien el grfico indica un constante descenso en ransomware tradicional
eran potencialmente vulnerables a ransomware, a pesar de que eso no en 2015, crypto-ransomware ahora representa la mayora de todos los
ataques de ransomware.
haya sido observado en el mercado.
Algunos ejemplos de ransomware ahora tambin amenazan a publicar Ransomware Crypto-Ransomware

archivos de la vctima online, excepto si ellos pagan, una estrategia
600 100%
interesante y siniestra que debe aumentar, pues el consejo tradicional Crypto-Ransomware como
de mantener backups eficaces no ayuda en este escenario. % de todo Ransomware 90
500
80
Nunca antes en la historia de la humanidad se vieron a tantas perso-
70
nas, en todo el mundo, sometidas a la extorsin en gran escala como 400
hoy en da. Pero por qu los criminales prefieren usar ransomware, 60
especialmente crypto-ransomware? Con el exceso de informacin
MIL
300 50
robada en el mercado negro y la introduccin de la norma EMV ms
40
segura (chip-and-PIN), para pago con tarjeta en Estados Unidos, se
200
redujo el valor estimado del dinero que los criminales pueden obtener 30
explorando los detalles de tarjetas de crdito. 20

100
Los fraudes de tarjetas de crdito involucran a varias personas para 10
su realizacin, y la legislacin de proteccin al consumidor garantiza

que la prdida financiera de la vctima sea minimizada. En cambio, ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
un grupo de ataque puede obtener un toolkit de ransomware de una 2015
fuente clandestina y poner como blanco a sus vctimas pretendidas,

que pueden tener pocas alternativas a no ser pagar el rescate.
E-CRIMEN Y MALWARE
Hallazgos de Ransomware
Ransomware tambin tuvo como blanco los servidores web Linux en las operaciones interrumpidas, y sus pginas web y de redes sociales
2015, cifrando archivos asociados a aplicativos web, archivos y back- tambin fueron afectadas en el ataque. Los hackers publicaron docu-
ups. La evolucin de ransomware para Linux recuerda la evolucin mentos que alegaban ser los documentos de identidad y currculos de
de ransomware para Windows: las versiones iniciales eran bsicas y parientes de soldados franceses involucrados en las operaciones anti-
muchas veces usaban cifrado pobre, tornndose relativamente senci- ISIS en Irak y en Siria.
llo para recuperar los archivos cifrados. No obstante, as como sucedi
Ambos ejemplos destacan un caso evidente de terroristas que usan las
con ransomware para Windows, podemos esperar que los criminales
ciberamenazas como un instrumento para ampliar sus mensajes. El
detrs de esa nueva tendencia aprendan rpidamente con sus errores
Internet se ha tornado, no solamente una herramienta para la radica-
y se tornen ms sofisticados en el futuro.
lizacin online, sino tambin para la comunicacin entre los grupos
terroristas y para la financiacin de sus operaciones. Como consecuen-
Problemas Globales, Ataques Locales cia, las solicitudes para que las autoridades legales rompan los proto-
Con la llegada de las elecciones presidenciales en Estados Unidos, colos de cifrado deben tener un impacto ms amplio y duradero sobre
el spam que lleva a malware ha circulado usando como seuelo las la integridad tecnolgica de las comunicaciones va Internet como un
primarias presidenciales. Los spammers saben como aprovechar los conjunto.
temas de gran contenido emotivo, como eventos globales, la crisis
En una referencia al terrorismo, una reciente campaa de correo elec-
de los refugiados en Medio Oriente, inmigracin, asuntos de poltica
trnico se haca pasar por las autoridades policiales locales en Medio
externa, economa, e incluso terrorismo.
Oriente y en Canad, engaando a las personas a hacer la descarga de
En enero de 2015, las cuentas de Twitter y de YouTube del comando malware enmascarado como recomendaciones de seguridad que man-
militar de Estados Unidos fueron hackeadas por partidarios autotitu- tendran a la potencial vctima a salvo de potenciales ataques terroris-
lados del grupo terrorista jihadista ISIS (tambin conocido como IS, tas en su regin. El correo electrnico falsific las direcciones de las
ISIL o Daesh). El Comando Central de Estados Unidos coment que fue agencias de autoridades legales e incluy los nombres de funcionarios
un caso de "cibervandalismo", en lugar de una grave violacin de datos. que estaban an en sus funciones en la fecha de la campaa. La lnea
de asunto de los correos electrnicos muchas veces usaba el nombre de
Sin embargo, en abril de 2015, la red de televisin francesa TV5 Monde un empleado que trabajaba en la empresa que era el blanco.
inform que haba sido invadida por un grupo que reivindica pertene-
cer al grupo terrorista ISIS. Segn relatos, su estacin de TV tuvo todas Realizar este tipo de ataque convincente requiere algn nivel de inves-
tigacin, y aqu vimos que ese grupo lo efectu antes de enviar esos
E-CRIMEN Y MALWARE
correos electrnicos de phishing. Adems, sin cualquier informacin Las Consecuencias del Dyre y las Autoridades
de funcionarios, ellos enviaban correos electrnicos a otras personas
en la empresa como un punto de entrada, como el equipo de soporte Legales
al cliente o TI. Despus que la polica cerr varias grandes botnets financieras en
2014, Dyre asumi un lugar de mayor destaque. Adems de Dyre
Este nivel de investigacin y localizacin indica un profesionalismo cada
secuestrar navegadores web comunes e interceptar sesiones de Inter-
vez mayor, y est tornndose cada vez ms comn en fraudes de botnet.
net banking para robar informacin, tambin puede bajar malware
La economa clandestina no es apenas sobre la venta de bienes robados:
adicional para la computadora de la vctima, conectndolo a la red de
involucra a toda una industria de profesionales talentosos y organizacio-
computadoras botnet del autor del crimen.
nes que usted esperara ver en un sector legtimo de negocios.
Hallazgos de Dyre a lo Largo del Tiempo

Botnets y la Ascensin de los Zombis
TT El grfico muestra un descenso en la actividad de malware Dyre, mucho
Como sucede en muchos otros sectores, las economas en desarrollo, antes de que botnet fuese afectada en noviembre de 2015. Esto puede ser
como China en particular, se han tornado un blanco favorito para el un indicador de un modelo de negocio ya debilitado.
cibercrimen en 2015. Un factor importante fue el crecimiento de la
adopcin de banda ancha en el ltimo ao. En 2013, el gobierno chino
35.000
anunci planes para expandir la cobertura de banda ancha hacia reas
rurales y urbanas hasta 2020. Uno de los marcos para la estrategia 30.000
multifacetada tuvo como objetivo llevar conexiones de banda ancha
fija a 400 millones de familias chinas en 2015. Adems, los precios se 25.000
mantuvieron bajos mientras la velocidad de banda ancha aumentara.
20.000
Todo eso torna al pas un blanco atractivo para los cibercriminales que
visan comprometer una nueva fuente de computadoras conectadas a
15.000
Internet de alta velocidad.
10.000
Actividades Maliciosas por Fuente: Bots 5.000

TT China fue el origen de un nmero mayor de actividades de bots en 2015,
viendo un fuerte aumento del 84% en la actividad relacionada a bots en aquel
pas. Por otro lado, la actividad de bots en Estados Unidos, cay el 67%. El J J A S O N D E F M A M J J A S O N D
xito de las acciones de las autoridades legales contra los cibercriminales y 2014 2015
una mayor concientizacin de ciberseguridad son factores que contribuyen
para el descenso de bots en general.
Dyre haba inicialmente surgido como una de las operaciones de
fraude financiero ms peligrosas, configuradas para defraudar a los
2015 Alteracin 2014 clientes de ms de 1.000 bancos y otras empresas en todo el mundo.
2015 2014
Bots % porcentual Bots %
Pas/ Pas/ No obstante, el grupo de cibercrimen que controlaba el fraude finan-
de Total de Bots en el de Total
Regin Regin ciero de Trojan Dyre sufri un duro golpe, en noviembre, tras una
Global Pas/Regin Global
operacin de las autoridades legales rusas. Conforme descrito en el
1 China 46,1% +84,0% China 16,5% blog Security Response, la telemetra de Symantec confirm la virtual
interrupcin de las actividades del grupo. Dyre (detectado por Syman-
Estados Estados tec como Infostealer.Dyre) fue propagado a travs de campaas de
2
Unidos 8,0% -67,4%
Unidos
16,1%
correo electrnico y no se ha observado ninguna campaa de correo
electrnico relacionada a Dyre desde el 18 de noviembre de 2015. Las
3 Taiwn 5,8% -54,8% Taiwn 8,5% detecciones de Trojan Dyre y malware asociado cayeron drsticamente
luego enseguida. Anteriormente, se estimaba que el nmero de infec-
4 Turqua 4,5% +29,2% Italia 5,5%
ciones era mayor que 9.000 por mes en el inicio de 2015. En noviem-
bre, este nmero cay para menos de 600 por mes.
5 Italia 2,4% -71,2% Hungra 4,9%
Las autoridades legales se tornaron ms eficaces en la captura de este
6 Hungra 2,2% -69,7% Brasil 4,3% tipo de cibercriminales, y el xito de alto perfil en interrumpir sus
operaciones muestra cmo los esfuerzos internacionales coordinados
7 Alemania 2,0% -58,0% Japn 3,4%
pueden proporcionar beneficios. Raramente un grupo de ataque est
limitado a un pas, y con los principales grupos abarcando mltiples
8 Brasil 2,0% -70,1% Alemania 3,1%
jurisdicciones, la cooperacin de las autoridades legales en diferentes
pases es un factor importante para garantizar que estos aconteci-
9 Francia 1,7% -57,9% Canad 3,0%
mientos continen ofreciendo un golpe contra los cibercriminales. El
10 Espaa 1,7% -44,5% Polonia 2,8% prximo ao, esperamos ver ms operaciones exitosas de las autorida-
des legales contra los cibercriminales.
E-CRIMEN Y MALWARE
A medida que se intensifiquen los riesgos para los cibercriminales, Cibercrimen y cmo Encontrar un Local Seguro
disminuirn las recompensas potenciales, aumentando la barrera de
entrada para quien desea ser un cibercriminal. Otros xitos notables Las organizaciones y los individuos necesitan percibir que, aunque
en 2015 incluyen: ellos no crean que son un blanco obvio para los cibercriminales, eso no
significa que no lo son.
TT DerrIbada de botnet Dridex. Botnet Dridex es especializado en
robar credenciales bancarias. En octubre, una operacin con las La clave es mantenerse vigilante a nivel personal a travs de:
autoridades legales internacionales involucr esfuerzos coordina- TT No abrir correos electrnicos de remitentes desconocidos.
dos para aislar miles de computadoras comprometidas, cortando
el control de estas mquinas de botnet, siendo que un hombre fue TT Buscar el candado y verificar el certificado SSL en sitios donde
condenado. No obstante, ste puede haber sido un xito aislado, ingrese datos sensibles.
pues Dridex sigue propagndose, indicando que muchos elemen- TT No use redes no seguras al acceder datos sensibles.
tos principales de la operacin an estn funcionando. De ese
modo, se supone que el grupo contine representando una seria Permanecer vigilante en el nivel organizativo a travs de:
amenaza durante 2016.
TT Implantacin de software de prevencin y deteccin de invasiones.
TT Derribada de botnet Simda. En abril, la infraestructura de propie-
TT Saber cules son los datos valiosos que usted tiene y aprovechar la
dad de los controladores de botnet Simda, que incluyen un nmero
tecnologa de prevencin de prdida de datos.
de servidores de comando y control, fue aprehendida por las auto-
ridades legales. De acuerdo con la Interpol, "Simda fue usado por TT Monitorear donde estn los datos y quien tiene acceso a los mismos.
criminales para obtener acceso remoto a computadoras que permi- TT Asegurarse de que usted tenga un buen plan de respuesta a inci-
ten el robo de datos personales, incluyendo contraseas bancarias, dentes cuando se detecte un ataque. No es una cuestin de lo que
as como para instalar y diseminar otras especies de malware". hacer si un ataque ocurre, sino cuando ocurre.
TT Aprehensin de Ramnit. En febrero, una operacin policial lide-
rada por Europol y con soporte de, entre otros, Symantec y Micro-
soft, aprehendi servidores y otras infraestructuras de propiedad
del grupo de cibercrimen detrs de la botnet Ramnit.
TT Las acusaciones relacionadas a fraudes de servicios financieros
y bancarios en varios pases. Las autoridades federales indicia-
ron por lo menos a cuatro hombres en conexin con los incidentes
de hacking que resultaron en el robo de ms de 100 millones de
registros de clientes. Ellos fueron acusados de invadir varias insti-
tuciones financieras y de operar un esquema de pump and dump
de acciones. Uno de los ataques ocurri en 2014 y recaud ms de
80 millones de registros de clientes, una violacin que el Departa-
mento de Justicia de Estados Unidos apod de "el mayor robo de
datos de clientes de una institucin financiera de Estados Unidos
en la historia."
NUBE & INFRAESTRUCTURA
NUBE &
INFRAESTRUCTURA
COMPUTADORAS, Protegiendo el Sistema

COMPUTACIN EN LA NUBE E Ya no existe ms el tiempo en el que un sistema operativo evitaba ata-
ques simplemente por no ser Windows. Los ataques contra Mac OS X y
INFRAESTRUCTURA DE TI Linux han aumentado considerablemente en 2015 y la ciberseguridad
es una necesidad para todos los sistemas operativos, no apenas para
Los sistemas de TI siguen Windows, sino tambin para evitar las consecuencias de ataques.
sufriendo ataques de malware en La ciberseguridad afecta a todos. Las empresas necesitan proteger sus
computadoras e infraestructura de TI para impedir el robo de datos,
rpida evolucin. Ningn sistema fraude y ataques de malware. De la misma forma, las empresas y los
consumidores deben preocuparse con ransomware que secuestra sus
operativo est automticamente datos para rescate, robo de identidad, y los grupos de ataque que usan
inmune y las amenazas de sus computadoras como un trampoln para atacar a otros.
malware contra Linux y Mac En un nivel fundamental, la misin de la ciberseguridad es proteger las
estructuras de TI en todas partes: computadoras, servidores y redes.
El problema es que el malware es omnipresente. En 2015, vimos un
Los X estn aumentando. Incluso los nmero mucho mayor de sistemas bajo ataque, que incluyen Linux,
sistemas virtualizados y alojados en Macs, computadoras virtualizadas y los sistemas en la nube. A cada
ao, la nube lidia con una cantidad mayor de nuestros datos, ya sea
la nube son vulnerables. Malware es para la gestin del relacionamiento con los clientes, servicios de
cobranza, redes sociales, correo electrnico mvil y toda una gama de
capaz de identificar los ambientes otras aplicaciones
virtualizados e infectarlos. Un camino para los ataques es mediante de la exploracin de vulne-
rabilidades y la mayora de los sistemas tiene vulnerabilidades. stos
existen en los sistemas operativos y aplicativos utilizados sobre los
mismos y son un aspecto importante de la ciberseguridad. Si una vul-
nerabilidad queda sin correccin puede dejar el camino abierto para Nada es Automticamente Inmune
ser explorada por grupos de ataque y ser usada para fines maliciosos.
Todos los aos los investigadores descubren nuevas vulnerabilidades, El ltimo ao, Symantec observ amenazas para casi todos los tipos
y las ms codiciadas son vulnerabilidades de da cero, un tipo especial de computadoras, sistema operativo y otros servicios esenciales de TI
de vulnerabilidad para la cual un parche an no est disponible. esenciales, que incluyen:
TT Mac OS X. No slo se descubrieron ms vulnerabilidades en 2015,

Nmero Total de Vulnerabilidades sino tambin, ransomware de prueba de concepto y otros mtodos
para troyanos obtuvieron acceso no autorizado a computadoras.
TT El grfico sugiere una inflexin para una tendencia descendiente desde
2013, considerablemente acentuada en 2015. TT MySQL. Investigadores de Symantec han descubierto un malware
que ataca MySQL, un sistema de banco de datos muy popular, y lo
7.000 usa para lanzar ataques de negacin de servicio en otros sistemas.
6.436
6.253 6.204 TT Linux. Hubo un rpido crecimiento de malware para Linux en 2015,
6.000
5.562 5.585 que incluyen kits de ataque que los hackers pueden usar para infec-
5.291
4.842 4.644 4.989 tar servidores web Linux sin parches de correccin.
5.000 4.814
TT Sistemas virtualizados. Incluso los sistemas virtualizados no
4.000 estn inmunes. El 16% de las instancias de malware habitualmente
es capaz de reconocer y explorar un entorno de mquina virtual,
3.000 y vulnerabilidades como VENOM podran permitir que un inva-
sor escape de una mquina virtual infectada y ataque otras en el
2.000
mismo sistema, o incluso atacar el hypervisor del host.
1.000
Mac OS X
El sistema operativo Mac OS X de Apple fue afectado por una serie
2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 de ataques en 2015, que inclua una amenaza ransomware de prueba
de concepto llamado Mabouia (detectado como OSX.Ransomcrypt),
la primera amenaza ransomware basada en archivo eficaz contra OS
Aquellos que tienen miedo de grmenes pueden no gustarle, pero las X. Anteriormente, se encontraron amenazas basadas en navegadores
bacterias y los virus cubren toda la superficie. Viven en nuestra piel y contra Macs, que inclua ransomware y tenan como blanco Safari
en el aire y no se marcharn. De la misma forma, las vulnerabilidades mediante un sitio malicioso.
son una parte del entorno computacional. Ellas tampoco se marcharn
y un abordaje descuidado en relacin a la aplicacin de parches, ya sea Adems, el volumen de malware para OS X duplic (crecimiento del
por descuido, error de configuracin, error humano o negligencia, es 100%) desde el inicio de 2015. En T1, Symantec bloque aproximada-
una de las principales causas de infecciones por malware. Los sistemas mente 3.650 ataques por da, subiendo para 7.255 hasta el final de T4.
bien administrados y actualizados de forma correcta poseen bastante
menos probabilidad de infeccin. Volumen de Malware Mac OS X
300.000
270.000
240.000
210.000
180.000
150.000
120.000
90.000
60.000
30.000
2015
Diez Principales Instancias de Malware Mac OS X Volumen de Malware Linux

Bloqueadas en Endpoints OS X TT En 2015, Symantec vio un incremento en el volumen de malware dirigido a
Linux, el sistema operativo ms comn en servidores de sitios, entre otros
TT Muchas variantes de malware para OS X fueron adicionalmente bloqueadas
servicios esenciales de Internet.
usando deteccin genrica para las cuales no se crearon definiciones
especficas. La deteccin genrica protege contra muchos troyanos que
comparten caractersticas similares.
300
250
2015 2014
Nombre del Nombre del
Clasif. Amenazas Amenazas
Malware Malware 200
Mac en % Mac en %
150
1 OSX.Sudoprint 42,0% OSX.RSPlug.A 21,2%

100
2 OSX.RSPlug.A 16,8% OSX.Okaz 12,1%
50
3 OSX.Klog.A 6,6% OSX.Flashback.K 8,6%
4 OSX.Keylogger 5,6% OSX.Keylogger 7,7% ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
2015
5 OSX.Wirelurker 5,0% OSX.Stealbit.B 6,0%
6 OSX.Luaddit 3,2% OSX.Klog.A 4,4%

Diez Principales Instancias de Malware Linux Bloqueadas
7 OSX.Flashback.K 3,1% OSX.Crisis 4,3% en Endpoints Linux
TT El 55% del malware para Linux en 2015 estaba relacionado con variantes
8 OSX.Crisis 2,1% OSX.Sabpab 3,2% del Linux. Xorddos, un troyano que abre un backdoor en la computadora
comprometida e incluye un dispositivo de rootkit que puede esconder
9 OSX.Okaz 1,7% OSX.Netweird 3,1% el trfico de red y otros archivos. Tambin puede bajar otros archivos
potencialmente maliciosos.
10 OSX.Stealbit.B 1,6% OSX.Flashback 3,0%
2015
Clasif. Nombre del Malware
Amenazas Mac en %
Linux en la Lnea de Fuego

1 Linux.Xorddos 54,9%
A pesar de que el volumen total sea menor en comparacin, el nmero
de ataques de malware contra Linux ha aumentado a un volumen casi 2 Linux.Dofloo 13,9%
cuatro veces mayor (aumento del 286%) desde el inicio del ao. En T1,
Symantec bloque cerca de 1,3 ataques por da, subiendo para 5,2 en 3 Linux.Wifatch 12,7%
el fin de T4.
4 Linux.Shelock 4,2%
5 Linux.Spalooki 3,9%
6 Linux.Kaiten.B 3,8%
7 Linux.Mumblehard 2,4%
8 Linux.Moose 1,6%
9 Linux.Raubdo 1,0%
10 Linux.Xnote 0,5%
Linux es omnipresente, y un servidor puede alojar miles de sitios den-

tro del datacenter de cualquier proveedor de alojamiento. Linux se ha
tornado un blanco atractivo para los hackers, porque al acceder a un
servidor, un invasor puede potencialmente infectar todos los sitios sistema operativo del host nativo, juntamente con otras mquinas vir-
alojados en el mismo, y a su vez a todos sus visitantes y clientes. tuales que son ejecutadas en la misma plataforma. Los grupos de ata-
que que exploran el bug VENOM podran potencialmente robar datos
Los grupos de ataque muchas veces suelen contaminan los servidores
confidenciales en cualquiera de las mquinas virtuales en el sistema
web comprometidos con un cdigo con enlaces para explorar toolkits,
afectado, y obtener acceso de alto nivel a la red local del anfitrin y
o enviar correos electrnicos de spam y robar nombres de usuarios y
sus sistemas. El bug VENOM (CVE-2015-3456) existe desde 2004, en
contraseas. Al mismo tiempo, los servidores web comprometidos son
el hypervisor de cdigo abierto QEMU, que muchas veces es instalado
muchas veces un trampoln a partir del cual un invasor llevar a cabo
por norma en una serie de infraestructuras virtualizadas que usan
una gran variedad de otros ataques, que incluyen ataques DDoS muy
Xen, QEMU y KVM. No obstante, es importante notar que VENOM no
poderosos, donde el ancho de banda de un proveedor de alojamiento
afecta hypervisors VMware, Microsoft Hyper-V y Bochs.
es considerablemente mayor que el de un usuario residencial con una
conexin de banda ancha. Hasta ahora, no existe informacin de la exploracin del bug VENOM
en el mercado, y los desarrolladores de QEMU y otros proveedores afec-
La proliferacin de toolkits de ataques automatizados y especializados
tados, desde entonces, crearon y distribuyeron parches para VENOM.
ha emergido, tornando ms fcil para los criminales realizar ataques
contra los sistemas Linux. Estos toolkits ayudan a los grupos de ataque Una en seis variantes (16%) de malware es capaz de detectar la presen-
a identificar los servidores potencialmente vulnerables, escaneando cia de un entorno virtualizado, en comparacin con 1 de cada 5 (20%)
por sistemas inseguros de administracin de contenido y otras aplica- en 2014. Esa capacidad puede ayudar al malware a evitar mejor la
ciones web expuestas. deteccin, especialmente en sistemas de sandboxing de seguridad que
usan virtualizacin. Ms preocupante es que un ataque puede detec-
Ransomware que tena a Linux como blanco tambin fue descubierto
tar el momento exacto en el que es capaz de explorar e infectar otras
en 2015, enfocado en determinados archivos con extensiones asocia-
mquinas virtuales en el mismo sistema.
das a aplicaciones web. El programa tambin cifraba archivos y direc-
torios que contenan la palabra 'backup', tornndose particularmente
difcil para cualquier persona sin backups externos. Proporcin de Muestras de Malware que son Capaces
de Identificar Equipos Virtuales
Sistemas Virtualizados y en la Nube TT Aproximadamente 16% de las instancias de malware son habitualmente
capaces de detectar e identificar la presencia de un entorno de mquina
La expresin "computacin en la nube" abarca una amplia variedad virtual, llegando a alrededor del 22% en T4.
de entornos y soluciones tcnicas, que incluyen modelos de software
como servicio (SaaS), plataforma como servicio (PaaS), o infraestruc-
25%
tura como servicio (IaaS). IaaS est creciendo en popularidad entre las
empresas, y a medida que ms servicios y datos son migrados hacia la 22 22
20
nube, acaba atrayendo ms la atencin de los investigadores de segu- 20 19
ridad y de los cibercriminales. Como sucede con cualquier sistema, 17 17
16 16 16
cada vez que una nueva capa es a un servicio, la superficie de ataque 15
15
aumenta. Mientras los entornos en la nube pueden sufrir con vulne- 12
rabilidades comunes, tales como fallas de inyeccin de SQL, tambin
10
pueden ser afectados por otros motivos. Por ejemplo, en 2015, Syman- 8
tec descubri que la incorrecta configuracin y la mala gestin (por
usuarios, no prestadores de servicios en la nube) dej a los sistemas 5
alojados en la nube, vulnerables a accesos no autorizados. Adems,

cerca de 11.000 archivos accesibles al pblico que contena informa-
cin personal sensible, tambin fueron descubiertos. Las credenciales ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
robadas para sistemas basados en la nube son regularmente comer- 2015
cializadas en los mercados clandestinos, generalmente por menos de
US$ 10.
Poseer un perfil robusto de seguridad para sistemas virtuales, ahora
es mucho ms importante. Las mquinas virtuales y los servicios en
Vulnerabilidades de la Nube
la nube necesitan seguridad de la misma forma que otros servicios y
No es estrictamente verdadero que los sistemas en la nube son inhe- dispositivos. Las polticas deben cubrir la infraestructura virtual as
rentemente menos seguros que los servicios tradicionales de TI. Sin como la fsica, adems de la utilizacin de herramientas integradas de
embargo, los administradores necesitan garantizar que los servicios en seguridad en todas las plataformas para ayudar a mitigar en el futuro
la nube que ellos usan estn configurados correctamente y que todos esos problemas.
los datos sean adecuadamente protegidos. Ellos deben tomar cuidado
para controlar el acceso a sus sistemas en la nube, preferencialmente
con una autenticacin de dos factores.
Las vulnerabilidades, como VENOM, podran permitir que un invasor

escapase de una mquina virtual (VM) para visitantes y accediese al
Protegiendo la Infraestructura de TI Es importante que el CIO entienda lo que la organizacin est haciendo,
y si ciertos equipos estn buscando servicios o aplicaciones que no
Delante de esas y muchas otras amenazas, los consejos bsicos son estn previstas, y enseguida, determinar cmo resolver esa necesidad
vlidos para todos los servicios de infraestructura, que incluyen los y ofrecer ese servicio de forma segura. Tener procesos adecuados es
servidores de archivos, servidores web, y otros dispositivos conectados esencial para proteger la informacin y los datos, aun cuando no se
al Internet: ingresen dentro de la empresa.
TT Mantngase informado acerca de las amenazas emergentes.
TT Mantenga los sistemas actualizados con parches y actualizaciones. ATAQUES DDOS Y BOTNETS
TT Use software de seguridad integrado que incluye tecnologa anti-
malware. Los ataques distribuidos de negacin
TT Use un firewall fuerte que solamente permita trfico conocido, de servicio (DDoS) estn creciendo
y revise regularmente logs de acceso para detectar actividades
potencialmente sospechosas. en nmeros e intensidad, pero la
TT Emplee proteccin multicapa, de modo que si una capa es compro- mayora tarda 30 minutos o menos.
metida, existan otras capas para proteger las diferentes reas del
sistema. La disponibilidad de botnets de
TT Aplique polticas consistentes y capacite efectivamente a los equi- alquiler ha alimentado este aumento
pos.
TT Controle los accesos basados en menos privilegios.
y probablemente veremos el Internet
TT Implante un sistema de prevencin y deteccin de invasiones en la de las Cosas proporcionar ms
red y monitoree los servicios de correo electrnico que se ejecutan
en el servidor.
sustento a esos ejrcitos de botnets.
TT Siempre mantenga backups externos.
Expansin de Ataques DDoS
Preocpese tambin con los sistemas en la nube. Aqu le damos algu-
nas consideraciones adicionales: Algunos ataques DDoS an permiten a los criminales muchas oportu-
nidades para recompensas financieras por medio de la extorsin y el
TT Proteja todas las credenciales usadas para acceder a las funciones chantaje al interrumpir los servicios del sitio web de una organizacin.
de administracin basadas en la nube y asegrese de que el acceso Siguiendo el rastro del dinero recaudado ha tornado ese proceso ms
sea controlado siempre que sea necesario. difcil y las tecnologas de mitigacin DDoS resultaron en los grupos
TT Certifquese que usted entienda las configuraciones de sus recur- de ataque que necesitaban recursos cada vez ms grandes para generar
sos de nube y las aplique correctamente. un impacto. No obstante, ms recientemente, los grupos activistas de
hackers y, algunas veces, los actores son patrocinados por naciones,
TT Active el log de eventos para mantener el control sobre quienes que son cmplices en algunos de los mayores ataques.
estn accediendo a los datos en la nube.
El reciente ataque a la BBC, que vio su sitio y servicios asociados, que
TT Lea los acuerdos de nivel de servicio de los proveedores de servi-
incluyen el iPlayer (servicio de transmisin online de radio y TV de la
cios en la nube para aprender cmo se garantizan los datos en la
BBC en Reino Unido), derribados por varias horas en la vspera del Ao
nube.
Nuevo, es un excelente ejemplo. Se estima que sea el ms grande ata-
TT Incluya direcciones de IP en la nube en los procesos de gestin de que DDoS de todos los tiempos, de acuerdo con New World Hacking, la
vulnerabilidades y realice auditoras en todos los servicios que son organizacin del Estado anti-islmico que asumi la responsabilidad
suministrados a travs de la nube. por el ataque. Los responsables del ataque alegaron que la escala de la
BBC ofreci una oportunidad para comprobar sus capacidades y alegan
Proteja la Informacin En Cualquier Lugar que el ataque alcanz un pico de 602 Gbps.
A medida que las empresas migran sus sistemas de TI hacia los entor- Existen recompensas que pueden obtenerse a travs de un ataque
nos virtuales y alojados en la nube, enfrentan nuevos retos de segu- DDoS, la ms obvia es el chantaje. Las vctimas son amenazadas a
ridad. Asimismo, como siempre, la propia naturaleza humana es una pagar, o caso contrario a permanecer bajo ataque a sus sitios. Los ata-
amenaza, con la mala gestin de seguridad llevando a los sistemas de ques DDoS tambin han sido utilizados como una herramienta de "dis-
"Shadow IT". Shadow IT se refiere a las soluciones utilizadas dentro de traccin" en conjunto con algunos ataques dirigidos de alto nivel en
las organizaciones sin la aprobacin organizativa explcita, as como 2015, donde los responsables llevaron a cabo un ataque de inundacin
las soluciones utilizadas por distintos departamentos del rea de TI. A en el sitio web de la organizacin blanco, dejando al equipo de TI cre-
veces puede ser muy fcil para un grupo de funcionarios recurrir a pro- yendo que era el preludio de un pedido de rescate. En realidad, estaba
ductos externos para atender a una necesidad inmediata. Los tomado- ocurriendo discretamente al mismo tiempo otro ataque furtivo.
res de decisin de TI deben entender lo que influye a sus funcionarios a
recurrir a estas soluciones, y determinar cunto el departamento de TI
debe ser involucrado para ayudar a moldear esas decisiones.
Volumen de Ataques DDoS Identificados por Symantec Diferentes grupos de ataque tienen preferencias distintas para sus
campaas de DDoS, y los ataques de inundacin ICMP fueron uno de
Global Intelligence Network
los principales mtodos utilizados por el botnet Darkness/Optima.
TT El grfico muestra el nmero de ataques DDoS por mes, y este nmero Algunos mtodos, especialmente los ataques de amplificacin, pueden
creci en el segundo semestre de 2015, antes de caer en el final del ao.
Ocurrieron picos ms notables de actividades, a medida que la duracin de no funcionar tan bien a lo largo del tiempo. Por ejemplo, cuando la
los ataques se torna ms corta y ms discreta. media cubre extensivamente un ataque de alto perfil, ms personas
corregirn sus servidores. Adems, botnets que fueron usados para
ejecutar los ataques anteriores pueden ser derribados o actualizados
20
para versiones ms recientes que proporcionan nuevas funcionalida-
17 des.
15
Sencillo pero Eficaz
12
MILLONES
Entonces por qu los ataques DDoS son tan populares? La respuesta

10
es la misma que cuando escribimos por primera vez sobre ellos en
7 diciembre de 2002: son fciles de configurar, difciles de detener y muy
eficaces. Eso ahora es mucho ms autntico con la ascensin de bot-
5
nets de alquiler.
2
De acuerdo con Incapsula, un partner de Symantec, en el segundo
trimestre de 2015 los botnets de alquiler fueron usados en aproxi-
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC madamente 40% de todos los ataques DDoS en capas de red. Si bien
2015
los criminales pueden invertir el esfuerzo de infectar varios dispositi-
vos vulnerables y crear su propio botnet para realizar ataques DDoS,
muchas veces es mucho ms fcil contratar botnets prefabricados por
un determinado perodo de tiempo.
Cinco Principales Ataques DDoS Identificados por
Symantec Global Intelligence Network Los precios permanecieron relativamente estables en el mercado negro
TT La mayora de los ataques DDoS fueron ataques de inundacin ICMP, en 2015, donde los ataques DDoS pueden ser encomendados a partir
donde un gran volumen (tpicamente) de pedidos de 'ping', eventualmente de apenas US$ 10 a US$ 1.000 por da. El costo para una empresa
sobrecargan el blanco hasta que ya no pueda lidiar con el trfico legtimo. ser significativamente mayor, posiblemente hasta mil veces mayor,
dependiendo de la naturaleza del negocio y la importancia del sitio de
2015 2014 la empresa. En 2015, Incapsula report que un ataque DDoS poda cos-
2015 2014
Tasa de Tasa de tar a una organizacin hasta US$ 40.000 por hora. Por consiguiente,
Ataques Ataques
Ataque Ataque la potencial recompensa para un grupo de ataque que secuestra con
xito los datos de una empresa para su rescate, seguramente compen-
Ataque Genrico de DNS Ataque de sar ms que su costo. Por ejemplo, un proveedor de correo electrnico
1
Inundacin por ICMP 85,7% Amplificacin
29,4%
en Australia fue atacado y los responsables exigieron un pago de 20
Bitcoins, un valor aproximado de US$ 6.600. Otra empresa que pag
Ataque Genrico de
Ataque Genrico de el valor solicitado fue luego sometida a otro ataque, poco tiempo des-
2 Negacin de Servicio 6,4% Inundacin por ICMP
17,2%
por Inundacin TCP Syn pus.
Ataque Genrico de Ataque Genrico de

Negacin de Servicio Negacin de Servicio
3
por Ping Broadcast 2,1% por Ping Broadcast
16,8%
(Smurf) (Smurf)
Ataque Genrico de Ataque Genrico de

4 Negacin de Servicio 5,6% Negacin de Servicio 7,2%
Teardrop/Land Teardrop/Land
Ataque Genrico de
Ataque de Negacin de
5
Servicio RFProwl 0,6% Negacin de Servicio 5,7%
ICMP Inaccesible
Distribucin de Ataques DDoS a Capas de la Red por Distribucin de Ataques DDoS a Capas de la Red por
Duracin (Q3) Duracin (Q2)
TT El grfico muestra como hasta el final de T2 de 2015, an haba un TT El grfico muestra que hasta el final de T3, el nmero de ataques DDoS
porcentaje significativo de ataques DDoS que podran durar varias horas, que duraron ms de un da haba casi desaparecido completamente, lo que
das, semanas o incluso meses. Grfico cortesa de Incapsula. representa menos de la mitad del 1% de todos los ataques DDoS. Grfico
cortesia de Incapsula.
70%
100%
60 58% 90
80 77%
50
16 70
16
40 60
50
30
40
20 30
10 20
10 7 6 11
3 4 4 8
11 <1 2 2 <1 1 10
11 <1 <1
<.5 .5-1 1-3 3-6 6-12 12-24 24+
12 20
<.5
-1
6
12
96 6
240 240
408 80
20
0+
-7
-2
1-
-4
3-
-9
.5
6-
72
-1
-7
-4
48
12
24
72
0-
HORAS
HORAS
Estos ataques ms cortos son indicadores de un cambio hacia una Qu existe en un Botnet?
mayor utilizacin de DDoS siendo ofrecido como un servicio, donde los
Los botnets son fundamentales para los ataques DDoS, ya sean alquila-
suscriptores reciben acceso limitado a los recursos totales de un bot-
dos o creados por los criminales que realizan el ataque. Cuanto mayor
net, compartidos con otros suscriptores. Eso generalmente ser sufi-
es el botnet, ms solicitudes simultneas puede enviar y mayor ser el
ciente para que lleven a cabo algunos ataques de mediano porte y corta
impacto del ataque.
duracin. Tambin puede ayudar a los responsables del ataque a deter-
minar la eficacia de la infraestructura del blanco para mitigar tales Pero no son apenas PCs infectados que estn suministrando a los cri-
ataques, y si lo necesitan aumentar el volumen. Incapsula tambin minales su ejrcito de robots. En octubre, vimos los servidores MySQL
inform que los ataques de ms de 100 Gbps se han tornado comunes ser blanco de malware, pues muchas veces ofrecen una capacidad de
y un ataque de 100+ Gbps fue mitigado una vez a cada dos das. ancho de banda mucho mayor para un ataque que los PCs tradicionales
para los consumidores. Este mtodo no es nuevo, pero demuestra que
El aumento de la popularidad de "DDoS como servicio" corresponde
los criminales estn constantemente creando botnets ms grandes y
con la disminucin significativa en la duracin de ataques en capas
mejores.
de red en el tercer trimestre de 2015, en comparacin con el segundo
trimestre. Algunos de esos servicios DDoS de alquiler se refieren a si En 2015, tambin vimos a los criminales hacer uso creciente del Inter-
mismos como "stressers", porque la realizacin de un ataque DDoS es net de las Cosas (IoT) para reforzar sus recursos de botnet. Las cma-
ilegal, entonces ellos se esconden detrs de un velo, deduciendo que ras CCTV se mostraron particularmente populares, probablemente
pueden ser usados para "pruebas de estrs" en la resiliencia del ser- porque son uno de los dispositivos ms comunes del Internet de las
vidor. cosas, con 245 millones de cmaras de vigilancia de vdeo profesional-
mente instaladas, activas y operativas, mundialmente en 2014.
Mirando hacia el futuro, es probable que los criminales harn cre-

ciente el uso de dispositivos del Internet de las cosas vulnerables para
ejecutar ataques DDoS en gran escala. Si bien existen soluciones para
mitigar contra los ataques DDoS, las organizaciones tambin enfren-
tarn nuevos retos en la implementacin de la seguridad adecuada en
dispositivos no tradicionales a fin de garantizar que ellos no se tornen
parte del problema. Posiblemente lo ms preocupante, sin la seguridad
en el lugar adecuado, ser mucho ms difcil saber cundo su impre-
sora, heladera, termostato o tostadora es realmente parte de un botnet
global.
CONCLUSIONES
Por qu la Ciberseguridad es tan importante? Nada es Automticamente Inmune
sta es la 21a edicin del Informe de Amenazas a la Seguridad en Ningn sistema est automticamente inmune a las ciberamenazas, y
Internet y muchas cosas han cambiado desde la primera edicin. en este informe, son evidentes las consecuencias de ignorar los riesgos
Todos los aos buscamos repensar la estructura y el contenido del de la complacencia, negligencia e incompetencia. En 2015, se identi-
informe. Al mismo tiempo que enfocamos en las amenazas y relata- fic un nmero sin precedentes de vulnerabilidades como exploits de
mos los resultados de nuestra investigacin, Symantec tambin acom- da cero que fueron usados como armas, y kits de exploit para ataques
paa las tendencias del sector, y en el informe, intentamos destacar los web que estn adaptando y evolucionando estas vulnerabilidades ms
desarrollos importantes y observar las tendencias futuras. Eso va ms rpidamente que nunca. A medida que se conectan ms dispositivos,
all de apenas observar los sistemas de computadoras, smartphones y las vulnerabilidades sern exploradas. Proteger los dispositivos conec-
otros productos, y extenderse en conceptos generales como la seguri- tados a Internet se tornar extremadamente importante para garanti-
dad nacional, economa, proteccin de datos y privacidad. zar la seguridad de los sistemas de control industrial (ICS) y los dispo-
sitivos mdicos en la comunidad.
La ciberseguridad es Importante Junto con el aumento del nmero de vulnerabilidades de software y
Este informe posee una visin de alto nivel de amenazas a Internet los varios ataques en distintos sistemas, el futuro traer consigo una
y de ciberseguridad, destacando los cambios y desarrollos notables. mayor gama de diversidad donde las amenazas contra los sistemas
Sin embargo, no debemos olvidar que el cibercrimen deja vctimas. Windows se extendern hacia otros sistemas operativos, dispositivos
Por ejemplo, ransomware bloquea a las personas de sus computado- mviles y otros dispositivos del Internet de las cosas.
ras, impide el acceso a valiosas fotos de familia por rescates, secuestra
manuscritos no finalizados de libros y bloquea el acceso a declaracio- Higiene Digital y un Futuro Ms Limpio
nes de IR, registros bancarios y otros documentos valiosos. Adems,
En ciberseguridad, muchas veces comentamos sobre infecciones y
no hay garantas de que pagar el rescate liberar esos candados. Las
virus. Pero el escenario de ataques omnipresentes, violaciones masi-
empresas, as como los usuarios domsticos, se han tornado vctimas,
vas de datos y amenazas avanzadas que vimos este ao sugieren que
y depender en backups suele ser la ltima lnea de defensa cuando la
existen analogas mdicas mejores. En lugar de infeccin, podemos
ciberseguridad debera realmente ser la primera.
pensar en una enfermedad crnica, aguda, grave y benigna.
Los ataques dirigidos roban la propiedad intelectual de valor inestima-
En vez de pensar en trminos binarios como comprometido y libre de
ble de las empresas y una violacin de datos puede destruir la repu-
infecciones, debemos migrar hacia un modelo de bienestar que consi-
tacin de una organizacin e incluso amenazar su sobrevivencia. Las
dere susceptibilidad, resiliencia, bienestar, vulnerabilidad a la infec-
indemnizaciones de ciberseguro estn creciendo en volumen y coste,
cin y capacidad de recuperacin. Como profesionales de TI de segu-
aumentando cada vez ms los premios de los seguros. En un escenario
ridad, debemos enfatizar la prevencin, deteccin y mitigacin, as
ms amplio, los problemas de ciberseguridad amenazan la seguridad
como una cura completa. Los conceptos prestados de epidemiologa,
nacional y el crecimiento econmico, lo que acaba afectando a todos.
planificacin de respuesta a incidentes, y herramientas que efectan
simulaciones de seguridad se estn tornando ms importantes y tiles.
Seguridad Web y la Responsabilidad
Para los individuos y las empresas, la seguridad del Internet ser ms
de la Industria
similar a 'bienestar' e 'higiene' que 'medicina', y enfocada en la rutina
Las actualizaciones para proteger contra esas vulnerabilidades son de prevencin en lugar de procurar una panacea o cura. Necesitamos
lanzadas regularmente para bibliotecas de protocolo SSL/TLS, como estar digitalmente saludables y digitalmente limpios, y el aprendizaje
OpenSSL, pero los propietarios de sitios an necesitan instalarlas. de los hbitos de seguridad debe ocurrir la cantidad de veces que sea
Hemos visto en este informe y a lo largo de los ltimos aos que eso necesaria.
an no est sucediendo con la rapidez necesaria. El nmero de vulne-
rabilidades de sitios se mantiene ao tras ao, con pocas mejoras que De la misma forma, los departamentos de TI necesitan ser proactivos
pueden notarse. Si bien la migracin de certificados SHA-1 a SHA-2, en la reduccin de riesgos de invasiones persistentes y malware, ade-
mucho ms fuertes, tambin est siendo acelerada, las organizaciones ms de identificar rpidamente las violaciones. Desafortunadamente,
deben implementar los nuevos certificados correctamente para que la descubrir rpidamente los ataques requiere una vigilancia activa y
migracin sea eficaz. constante. La seguridad de la informacin no puede esperar la aper-
tura de llamados de soporte o que la herramienta favorita de seguridad
Los criminales continuaron encontrando vulnerabilidades en la identifique un problema de forma conclusiva. La seguridad necesita
infraestructura estructural de seguridad de sitios web en 2015, explo- comenzar a analizar los datos de forma proactiva durante el tiempo de
rando debilidades en los sistemas de cifrado subyacentes, permitiendo respuesta en el que no ha habido una violacin.
que los grupos de ataque intercepten y controlen las conexiones
seguras. El debate ms amplio en torno de la seguridad, privacidad y Como un sector, necesitamos comenzar a migrar hacia una mentali-
cifrado fuerte acabar afectando a todos nosotros. dad ms investigativa, enfocada en estudios clnicos, donde estamos
constantemente investigando los hbitos o artefactos que causan las
"enfermedades digitales." Tomar riesgos con ciberseguridad ser algo

inaceptable, de la misma forma que conducir un coche bajo el efecto
del alcohol.
La ciberseguridad no consiste apenas en emplear el tipo correcto de

tecnologa, sino tambin exige una buena higiene digital de parte de
todos; tanto en casa como en la oficina. La educacin es la mayor con-
cientizacin en lo que se refiere a la ciberseguridad y ayudar a todos a
tornarse ms digitalmente saludables. Al tener ciencia de exactamente
cuntos riesgos se estn enfrentando, usted puede reducirlos y apren-
der a reconocer los sntomas y diagnosticar las enfermedades "digi-
tales" antes de poner sus datos y los datos de sus clientes en riesgo.
Debemos rechazar la idea equivocada de que la privacidad no existe
ms. La privacidad es valiosa y debe protegerse con cuidado.
Para los ltimos datos actualizados, visite:

Informe Mensual de Amenazas de Symantec
RECOMENDACIONES SOBRE LAS MEJORES PRCTICAS PARA EMPRESAS

Emplear Estrategias Detalladas de Defensa Sitios Seguros Contra Ataques e Infeccin de
Enfatice mltiples sistemas de defensa, sobrepuestos y que tengan Malware
sinergia para proteger contra fallas en puntos nicos en cualquier tec- Evite comprometer su relacin de confianza con los clientes, exami-
nologa o mtodo de proteccin. Esto debe incluir la implantacin de nando regularmente su sitio para detectar vulnerabilidades y malware.
firewalls actualizados regularmente, as como antivirus para gateway, Tambin, considere:
sistemas de deteccin o proteccin de invasiones (IPS), identificacin
de vulnerabilidades de sitios web con proteccin contra malware y TT Escoger Certificados SSL con Extended Validation que muestra la
soluciones de seguridad web para gateway en toda la red. barra de direcciones del navegador de color verde para los usuarios
del sitio.
Monitoree los Intentos de Invasiones en la TT Mostrar marcas conocidas de confianza en locales altamente visi-
Red, Vulnerabilidades y Abusos de Marca bles en su sitio, para mostrar a los clientes su compromiso con su
seguridad.
Reciba alertas de nuevas vulnerabilidades y amenazas a travs de pla-
taformas de distribuidores para la reparacin proactiva. Rastree los
Proteja Claves Privadas
abusos de marca mediante de alertas de dominio e informes de sitios
web falsos. Asegrese de obtener sus certificados digitales a partir de una autori-
dad de certificacin establecida, confiable y que demuestre excelentes
prcticas de seguridad. Symantec recomienda que las organizaciones:
Antivirus en Endpoints No Es Suficiente
En endpoints, es importante instalar las ltimas versiones del
TT Usen infraestructuras separadas para Firmas de Pruebas y Firmas
software antivirus. Implante y use un producto de seguridad de Publicadas.
endpoint amplio que incluya capas adicionales de proteccin, como: TT Protejan las claves en dispositivos de hardware cifrados, inviola-
bles y seguros.
TT Prevencin de invasiones de endpoints que proteja vulnerabilida-
des no corregidas de ser exploradas, proteja contra los ataques de TT Implementen la seguridad fsica para proteger a sus activos de
ingeniera social, e impida el malware de alcanzar los endpoints. robo.
TT Proteccin del navegador para evitar ataques complejos basados

en la web.
Use Cifrado y DLP para Proteger los Datos
Sensibles
TT Soluciones de reputacin basadas en la web y archivos que propor-
cionen una clasificacin de riesgo y reputacin de cualquier apli- Implemente y haga cumplir una poltica de seguridad a travs de la
cativo y sitio web para impedir malware polimrfico y en constante cual todos los datos confidenciales sean cifrados. Garantice que los
mutacin. datos del cliente tambin sean cifrados. Esto no solamente sirve para
impedir las violaciones de datos, sino tambin puede ayudar a mitigar
TT Capacidades de prevencin actitudinal que observar el comporta-
los daos de potenciales fugas internas de datos de una organizacin.
miento de aplicativos e impedir malware.
TT Configuraciones de control de aplicacin que pueden impedir apli- Debe ser restricto el acceso a las informaciones confidenciales. Esto
cativos y plugins del navegador de bajar contenido malicioso no debe incluir una solucin de proteccin contra prdida de datos (DLP)
autorizado. que puede ayudar a prevenir violaciones de datos y minimizar sus
impactos.
TT Configuraciones de control de dispositivos que impidan y limiten
los tipos de dispositivos USB que pueden utilizarse. TT Implemente una solucin de DLP que pueda descubrir dnde estn
los datos confidenciales, monitorear su uso, y protegerlos de fugas.
TT Monitoree el flujo de informacin en el momento que dejan la
organizacin a travs de la red, y monitoree el trfico para disposi-
tivos externos o sitios.
TT DLP debe ser configurado para identificar y bloquear copias sospe-
chosas o descarga de datos sensibles.
TT DLP tambin debe ser usado para identificar los activos de datos
confidenciales o sensibles en sistemas de archivos de red y com-
putadoras.

Garantice que Todos los Dispositivos Restrinja Adjuntos de Correo Electrnico
Permitidos en Redes Corporativas Posean Configure los servidores de correo electrnico para bloquear o remo-
Adecuadas Protecciones de Seguridad ver correos electrnicos que contengan adjuntos de archivos general-
mente usados para diseminar virus, como .VBS, .BAT, .EXE, .PIF y .SCR.
Si una poltica de traiga su propio dispositivo (BYOD - bring-your-own- Las empresas deben investigar polticas para .PDF que estn autoriza-
device) est implantada, garantice que un perfil de seguridad mnima dos a ser incluidos como adjuntos de correo electrnico. Garantice que
est establecido para todos los dispositivos que tienen autorizacin de los servidores de correo electrnico estn adecuadamente protegidos
acceso a la red. por software de seguridad y que los correos electrnicos sean comple-
tamente escaneados.
Implemente una Poltica de Media Removible
Siempre que sea posible, restrinja los aparatos no autorizados, como Garantice que los Procedimientos de Respuesta
discos rgidos porttiles externos y otras medias removibles. Tales a Incidentes e Infecciones Estn Disponibles
dispositivos pueden introducir malware y facilitar violaciones de pro-
piedad intelectual, ya sean intencionales o no intencionales. Si es per-
TT Mantenga la informacin de contacto de sus proveedores de segu-
mitido el uso de dispositivos externos de media, verificar automtica- ridad a disposicin; sepa a quien usted va a llamar y cules son los
mente la existencia de virus en el momento de la conexin a la red y pasos que va a tomar si posee uno o ms sistemas infectados.
usar una solucin de DLP para monitorear y restringir la copia de datos
TT Garantice que una solucin de backup y restauracin est disponible,
confidenciales en dispositivos de almacenamiento externo no cifrados.
a fin de restaurar los datos perdidos o comprometidos en caso de un
ataque exitoso o fuga catastrfica de datos.
Sea Agresivo en la Actualizacin y Aplicacin
de Parches TT Haga uso de los recursos de deteccin pos infeccin de soluciones de
seguridad en endpoints, gateway web y firewalls, a fin de identificar
Actualice, aplique parches y migre de navegadores, aplicativos y plugins los sistemas infectados.
de navegadores obsoletos e inseguros. Esto tambin se aplica a los sis-
temas operativos, y no apenas para computadoras, sino tambin para TT Asle las computadoras infectadas para evitar el riesgo de nuevas
dispositivos mviles, ICS y dispositivos del Internet de las cosas. Man- infecciones dentro de la organizacin y resturelas usando medias de
tenga las definiciones de prevencin de invasin de virus en las versio- backup confiables.
nes ms recientes disponibles usando las actualizaciones automticas
de los proveedores. TT Si los servicios de red son explorados por un cdigo malicioso o
alguna otra amenaza, desactive o bloquee el acceso a esos servicios
La mayora de los proveedores de software trabajan velozmente para hasta que se aplique un parche.
corregir las vulnerabilidades exploradas en el software. Sin embargo,
tales correcciones solamente pueden ser eficaces si se adoptan por el
mercado. Siempre que sea posible, automatice las implantaciones de Eduque a los Funcionarios
parches para mantener la proteccin contra vulnerabilidades en toda Como siempre, el sentido comn bsico es el inicio de buenas prcticas
la organizacin. de seguridad que pueden ayudarlo de forma concreta a mantener los
sitios y los servidores seguros este ao.
Imponga una Poltica Eficaz de Contraseas TT No abra adjuntos a menos que sean esperados y provengan de una
Garantice que las contraseas sean fuertes. Las contraseas deben fuente conocida y confiable, y no ejecute software que se descargue
tener por lo menos 8-10 caracteres e incluir una combinacin de letras del Internet (si tales acciones son permitidas), a menos que provenga
y nmeros. Incentive a los usuarios a evitar la reutilizacin de las mis- de una fuente confiable o que la descarga haya sido verificada en
mas contraseas en varios sitios y debe estar prohibido compartirlas relacin a malware.
con otras personas. Las contraseas deben ser alteradas regularmente,
TT Tenga cuidado al hacer clic en direcciones URL en correos electrni-
por lo menos a cada 90 das.
cos o programas de redes sociales, aun cuando sean provenientes de
amigos y fuentes confiables.
Garantice que Estn Disponibles Backups
TT Implemente soluciones de plugin de reputacin de URL en el navega-
Peridicos dor web que exhiben la reputacin de sitios en bsquedas.
Cree y mantenga backups peridicos de los sistemas crticos, as TT Restrinja el software para aplicaciones aprobadas corporativamente,
como de los endpoints. En caso de una emergencia de seguridad o de si es posible, y evite la descarga de software de sitios de uso compar-
datos, los backups deben estar fcilmente accesibles para minimizar tido de archivos. Solamente realice la descarga de paquetes directa-
el tiempo de inactividad de servicios y la productividad de los funcio- mente de sitios de proveedores confiables.
narios.

TT Eduque a los usuarios sobre las conductas seguras en las redes Embutir la Seguridad en Dispositivos
sociales. Las ofertas que parecen demasiado buenas generalmente
son falsas y seuelos para fraudes. Ni todos los enlaces llevan a La diversa naturaleza de las plataformas ICS y del Internet de las cosas
pginas de usuarios reales. (IoT) tornan los sistemas basados en host para deteccin de invasiones
(IDS) y sistemas de prevencin de invasiones (IPS), con conjuntos de
TT Incentive la adopcin de la autenticacin de dos factores en cual- reglas personalizadas y polticas que son exclusivas para una plata-
quier sitio o aplicativo que ofrezca esa posibilidad. forma y aplicacin, soluciones adecuadas.
TT Garantice que ellos tengan contraseas diferentes para cada
No obstante, los fabricantes de dispositivos de IoT e ICS son en gran
cuenta de correo electrnico, aplicativos y usuario, especialmente
parte responsables de garantizar que la seguridad sea introducida en
para sitios y servicios relacionados con el trabajo.
los dispositivos antes de enviarlos al mercado.
TT Recuerde que el sentido comn debe siempre ser utilizado. Tener
un software de seguridad y antivirus no significa que sea seguro Introducir la seguridad directamente en el software y las aplicaciones
visitar sitios maliciosos o sospechosos. que se ejecutan en los dispositivos de ICS e IoT debe evitar muchos
ataques que logran driblar las defensas en las capas superiores. Los
TT Incentive a los funcionarios a activar la alarma si ven algo sospe-
fabricantes deben adoptar e integrar esos principios en sus procesos
choso. Por ejemplo, si los usuarios de Windows ven un aviso indi-
de desarrollo de software.
cando que estn "infectados" tras hacer clic en una URL o usar un
motor de bsqueda (indicativo de infecciones falsas de antivirus), Las empresas y los consumidores necesitan estar seguros de que los
eduque a los usuarios a cerrar o salir del navegador usando Alt-F4, proveedores estn introduciendo la seguridad en los dispositivos que
CTRL+W o usar el administrador de tareas y despus notificar al estn comprando del Internet de las cosas.
helpdesk.
Es un Esfuerzo de Equipo
Proteja los dispositivos mviles
La confianza del consumidor es construida a lo largo de mltiples inte-
Recomendamos que las personas y los empleadores traten los disposi- racciones entre innmeros sitios que pertenecen a diferentes organi-
tivos mviles como las computadoras pequeas y poderosas que son y zaciones. Sin embargo, basta apenas una mala experiencia de datos
cuiden su proteccin, usando: robados o de un drive-by download para acabar ensuciando la reputa-
TT Control de acceso, incluso la biometra, siempre que sea posible. cin de todos los sitios en la mente del consumidor.
Prevencin de fuga de datos, por ejemplo, cifrado en el dispositivo. Como hemos dicho en el inicio del informe, existe una oportunidad
Backup automatizado del dispositivo. real el prximo ao para la reduccin del nmero de ataques web de
TT Herramientas remotas que encuentren y remuevan datos. xito y limitar los riesgos que los sitios web potencialmente represen-
tan para los consumidores. Sin embargo, va a exigir el compromiso y
TT Actualizaciones regulares. Por ejemplo, la ltima versin del
las acciones de propietarios de sitios para que esto se torne realidad.
Android,Honeycomb, incluye una serie de recursos proyectados
especficamente para frustrar los ataques. Adopte la seguridad completa para sitios en 2016, y en conjunto con
TT Sentido comn. No desbloquee los dispositivos y solamente use Symantec, transfrmelo en un buen ao para la ciberseguridad y un
mercados de aplicativos confiables. ao muy malo para los cibercriminales.
TT Entrenamientos, particularmente relacionados a prestar atencin

a autorizaciones solicitadas por un aplicativo.
TT Soluciones de seguridad como Symantec Mobility o Norton Mobile
Security
Hemos visto aumentar a cada ao, en los ltimos tres aos, el nmero
de vulnerabilidades en dispositivos mviles. Si bien ste sea posible-
mente, un indicador de progreso en lugar de un motivo para preocupa-
cin. Esto es un indicio de que los investigadores de seguridad, desa-
rrolladores de sistemas operativos y de aplicativos estn, realmente,
prestando ms atencin a la seguridad mvil al identificar y corregir
ms problemas.
Si bien esperamos que los dispositivos mviles sufran ataques crecien-

tes durante el prximo ao, existe tambin la esperanza de que con las
medidas preventivas adecuadas y una inversin constante en seguri-
dad, los usuarios pueda lograr un elevado nivel de proteccin contra
estos ataques.
RECOMENDACIONES SOBRE LAS MEJORES PRCTICAS PARA PROPIETARIOS DE SITIOS WEB

Para que la seguridad del sitio web sea eficaz, debe implementarse con cui- Adopte Amplia Seguridad de Sitios
dado y atencin, y necesita ser monitoreada y mantenida constantemente.
TT Realice escaneos peridicos. Est atento a sus servidores web y
A pesar de que existen herramientas que ayudan a mantener seguro preste atencin a las vulnerabilidades o malware. Las herramien-
el ecosistema de su sitio, todo empieza con la educacin. Usted ya ha tas de automacin pueden ayudar en esta tarea.
ledo sobre los riesgos- ahora descubra lo que puede hacer.
TT Use antivirus. El software antivirus no es apenas para PC y smartpho-
nes, sino tambin para servidores y puede ayudar a prevenir un ata-
Adopte los estndares de la industria que de malware grave contra toda la infraestructura de su sitio web.
TT Implemente SSL de forma permanente. Implemente SSL/TLS en TT Sea exigente con sus plugins. Sea exigente con sus plugins. El
cada pgina de su sitio para que cada interaccin que un visitante software que usted usa para administrar su sitio viene con vulne-
tenga con su sitio sea cifrada. Migrar hacia "HTTPS everywhere", rabilidades tambin. Cuanto mayor es el nmero de software de
como tambin es llamado, con certificados SSL/TLS OV o EV terceros que usted usa, mayor es la superficie de ataque, entonces
demuestra su credibilidad y tambin puede mejorar sus ran- solamente implemente lo que sea absolutamente necesario.
kings de busca y preparar el camino hacia una actualizacin para
TT Considere todo el ecosistema. Considere todo el ecosistema.
HTTP/2, entregando un mejor desempeo.
Usted ha implantado un Firewall para Aplicaciones Web para
TT Migre hacia SHA-2. Conforme discutido en el informe, las autori- defenderse contra ataques de inyeccin? Su firma de cdigo es
dades de certificacin deberan haber interrumpido la emisin de segura para sus aplicaciones web? Usted posee herramientas
certificados SHA-1 a partir del 1 enero de 2016, pero usted nece- automatizadas para detectar y defenderse contra el problema cada
sita certificarse de que todos los certificados legados tambin sean vez ms comn de ataques DDoS?
actualizados y de que todos los dispositivos y aplicaciones que pue-
Symantec ofrece una variedad de herramientas que facilitan el mante-
den no reconocer actualmente SHA-2 sean actualizados tambin.
nimiento de la seguridad completa de su sitio web, transformando todo
TT Considere la adopcin de ECC. Symantec tambin ofrece el uso esto en una tarea sencilla y eficiente.
del algoritmo de cifrado ECC. Todos los principales navegadores,
incluso para dispositivos mviles, soportan los certificados ECC
Evite Comprometer la Relacin de
en las ltimas plataformas, y en comparacin con una clave RSA
estndar de la industria de 2048 bits, las claves ECC de 256 bits son Confianza con los Clientes a travs de:
64.000 veces ms difciles de romper. TT Examinar regularmente su sitio para vulnerabilidades y malware.
TT Escanear diariamente su sitio por malware.
Use SSL/TLS de Forma Correcta
TT Definir la seal segura para todos los cookies de sesin.
SSL/TLS es apenas tan eficaz como su implementacin y manteni-
miento. Entonces, certifquese de: TT Proteger sus sitios contra ataques man-in-the-middle (MITM) e
infeccin de malware.
TT Mantener actualizadas las bibliotecas del protocolo. La imple-
TT Escoger Certificados SSL con Extended Validation que muestra la
mentacin de SSL/TLS es una tarea permanente y es vital que
barra de direcciones del navegador de color verde para los usuarios
todos los parches o actualizaciones para el software que usted usa
del sitio.
sean implementados lo ms rpido posible.
TT Exhibir marcas conocidas de confianza en locales altamente visi-
TT No dejar que sus certificados caduquen. Acompae cuales certi-
bles en su sitio, para mostrar a los clientes su compromiso con la
ficados usted posee, cuales son las autoridades de certificacin y
seguridad de ellos.
cuando caducirn. Symantec ofrece una variedad de herramientas
de automacin para ayudarle a lograrlo, permitiendo que usted
tenga ms tiempo para las tareas proactivas de seguridad. Una Experiencia Completa
TT Exhibir las marcas conocidas de confianza. Exhiba marcas de La confianza del consumidor es construida a lo largo de mltiples inte-
confianza (como el Sello Norton Secured) en locales altamente racciones entre innmeros sitios que pertenecen a diferentes organi-
visibles en su sitio para mostrar a los clientes su compromiso con zaciones. Basta apenas una mala experiencia para ensuciar la reputa-
la seguridad de ellos. cin de todos los sitios en la mente del consumidor.
TT Administre sus claves SSL/TLS correctamente. Limite el nmero de Como hemos dicho en el informe, existe una oportunidad real el
personas con acceso a estas claves; tenga administradores separados prximo ao para la reduccin del nmero de ataques web de xito y
para administrar las contraseas del servidor donde ellas son mante- limitar los riesgos que los sitios web potencialmente representan para
nidas y para la gestin de los sistemas en las que estn almacenadas, los consumidores. Sin embargo, va a exigir el compromiso y acciones
as como usar sistemas de administracin automatizado de claves y de propietarios de sitios para que esto se torne realidad.
certificados para reducir la interaccin humana en el proceso.
Adopte una amplia seguridad para sus sitios en 2016, y en conjunto
Cualquier violacin que afecte las claves SSL debe ser notificada a CA con Symantec, transfrmelo en un buen ao para la ciberseguridad y
rpidamente, a fin de que los certificados correspondientes puedan ser en un ao muy malo para los cibercriminales.
revocados.
20 CONTROLES DE SEGURIDAD CRTICA

Visin General
Los 20 Controles de Seguridad Crtica del Consejo de Ciberseguri- riesgos. A lo largo de los aos, muchas estructuras de control de seguri-
dad componen una lista priorizada y concebida para proporcionar el dad han sido desarrolladas (por ejemplo, NIST), con el objetivo comn
mximo de beneficios en relacin a la mejora de la postura contra los de ofrecer conocimiento combinado y recomendacin comprobada
riesgos de las amenazas del mundo real. Esta lista de 20 reas de con- para proteger activos, infraestructura e informacin crtica. Con base
trol surgi de un consorcio internacional de especialistas y agencias en la informacin que tenemos hoy sobre los ataques y las amenazas,
de Estados Unidos e internacionales, que intercambian informacin cules son los pasos ms importantes que las empresas deben seguir
sobre los incidentes reales y los ayudada a mantenerla actualizada ahora para proteger los sistemas y los datos?
contra las amenazas globales de ciberseguridad en constante evolu-
Los Controles de Seguridad Crtica son proyectados para brindar a las
cin. Liderada por la organizacin Center for Internet Security (CIS),
organizaciones la informacin necesaria para aumentar su postura de
los Controles de Seguridad Crtica de CIS (los Controles) han sido
seguridad de una forma consistente y constante. Los Controles son un
perfeccionados a travs de una comunidad internacional de individuos
nmero relativamente pequeo de acciones priorizadas de seguridad,
e instituciones, y fueron actualizados en 2015 en su 6a versin. Para
bien controladas y soportadas, que las organizaciones pueden tomar
ms informacin consulte la documentacin encontrada en http://
para evaluar y mejorar su estado de seguridad actual.
www.cisecurity.org/critical-controls.
Para implementar los controles, usted debe entender lo que es crtico
Muchas organizaciones enfrentan los retos y las crecientes amenazas
para su negocio, los datos, sistemas, redes e infraestructuras, y debe
a su ciberseguridad, escogiendo estratgicamente una estructura de
considerar las acciones de los adversarios que podran afectar su capa-
controles de seguridad como una referencia para iniciar, implementar,
cidad de lograr xito en su negocio u operaciones.
medir y evaluar su postura de seguridad y administracin de
LAS 5 PRINCIPALES
PRIORIDADES
Enfatizamos el uso de los cinco primeros
controles para todas las organizaciones. Eso 02 04
ayuda a establecer una base de seguridad
Inventario de Software Autorizado Evaluacin y Reparacin Continua
y posee un impacto ms inmediato en la
prevencin de ataques. A partir de esta base,
y No Autorizado de Vulnerabilidades
las organizaciones pueden aplicar otros Administre activamente (inventario, control De forma continua adquiera, evale y tome
y correccin) cualquier software en la red de medidas sobre nuevas informaciones, con el
controles que cumplan con la necesidad del
forma que solamente el software autorizado objetivo de identificar las vulnerabilidades,
negocio de la organizacin. sea instalado y ejecutado, y que los softwares reparar y minimizar la ventana de oportunida-
no autorizados y no administrados sean encon- des para los grupos de ataque.
En las siguientes pginas, usted ver una
trados e impedidos de instalacin o ejecucin.
tabla que describe las reas identificadas
en ISTR y las conecta a los Controles de 05
Seguridad Crtica: 03
Uso Controlado de Privilegios
Las Configuraciones de Seguridad
Administrativos
01 para Hardware y Software en
Los procesos y las herramientas utilizadas
Dispositivos Mviles, Laptops, para rastrear/controlar/evitar/corregir el uso,
Inventario de Dispositivos
Estaciones de Trabajo y Servidores cesin, y configuracin de privilegios adminis-
Autorizados y No Autorizados trativos en computadoras, redes y aplicaciones.
Establezca, implemente y administre activa-
Administre activamente (inventario, control y mente (rastree, reporte y corrija) las configura-
correccin) todos los dispositivos de hardware ciones de seguridad de los laptops, servidores
en la red de forma que solamente los disposi- y estaciones de trabajo, usando un adminis-
tivos autorizados tengan acceso, y los disposi- trador riguroso de configuraciones y proceso
tivos no autorizados y no administrados sean de control de cambios, a fin de evitar que los
encontrados e impedidos de tener acceso. grupos de ataque exploren los servicios y las
configuraciones vulnerables.
CONTROLES CRTICOS
06 11 16
Mantenimiento, Monitoreo y Las Configuraciones de Seguridad Monitoreo y Control de Cuentas
Anlisis de los Logs de Auditora para Dispositivos de Red como Impida que los grupos de ataque se pasen por otras
Recopile, administre y analice los logs de audi- Firewalls, Routers y Switches personas l Administre activamente el ciclo de vida
tora de eventos que pueden ayudar a detectar, de las cuentas del sistema y de aplicaciones, que
Establezca, implemente y administre activa- incluyen la creacin, utilizacin, inactividad y
comprender, o a recuperarse de un ataque. mente (rastree, reporte y corrija) las configu- exclusin, para minimizar las oportunidades que
raciones de seguridad de los dispositivos de puedan ser aprovechadas en eventuales ataques.
07 infraestructura de red, usando un adminis-
trador riguroso de configuraciones y proceso
Protecciones de Navegadores y de control de cambios, a fin de evitar que los 17
grupos de ataque exploren los servicios y las
Correo Electrnico configuraciones vulnerables. Evaluacin de Habilidades de
Minimice la superficie de ataque y las oportu- Seguridad y Entrenamiento
nidades para que los grupos de ataque manipu-
len el comportamiento humano mediante su 12 Adecuado para Completar las
interaccin con los navegadores y los sistemas Lagunas
de correo electrnico. Defensa de los Lmites
Para todos los papeles funcionales en la orga-
Detecte/evite/corrija el flujo de informacin nizacin (priorizando aquellos que son crti-
que se transfiere en redes de diferentes niveles cos para la misin del negocio y su seguridad),
08 de confianza con foco en los datos perjudiciales identificar los conocimientos especficos,
a la seguridad.
Defensas Contra Malware competencias y habilidades necesarias para
soportar la defensa de la empresa; desarrollar
Controle la instalacin, expansin y ejecucin de
13 y ejecutar un plan integrado para evaluar, iden-
cdigo malicioso en varios puntos de la empresa,
tificar lagunas y repararlas mediante polticas,
as como optimice el uso de automacin para
permitir la rpida actualizacin de defensa, la Proteccin de Datos planificacin organizativa, entrenamientos y
programas de concientizacin.
recopilacin de datos y las acciones correctivas. Los procesos y herramientas usadas para pre-
venir la salida de datos, mitigar los efectos de
09
los datos extrados y garantizar la privacidad e 18
integridad de informacin sensible.
Limitacin y control de Puertos de Seguridad de Software de
Red, Protocolos y Servicios 14 Aplicaciones
Administrar el ciclo de vida de seguridad de
Administre (rastree, controle y corrija) el uso Acceso Controlado y Basado en cualquier software adquirido o desarrollado
operativo continuo de puertos, protocolos y
servicios en dispositivos de red, con el objetivo Autorizaciones internamente, a fin de prevenir, detectar y
corregir fallas de seguridad.
de minimizar las ventanas de vulnerabilidades Los procesos y las herramientas utilizadas para
disponibles para los grupos de ataque. rastrear/controlar/evitar/corregir el acceso
seguro a los activos crticos (ej.: informacin, 19
recursos y sistemas) de acuerdo con la determi-
10 nacin formal de que personas, computadoras Administracin y Respuesta a
y aplicaciones tienen la necesidad y derecho de Incidentes
Capacidad de Recuperacin de Datos acceso a esos activos crticos, basado en una
Los procesos y las herramientas usadas para clasificacin reconocida. Proteja la informacin de la organizacin as
hacer correctamente el backup de informacin como su reputacin, a travs del desarrollo e
crtica con una metodologa comprobada para implementacin de una infraestructura de res-
la recuperacin rpida de los datos. 15 puesta a incidentes (ej.: planes, papeles defini-
dos, entrenamiento, comunicaciones, control de
Control de Acceso Inalmbrico gestin) para descubrir rpidamente un ataque
Los procesos y las herramientas utilizadas y, enseguida, contener efectivamente los daos,
para rastrear/controlar/evitar/corregir el uso erradicar la presencia del responsable del ataque
seguro de redes inalmbricas locales (LANs), y restaurar la integridad de la red y los sistemas.
puntos de acceso y sistemas inalmbricos de
cliente.
20
Pruebas de Intrusin
y Ejercicios del Equipo de
Emergencias
Prueba y fuerza general de las defensas de una
organizacin (la tecnologa, los procesos, y las
personas), simulando los objetivos y las accio-
nes de un ataque.
PRIORIDADES DE PROTECCIN DE LOS CONTROLES CRTICOS
REFORZAR AUMENTAR REDUCIR

DEFENSAS DETECCIN IMPACTOS
03 04 07 11 18 01 02 06 08 15 05 10 13 17
DISPOSITIVOS MVILES
EL INTERNET DE 03 04 11 14 18 01 02 06 08 15 05 09 12 17
LAS COSAS
03 04 07 18 01 02 06 08 16 05 09 10 12 17
AMENAZAS WEB
REDES SOCIALES Y 03 04 07 01 02 08 20 05 09 12 17
CORREO ELECTRNICO
- AMENAZAS
ATAQUES DIRIGIDOS 03 04 07 11 14 01 02 06 08 16 05 09 10 12 13
Y SPEAR PHISHING 18 20 17 19
03 04 07 11 14 01 02 06 15 16 05 09 10 12 13
VIOLACIONES DE DATOS
18 20 17 19
03 04 07 11 14 01 02 06 08 16 05 09 10 12 13
E-CRIMEN Y MALWARE
18 20 17 19
NUBE & 03 04 11 14 18 01 02 06 08 15 05 09 10 12 13
INFRAESTRUCTURA 16 20 17 19
03 04 11 14 18 01 02 06 08 16 05 09 10 12 13
SERVIDORES WEB
20 17 19
03 04 11 18 01 02 06 08 20 05 09 12 17 19
DDOS Y BOTNETS
RECOMENDACIONES SOBRE LAS MEJORES PRCTICAS PARA LOS CONSUMIDORES
Protjase TT Tenga cuidado al hacer clic en direcciones URL en correos electr-

nicos o comunicaciones de redes sociales, aun cuando provengan
Use una solucin de seguridad de Internet moderna, que incluya los de amigos y fuentes confiables. No haga clic rpidamente en direc-
siguientes recursos para la mxima proteccin contra cdigos malicio- ciones URL cortas sin expandirlas primero, usando una herra-
sos y otras amenazas: mienta o plugin de visualizacin.
TT Antivirus (basado en heurstica y archivos) y prevencin de TT Use un plugin de navegador o sitio de reputacin de URLs que
malware comportamental puede impedir que las amenazas mali- muestre la reputacin y clasificacin de seguridad de sitios antes
ciosas desconocidas sean ejecutadas. de visitarlos.
TT Firewalls bi-direccionales impedirn que el malware explore apli- TT Sospeche de los resultados de bsquedas de mecanismos de busca;
caciones y servicios potencialmente vulnerables en ejecucin en solamente siga las fuentes confiables al realizar consultas, espe-
su computadora. cialmente sobre temas que estn en evidencia en los medios digi-
TT La proteccin del navegador evitar ataques complejos basados en tales.
la web. TT Sospeche de avisos pop-up pidindole para instalar media players,
TT Use herramientas que verifiquen la reputacin y la confianza de visualizadores de documentos y actualizaciones de seguridad.
un archivo y sitio web antes de efectuar una descarga, y que veri- TT Apenas haga la descarga de software directamente del sitio del pro-
fique las reputaciones de direcciones URL y proporcione las cla- veedor.
sificaciones de seguridad para los sitios encontrados a travs de
TT Tenga conocimiento de los archivos que usted pone a disposicin
mecanismos de busca.
para compartir en sitios pblicos, incluyendo juegos, BitTorrent,
TT Considere opciones para implementar controles parentales multi- y cualquier transferencia peer-to-peer (P2P). Minimice el uso de
plataforma, como Norton Online Family. Dropbox, Evernote, apenas para informacin relevante, y sola-
mente use estas aplicaciones cuando son aprobadas para el uso
Realice Actualizaciones Peridicas corporativo.
Mantenga las definiciones de virus, programas y sistemas actualizadas;
siempre acepte las actualizaciones solicitadas por los proveedores. Proteja Sus Datos Personales
Limite la cantidad de informacin personal que usted pone a disposi-
Ejecutar versiones desactualizadas puede ponerlo en riesgo de ser
cin al pblico en Internet (en particular a travs de las redes sociales).
explorado por ataques basados en la web. Solamente baje actualizacio-
Eso incluye informacin personal y financiera, tales como usuarios
nes de sitios de proveedores directamente. Seleccione las actualizacio-
bancarios o fecha de nacimiento. Adems:
nes automticas siempre que sea posible.
TT Regularmente revise su informacin bancaria y de crdito, adems
Desconfe de Tcticas de Scareware de las tarjetas de crdito con frecuencia por actividades irregulares.
Las versiones de software que dicen ser gratuitas, desbloqueados o TT Evite transacciones bancarias o compras online en computadoras
pirateados pueden exponerlo a malware o ataques de ingeniera social pblicas (como bibliotecas, cibercafs y establecimientos simila-
que intentan engaarlo y pensar que su computadora est infectada y res) o no cifrados.
usted necesita pagar un valor para que el virus sea removido.
Conexiones Wi-Fi
Use una Poltica Eficaz de Contraseas Al usar hotspots inalmbricos pblicos, considere lo siguiente:
Certifquese de que las contraseas son una combinacin de letras y TT Use HTTPS al conectarse a travs de redes Wi-Fi para su correo
nmeros, y altrelas frecuentemente. Las contraseas no deben ser electrnico, redes sociales y sitios donde se comparten datos. Veri-
palabras encontradas en un diccionario. No use la misma contrasea fique las configuraciones y preferencias de las aplicaciones y los
para varias aplicaciones o sitios web. sitios que usted est usando.
Use contraseas complejas (letras maysculas/minsculas y signos de TT Busque la barra de direccin verde en el navegador, HTTPS, y las
puntuacin). Las frases secretas y los aplicativos de administracin de marcas conocidas de confianza cuando usted visita los sitios donde
contraseas pueden ayudar tambin. ha hecho el ingreso o compartido cualquier informacin personal.
TT Configure su red Wi-Fi en casa para autenticacin fuerte y siempre
Piense Antes de Hace Clic exija una contrasea nica para accederla.
Nunca vea, abra o copie adjuntos de correo electrnico en su equipo de TT Busque la barra de direccin verde en el navegador, HTTPS, y las
escritorio ni ejecute cualquier adjunto de correo electrnico, a menos de marcas conocidas de confianza cuando usted visita los sitios donde
que usted lo est esperando y confe en el remitente. Incluso al recibir ha hecho el ingreso o compartido cualquier informacin personal.
adjuntos de correo electrnico de usuarios confiables, tenga cuidado. TT Configure su red Wi-Fi en casa para autenticacin fuerte y siempre
exija una contrasea nica para accederla.
CRDITOS
Paul Wood, Editor-Jefe Agradecimientos Especiales a
Ben Nahorney, Editor Ejecutivo Alejandro Borgia
Kavitha Chandrasekar, Analista de Dados Anna Sampson
Scott Wallace, Director de Arte Cheryl Elliman
Kevin Haley, Consultor Tcnico Jennifer Duffourg
Linda Smith Munyan
Mara Mort
Colaboradores
Marianne Davis, Revisin
Steven Rankin, Infogrficos
Con el Apoyo de
Axel Wirth
Bartlomiej Uscilowski
Brian Witten
Candid Wueest
Dermot Harnett
Dick OBrien
Dipesh Shah
Dylan Morss
Efrain Ortiz
Gaurang Bhatt
Gavin OGorman
Himanshu Mehta
Kent McMullen
Laura OBrien
Mario Ballano Barcena
Michael Klieman
Nicholas Johnston
Peter Coogan
Pierre-Antoine Vervier
Preeti Agarwal
Rauf Ridzuan
Roberto Sponchioni
Roger Park
Sara Groves
Satnam Narang
Shankar Somasundaram
Stephen Doherty
Vaughn Eisler
William Wright
ACERCA DE SYMANTEC
Symantec Corporation es lder mundial en ciberseguridad.

Operando una de las ms grandes redes de ciberinteligencia
del mundo, identificamos ms amenazas y protegemos a ms
clientes de la prxima generacin de ataques. Ayudamos a
personas, empresas y gobiernos a proteger sus datos ms
importantes, en cualquier momento y en cualquier lugar.
MS INFORMACIN
TT Symantec Worldwide: http://www.symantec.com/
TT ISTR and Symantec Intelligence Resources: http://www.symantec.com/threatreport/
TT Symantec Security Response: http://www.symantec.com/security_response/
TT Norton Threat Explorer: http://us.norton.com/security_response/threatexplorer/
Sede Mundial de Symantec
350 Ellis Street
Mountain View, CA 94043 EUA
+1 (650) 527 8000
1 (800) 721 3934
www.symantec.com
Para escritorios regionales y nmeros de contacto

especfico, por favor acceda a nuestra pgina web.
Para informacin sobre el producto en EE UU,
llame gratis a 1 (800) 745 6054.
Copyright 2016 Symantec Corporation.

Todos los derechos reservados. Symantec, el logo de Symantec y el logo
de Checkmark son marcas registradas o marcas comerciales registradas
de Symantec Corporation o de sus afiliados en EE.UU. y otros pases. Otros
nombres pueden ser marcas registradas de sus respectivos propietarios.
04/16 21365084

Istr 21 2016 Es

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Istr 21 2016 Es

Caricato da

Copyright:

Formati disponibili

Informe de Amenazas a la

11 Amenazas en Mltiples Plataformas 25 Fuerza en los Nmeros 48 VIOLACIONES DE DATOS

69 Conclusiones 32 Indicador General de Spam 48 VIOLACIONES DE DATOS

Symantec ha creado una de las ms completas fuentes

Ransomware Aument el 35% en 2015 Symantec Bloque 100 Millones de Falsos

GRANDES Total de Identidades Expuestas

552M 348M 429M

VIOLACIONES Total de Violaciones Promedio de Identidades

2013 2014 2015 2013 2014 2015

8 4 9 6.777 7.000 4.885

AMENAZAS DE CORREO ELECTRNICO, MALWARE Y BOTS

Indicador General de Spam de Correo Electrnico

66% 60% 53%

Indicador de Malware de Correo Electrnico (General)

1 de cada 196 1 de cada 244 1 de cada 220 Total

2013 2014 2015 Promedio Promedio

-18% -42% 737 992

DISPOSITIVOS MVILES WEB

Nuevas Vulnerabilidades Ataques Web Bloqueados por Da

Sitios Escaneados con Vulnerabilidades...

2013 2014 2015 77% 76% 78%

Nuevas Variantes de Malware 2013 2014 2015

para Dispositivos Mviles Android 16% 20% 15%

3.262 2.227 3.944

Sitios Encontrados con Malware

2013 2014 2015

6.787 6.549 5.585 SPEAR-PHISHING

Vulnerabilidades de Correos Electrnicos

DISPOSITIVOS MVILES & EL INTERNET DE LAS COSAS

SMARTPHONES Y Un Telfono por Persona

DISPOSITIVOS MVILES & EL INTERNET DE LAS COSAS

Amenazas en Mltiples Plataformas

No obstante, en 2015, se revel que los ataques usando XcodeGhost y

2013 2014 2015

DISPOSITIVOS MVILES & EL INTERNET DE LAS COSAS

DISPOSITIVOS MVILES & EL INTERNET DE LAS COSAS

Usuarios de Apple iOS Nunca

TT En 2015, se identificaron nueve nuevas familias de amenazas iOS,

El cdigo malicioso, conocido como XcodeGhost (detectado como OSX.

Si un usuario baja e instala un aplicativo infectado, XcodeGhost carga

DISPOSITIVOS MVILES & EL INTERNET DE LAS COSAS

DISPOSITIVOS MVILES & EL INTERNET DE LAS COSAS

Tcnicas agresivas para colocar publicidad

DISPOSITIVOS MVILES & INTERNET DE LAS COSAS

DISPOSITIVOS MVILES & EL INTERNET DE LAS COSAS

Una Visin del Futuro:

DISPOSITIVOS MVILES & EL INTERNET DE LAS COSAS

Sitios Escaneados con Vulnerabilidades Nmero Anual de Vulnerabilidades de Plugins

2013 2014 2015 700 679

Porcentaje de Vulnerabilidades que Eran Crticas

2013 2014 2015

Vulnerabilidades de los Navegadores Ataques Web Bloqueados por Mes

2011 2012 2013 2014 2015

2013 2014 2015

Exploracin de Plugins para Servidores Web Enfoque en Anuncios Maliciosos

Infeccin por Inyeccin

18 3 Pesquisa 7,5% Blogs 7,1%

14 4 Blogs 7,0% Negocios 6,0%

10 5 Dinmico 6,4% Anonimizador 5,0%

10 Ilegal 2,1% Virtual Comunidad 1,8%

Los Sitios An Son Vulnerables a Ataques

Los cibercriminales continan descubriendo vulnerabilidades en

Existen tcticas de mitigacin y herramientas para defenderse contra