Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Seguridad de Internet
VOLUMEN 21, ABRIL 2016
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 2
CONTENIDO
4 Introduccin 23 Los Sitios An Son Vulnerables a Ataques 45 Ciberseguridad, Cibersabotaje y Luchando
Llevando a Malware y a Violaciones de Datos Contra los Eventos de Cisne Negro
5 Sumario Ejecutivo
23 Acelerar el Uso de Cifrado Constante 46 Cibersabotaje y la Amenaza
de Warfare Hbrido
8 GRANDES NMEROS 24 Rumbo a una Autenticacin Ms Fuerte
24 Garanta Reforzada
46 Las Pequeas Empresas y el Caso del
Ataque a General Linens Service
10 DISPOSITIVOS MVILES & EL 25 Los Sitios Necesitan Ser Ms
47 Sistemas de Control Industrial
INTERNET DE LAS COSAS Difciles de Atacar
Vulnerables a Ataques
10 Smartphones y Dispositivos Mviles 25 SSL/TLS y la Respuesta de la Industria 47 La Oscuridad No Es Una Defensa
10 Un Telfono por Persona 25 La Evolucin del Cifrado
INTRODUCCIN
SUMARIO EJECUTIVO
Introduccin
Symantec descubri ms de 430 millones de nuevas instancias nicas de malware en
2015, un aumento del 36% en relacin al ao anterior. Posiblemente lo ms interesante
es que esos nmeros no nos sorprenden ms. Como la vida real y la vida online se
tornan indistinguibles entre s, el cibercrimen se ha tornado una parte de nuestras vidas
diarias. Los ataques contra las empresas y las naciones llegan a los titulares de prensa
con tal frecuencia que nos tornamos insensibles al gran volumen y al aumento rpido
de las ciberamenazas.
La mayora de los informes de amenazas apenas muestra la informacin bsica del
escenario de amenaza, mientras que la amplitud de datos de Symantec permite que
Internet Security Threat Report (ISTR) examine mltiples facetas que incluyen ataques
dirigidos, amenazas para smartphones, fraudes en redes sociales, y las vulnerabilidades
de Internet de las Cosas (IoT), as como tcticas, motivaciones y comportamientos de
los grupos de ataque. Si bien hay mucho que aprender con esa amplia visin acerca del
escenario de amenazas, citamos las seis principales conclusiones y tendencias de 2015.
En Promedio, Una Nueva Vulnerabilidad de Da hasta que sean expuestas pblicamente, a seguir, las dejan
Cero Fue Hallada a Cada Semana en 2015 de lado para enfocar en vulnerabilidades recientemente
Los grupos de ataque avanzados continan lucrndose descubiertas. Cuando Hacking Team fue expuesto en 2015 por
por medio de las fallas que previamente no fueron tener al menos seis vulnerabilidades de da cero en su cartera,
descubiertas en navegadores y plugins de sitios web confirm nuestra caracterizacin de la caza por casos de da
cero como algo profesionalizado.
En 2015, el nmero de vulnerabilidades de da cero hallados ms
que duplic para 54, un aumento del 125% en relacin al ao Las vulnerabilidades pueden aparecer en casi cualquier tipo
anterior. En otras palabras, una nueva vulnerabilidad de da cero de software, sin embargo lo ms atractivo para los grupos de
fue hallada a cada semana (en promedio) en 2015. En 2013, el ataques dirigidos es un software que sea ampliamente utilizado.
nmero de vulnerabilidades de da cero (23) duplic en relacin Muchas veces, la mayora de esas vulnerabilidades son halladas
al ao anterior. En 2014, el nmero se mantuvo relativamente en software como Internet Explorer y Adobe Flash, que son
estable en 24, lo que nos llev a concluir que habamos alcanzado utilizados diariamente por un gran nmero de consumidores y
un nivel. Esa teora dur poco tiempo. La explosin de 2015 en el profesionales. Cuatro de las cinco vulnerabilidades de da cero
nmero de hallazgos de da cero sostiene el papel fundamental ms exploradas en 2015 eran relacionadas a Adobe Flash. Una
que desempean en los ataques dirigidos lucrativos. vez halladas, las vulnerabilidades de da cero son rpidamente
adicionadas a los toolkits de los cibercriminales y comienzan a
Dado el valor de esas vulnerabilidades, no nos sorprende que
ser exploradas. En este momento, millones sern atacados y
se haya desarrollado un mercado para atender la demanda. En
cientos de miles infectados si un parche no est disponible, o si
realidad, considerando la velocidad con la que las vulnerabilidades
las personas no se mueven con suficiente rapidez para aplicar
de da cero se estn hallando, pueden tornarse un commodity.
el parche.
Los grupos de ataques dirigidos exploran las vulnerabilidades
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 6
Ms de Quinientos Millones de Registros lo que significa que es necesario apenas un esfuerzo trivial
Personales Fueron Robados o Perdidos en 2015 para que los cibercriminales obtengan acceso y manipulen
Cada vez ms empresas estn dejando de reportar esos sitios para sus debidos fines. Es el momento de que
la dimensin completa de sus violaciones de datos los administradores de sitios asuman la responsabilidad y
solucionen los riesgos de una forma ms agresiva.
A fines de 2015, el mundo sufri la ms grande violacin de
datos ya registrada pblicamente. Un espantoso volumen de
191 millones de registros fue expuesto. Esa puede haber sido Las campaas de Spear Phishing Dirigidas a
la ms grande megaviolacin, sin embargo no fue la nica. En los Funcionarios Aumentan el 55% en 2015
2015, se report un rcord total de nueve megaviolaciones. Los responsables de los ciberataques poseen una
(Una megaviolacin es definida como una violacin de ms de estrategia de largo plazo contra grandes empresas
10 millones de registros.) En 2015, una organizacin gubernamental o empresa financiera
El nmero total reportado de identidades expuestas creci el blanco de un ataque, tena una gran propensin de ser blanco
23%, para 429 millones. Sin embargo, este nmero esconde nuevamente, al menos tres veces ms a lo largo del ao. En
una historia mayor. En 2015, cada vez ms empresas general, las grandes empresas que sufrieron un ciberataque,
optaron por no revelar la magnitud total de las violaciones fueron vctimas, en promedio, de 3,6 ataques exitosos cada
que sufrieron. Las empresas que optaron por no comunicar una.
el nmero de registros perdidos aumentaron el 85%. Una En los ltimos cinco aos, hemos observado un aumento
estimativa conservadora de Symantec de esas violaciones no constante de ataques contra empresas con menos de 250
declaradas empuja el nmero real de registros perdidos para empleados, con 43% de todos los ataques dirigidos a las
ms de quinientos millones. pequeas empresas en 2015, comprobando que las empresas
El hecho de que las empresas estn cada vez ms optando de todos los tamaos corren riesgos.
por no divulgar detalles crticos tras una violacin es una No son solamente las empresas de Fortune 500 ni las naciones
tendencia preocupante. La transparencia es fundamental que corren el riesgo de tener la direccin de IP robada, sino
para la seguridad. En cuanto se estn llevando a cabo varias tambin incluso el servicio de lavandera local puede ser un
iniciativas de comparticin de datos en el sector de seguridad, blanco. Como ejemplo, una organizacin de 35 funcionarios
ayudndonos a todos a mejorar nuestras posiciones y fue vctima de un ciberataque liderado por un competidor. El
productos de seguridad, algunos de estos datos estn siendo competidor se escondi en su red durante dos aos robando
cada vez ms difciles de recopilar. informacin sobre precios y clientes, lo que le proporcionaba
una ventaja considerable. Esto sirve como un aviso claro
de que todas las empresas son potencialmente vulnerables
Vulnerabilidades Graves de Seguridad en Tres a los ataques dirigidos. En realidad, las campaas de spear
de cada Cuatro de los Sitios Ms Populares phishing dirigidas a los empleados aumentaron el 55% en
Ponen en Riesgo a Todos 2015. Ningn negocio est libre de riesgos. Los grupos de
Los Administradores Web an tienen dificultades para ataque motivados puramente por el lucro pueden ser tan
mantenerse actualizados en relacin a los parches tcnicamente sofisticados y bien organizados como cualquier
Ms de un milln de ataques web fueron dirigidos a la grupo de ataque patrocinado por una Nacin. Vamos a poner
poblacin, todos los das en 2015. Muchas personas creen como ejemplo el grupo Butterfly, que rob informacin para
que visitando apenas sitios legtimos y bien conocidos utilizarla en la manipulacin de acciones.
los mantendrn a salvo de los crmenes online. Eso no es
verdad. Los cibercriminales continan aprovechndose de las
vulnerabilidades en sitios legtimos para infectar a los usuarios,
porque los administradores de sitios web fallan al intentar
protegerlos. Ms del 75% de todos los sitios legtimos tienen
vulnerabilidades no corregidas con parches. El 15% de los sitios
legtimos poseen vulnerabilidades consideradas crticas,
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 7
NMEROS
2013 2014 2015
Violaciones con Ms
de 10 Millones de Nmero Promedio de Identidades
Identidades Expuestas por Violacin
269K 362K
Nmero de Bots +35%
-19% -61%
...Porcentaje de Vulnerabilidades que Eran Crticas
23 24 54 83 73 46
+4% +125% -12% -37%
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 10
DISPOSITIVOS
MVILES &
EL INTERNET
DE LAS
COSAS
200
174 Vulnerabilidades en Dispositivos Mviles por Sistema
150 Operativo
TT Las vulnerabilidades en la plataforma iOS han representado el mayor
100 nmero de vulnerabilidades en dispositivos mviles en los ltimos aos,
71
con consultas muchas veces alimentada por el inters en desbloquear
50 aparatos u obtener acceso no autorizado para instalar malware.
90
82 84 84
80
Total de Variantes de Malware para Dispositivos Mviles 70
Android 60
TT El volumen de variantes Android aument el 40% en 2015, en comparacin 50
con el 29% de crecimiento en relacin al ao anterior.
40
30
16 20 16
13 11
13.783 10
1 4 1 <1%
14 <1% <1%
12 iOS Android Blackberry OS Windows
9.839 Phone
10
7.612
MIL
8
Ataques a Android Se Tornn Ms Furtivos
6
4.350 Malware para Android se est tornando ms furtivo. Por ejemplo, los
4 autores de malware han comenzado a ofuscar el cdigo para ignorar
2
el software de seguridad basado en firmas. Adems, antes de iniciar
567 sus ataques, algunas instancias de malware pueden ahora verificar si
estn siendo ejecutadas en telfonos reales o en algn tipo de emula-
2011 2012 2013 2014 2015 dor o sandbox usados por investigadores de seguridad.
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 12
El nmero de ataques de malware contra Android oscil en 2015. En el Cmo los Mensajes Maliciosos de Vdeo
1 trimestre, Symantec bloque cerca de 550 ataques por da, el mayor
perodo del ao. Este nmero cay para cerca de 272 por da en el 3 Pueden Llevar al Stagefright y Stagefright 2.0
trimestre y volvi a subir a 495 en el final del 4 trimestre. No importa la rapidez con que Google corrija las vulnerabilidades cr-
ticas en el sistema operativo Android, la velocidad con la que los usua-
Volumen de Malware para Android rios finales reciben las actualizaciones depende de sus fabricantes de
aparatos, y eso a veces puede tardar ms tiempo. Esto fue destacado,
TT El nmero de aplicaciones de android que fueron clasificadas con contenido
malware en 2015 fue 3 veces mayor que en 2014, un aumento del 230%. en julio de 2015 cuando siete vulnerabilidades fueron corregidas, que
podran permitir que los invasores comprometiesen los aparatos afec-
tados simplemente envindoles un mensaje multimedia malicioso
25.000
(MMS). Lo nico que la vctima tena que hacer era ver el mensaje mali-
cioso que activaba un exploit.
20.000
Las siete vulnerabilidades implicadas fueron conocidas colectivamente
15.000
como las Google Stagefright Media Playback Engine Multiple Remote
Code Execution Vulnerabilities, (CVE-2015-1538, CVE-2015-1539,
CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828
10.000
y CVE-2015-3829) y todas estaban relacionadas con un componente
Android conocido como libStageFright, que trataba la reproduccin de
5.000 media Joshua Drake, de Zimperium zLabs, relat las vulnerabilidades
para Google en abril y mayo de 2015, incrementando mucho ms la preo-
cupacin de que si bien Google haba suministrado parches a sus aliados,
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
muchos fabricantes demoraron an ms a suministrar los parches para
2015
proteger a sus clientes. La gravedad de esas vulnerabilidades fue inten-
sificada por el hecho de que, a pesar de la disponibilidad de un parche
de Google, los usuarios permanecieron en riesgo hasta que las operado-
Los Diez Principales Malware para Android ras y fabricantes lanzasen sus propios parches. Eso muchas veces puede
TT El 37% del malware Android bloqueado por Symantec en 2015 era tardar semanas o meses, y muchos dispositivos ms antiguos pueden
relacionado con variantes de Android.Lotoor, que es la deteccin genrica simplemente no tener un parche lanzado para sus aparatos.
para herramientas de hacking que pueden explorar vulnerabilidades en
Android, a fin de obtener privilegios de acceso root en dispositivos Android No obstante, Google insiste en resaltar que los dispositivos con Android
comprometidos.
4.0 y superior (cerca del 95% de los dispositivos Android activos), cuen-
tan con proteccin incorporada contra ataques de buffer, usando una
Clasif. Malware Porcentaje tecnologa llamada Address Space Layout Randomization (ASLR). Adi-
cionalmente tambin aseguran que los usuarios de Android tambin
1 Android.Lotoor 36,8% pueden apagar la recuperacin automatica de mensajeria multimedaia
a travs de la aplicacin de mensajes incoporada, asi como a travs de
2 Android.RevMob 10,0%
Google Hangouts.
3 Android.Malapp 6,1%
Sin embargo esta mitigacin parcial, no previene que las vulnerabili-
4 Android.Fakebank.B 5,4% dades puedan ser exploradas si un mensaje multimedia malformado o
malicioso es descargado y abierto.
5 Android.Generisk 5,2%
En octubre de 2015, Dos nuevas vulnerabilidades similares al bug sta-
6 Android.AdMob 3,3%
gefright original fueron divulgadas. Igualmente, si eran exploradas
7 Android.Iconosis 3,1% podan permitir que el atacante obtuviese el control del dispositivo com-
prometido, cuando la victima realizase una vista previa de un archivo
8 Android.Opfake 2,7% mp3 o mp4. Con la creacin de archivos maliciosos de audio o vdeo, los
9 Android.Premiumtext 2,0% responsables del ataque podran atraer a un usuario a visualizar una
msica o vdeo en un dispositivo Android sin parche de correccin.
10 Android.Basebridge 1,7%
Google ya haba corregido la biblioteca libStageFright para que no pro-
cesase automticamente esos mensajes; sin embargo, an era posible
que los ataques explorasen libStageFright a travs del navegador del
dispositivo mvil. Llamada Stagefright 2.0, estas nuevas vulnerabilida-
des tambin podran ser exploradas a travs de ataques man-in-the-
middle y mediante aplicativos de terceros que tambin usasen Stage-
fright. Descubiertas y reportadas en agosto, se incluyeron los parches
para estas nuevas vulnerabilidades en la actualizacin de seguridad
mensual de octubre de Google.
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 13
Usuarios Android Bajo Presin con Phishing y Ransomware Ataca Dispositivos Mviles
Ransomware TT Imagine la frustracin de un usuario que descarga un nuevo aplicativo
interesante en su telfono y despus encuentra el dispositivo bloqueado
Adems de trucos familiares como esconder cdigos maliciosos en con un aviso del FBI en la pantalla inicial cuando intenta iniciar la sesin.
aplicativos aparentemente legtimos, o disfrazndose como algo ms TT Tiene dos opciones: pagar una multa y esperar que los responsables del
til, los invasores estn usando tcnicas ms sofisticadas para sacarle ataque desbloqueen el telfono o desistir de acceder a las fotos valiosas,
contactos y memoria.
dinero a sus vctimas. Por ejemplo, investigadores de Symantec han
descubierto un nuevo troyano de phishing Android, que engaa a los
usuarios a informar sus credenciales bancarias, generando un pop-up
falso sobre aplicativos legtimos de bancos. De la misma forma, el ms
nuevo ransomware Android copia el estilo de diseo de Google para
hacerlo parecer ms legtimo e intimidante cuando exhibe falsos avi-
sos del FBI en el bloqueo de la pantalla de los usuarios. Vimos tambin
ransomware para telfonos que logra cifrar archivos, como imgenes,
en lugar de simplemente alterar el cdigo de acceso al telfono.
TT Crear falsas alertas de phishing para robar nombre de usuario y sigue o el procedimiento de habilitacin. Por otro lado, pueden haber
clave de la vctima sido capaces de robar certificados legtimos de un desarrollador ya
registrado o a travs de alianzas con algn desarrollador.
TT Lectura y escritura de datos en el rea de transferencia del disposi-
tivo, que podra ser usado para descubrir contraseas copiadas de As que los invasores lograron acceso a un certificado vlido de
una herramienta de administracin de contraseas empresa, fueron capaces de crear, firmar y distribuir sus aplicativos
TT Secuestro del navegador para abrir direcciones URL especficas, lo maliciosos, potencialmente hacia cualquier dispositivo iOS, sin cual-
que podra llevar a nuevos exploits quier intervencin de Apple. Es evidente que cuando Apple descubre
acerca del mal uso de cualquier certificado corporativo, el mismo
Se estima que se infectaron cientos de aplicativos iOS en Apple App
puede ser inmediatamente revocado, tornando intil cualquier apli-
Store, potencialmente afectando a cientos de miles de usuarios, espe-
cativo firmado. Los aplicativos corporativos firmados generalmente
cialmente en China, donde el app WeChat es bastante popular.
pueden instalarse apenas cuando el usuario acepta la solicitud para
Esta amenaza no exiga un aparato iOS desbloqueado, como en casos confiar en el aplicativo o desarrollador. En nuestra experiencia, sabe-
anteriores de amenaza a iOS, tornndose un hecho nuevo y bastante mos que preguntar al usuario si confa en un aplicativo o desarrollador
alarmante en el escenario de las amenazas mviles. Symantec bloque raramente es una eficaz medida de seguridad, pero es la ltima lnea
33 ataques entre septiembre y diciembre de 2015. Asimismo, no fue de defensa que necesita ser cruzada antes de que el malware logre ins-
apenas iOS de Apple que estuvo bajo presin en 2015. Mac OS X, el talarse.
popular sistema operativo de equipos de escritorio de empresas, tam-
bin vio un incremento en las vulnerabilidades, exploits y amenazas Explorando las APIs Privadas de Apple
durante el ao.
Una de las razones por las cuales YiSpecter ha incluido funcionalida-
des ms avanzadas fue porque tambin utiliz las propias APIs priva-
YiSpecter Muestra Cmo Los Ataques Tienen das de Apple para llevar a cabo actividades que los aplicativos estn-
Ahora iOS Firmemente en Su Punto de Mira dar iOS no consiguen. Estas APIs privadas son reservadas para que
los propios aplicativos de Apple sean capaces de realizar una serie de
En 2015, vimos un aumento de las amenazas dirigidas a la plataforma
acciones en el nivel de sistema. Otros desarrolladores iOS no deben
iOS, que incluyen YiSpecter (detectado como IOS.Specter), que tambin
usar esas APIs en sus aplicativos, y cualquier aplicativo de terceros que
fue descubierto en octubre de 2015. YiSpecter fue especficamente pro-
lo realice, es rechazado por Apple App Store. De hecho, YiSpecter es
yectado para atacar a usuarios del idioma chino y han afectado prin-
capaz de escapar de los controles de App Store oficial, pues logra utili-
cipalmente a los usuarios en Asia Oriental, incluso China y Taiwan.
zar los canales de distribucin no oficiales para diseminar el malware.
YiSpecter es un caballo de troya capaz de explorar tanto dispositivos Como resultado, la amenaza es capaz de obtener ventaja de las APIs
iOS desbloqueados como originales; esencialmente suministrando una privadas para sus debidos fines.
puerta de los fondos al dispositivo comprometido para la instalacin de
adware. El troyano permite que un invasor realice una serie de tareas Madware Youmi para Mltiples Plataformas
que incluyen la desinstalacin de aplicativos, descarga de nuevos apli-
cativos fraudulentos, y forzando a otros aplicativos a exhibir anuncios.
Roba Datos Personales en iOS y Android
En octubre de 2015, Apple retir hasta 256 aplicaciones de su App Store
por, aparentemente, violar directrices de privacidad de la empresa. Los
Dispositivos IOS Originales Son Blancos para
aplicativos haban empleado tecnologa de publicidad de terceros de
los Atacantes y Hay Abuso de Certificados una empresa llamada Youmi (detectado como Android.Youmi), que
YiSpecter fue la primera amenaza iOS que se aprovech de la estruc- estaba secretamente siendo usada para acceder a informacin perso-
tura de aprovisionamiento de aplicativos corporativos de Apple para nal, que incluyen direcciones de correo electrnico de cuentas de usua-
comprometer los aparatos no desbloqueados. La estructura es usada rios de Apple, adems de nmeros IMEI - International Mobile Station
por muchas empresas para poner a disposicin, de manera legtima, Equipment Identity.
aplicativos privados para sus equipos de trabajo, sin tener que dejar-
Poco tiempo despus, la misma biblioteca de publicidad fue descubierta
los pblicamente disponibles en App Store oficial. Los aplicativos son
en una serie de aplicativos para Android, que estaba siendo usada para
desarrollados y firmados con certificados corporativos, y no necesitan
ejecutar una serie de acciones que tambin podan comprometer la
ser controlados por Apple antes de distribuirse fuera de App Store. Eso
privacidad del usuario, incluyendo la recopilacin de la ubicacin de
tambin brinda ms espacio para que las empresas desarrollen aplica-
su GPS y el nmero de telfono, as como tambin realizar la descarga
tivos con recursos que de otra forma seran rechazados por Apple, sin
de aplicaciones adicionales, potencialmente indeseables.
embargo tambin pueden ser firmados e implantados legtimamente a
travs de la estructura.
Cmo Identificar Madware
No obstante, como demostrado con YiSpecter, los certificados cor-
Adware y su contraparte mvil, adware mvil (o madware), estn pre-
porativos iOS tambin pueden utilizarse para empaquetar y firmar
sentes por muchos aos y es una manera popular de financiar aplica-
malware. No se sabe exactamente como los responsables del ataque
ciones gratuitas, donde el desarrollador del aplicativo recibe un valor
han logrado el acceso a los certificados, pero es posible que se hayan
por cada uno de los anuncios presentados a sus usuarios. Muchas
registrado en Apple como una empresa que paga las debidas tasas y
personas se sienten felices en poner a disposicin una pequea rea
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 15
de la pantalla para anuncios a cambio de un aplicativo gratuito; sin Protegiendo Dispositivos Mviles
embargo, eso a veces puede suceder sin la autorizacin del usuario o
de una forma particularmente agresiva. Symantec ha registrado un Recomendamos que las personas y los empleadores traten los disposi-
aumento del 77% en aplicativos que contienen madware indeseado. tivos mviles como las computadoras pequeas y poderosas que son y
cuiden su proteccin, que incluye:
Las herramientas que bloquean anuncios han crecido en popularidad
como una manera de evitarlo, y mediante el bloqueo de anuncios en TT Control de acceso, incluso la biometra, siempre que sea posible.
dispositivos mviles, tambin ayudan a reducir el consumo de planes Prevencin de fuga de datos, por ejemplo, cifrado en el dispositivo.
de datos que ocurre con el trfico generado por madware, adems de Backup automatizado del dispositivo.
minimizar el nmero de anuncios que aparece en la pantalla. Del mismo TT Herramientas remotas que encuentren y remuevan datos, en el
modo, ese software puede tambin ayudar a mejorar la postura de segu- caso de un dispositivo perdido.
ridad de un dispositivo, bloqueando madware potencialmente inde-
TT Actualizaciones regulares. Por ejemplo, la ltima versin de
seado que puede instalarse sin autorizacin o conocimiento del usuario.
Android, Marshmallow (versin 6.0), fue lanzada en octubre e
incluye una serie de recursos diseados especficamente para frus-
Anlisis de Aplicativos por Norton Mobile Insight de Symantec trar los ataques. De acuerdo Statista, en octubre de 2015, KitKat
TT Symantec analiz un nmero 71% mayor de aplicativos en 2015 y una (versin 4.4) an era la versin ms usada de Android en el 38,9%,
cantidad ms de tres veces mayor (230%) de los mismos se clasificaron y Lollipop (versin 5.0) era responsable del 15,6%.
como maliciosos. Hubo un aumento del 30% en grayware, en gran
parte, debido al aumento del 77% en aplicativos que contienen madware
TT Abstngase de realizar la descarga de aplicativos de sitios descono-
indeseado. cidos y solamente instale aplicativos de fuentes seguras.
TT No desbloquee dispositivos. Los dispositivos desbloqueados son
2013 2014 2015 muchas veces ms susceptibles a problemas de seguridad.
TT Preste especial atencin a las autorizaciones solicitadas por un
Total de Aplicativos 6,1 6.3 10,8 aplicativo.
Analizados Millones Millones Millones TT Actualice los aplicativos lo ms rpido posible, o si identifica un
aplicativo sospechoso, exclyalo y espere que est disponible una
Total de Aplicativos nueva versin.
Clasificados como
0,7 1,1 3,3
TT Altere la contrasea de Apple ID o Google Play, si sospecha que
Malware Millones Millones Millones
su cuenta ha sido invadida. Esta recomendacin se extiende a la
proteccin de credenciales de la cuenta en cualquier tienda de apli-
Total de Aplicativos cativos de terceros.
Clasificados como
2,2 2,3 3,0
Grayware Millones Millones Millones TT Cuidado con los correos electrnicos sospechosos o notificaciones
push hacia su dispositivo solicitando sus credenciales, o cualquier
Total de Grayware informacin de identificacin personal.
Clasificado 1,2 1,3 2,3 TT Proceda con cautela al usar su navegador mvil para visualizar
Posteriormente como Millones Millones Millones archivos de audio y video no solicitados hasta que se aplique una
Madware correccin.
TT Es aconsejable a los usuarios Android aplicar cualquier actualiza-
Programas y archivos que son creados
Definicin de cin de seguridad publicada por la operadora o fabricante del dis-
para generar daos. Malware incluye virus,
Malware positivo, tan pronto estn disponibles.
gusanos y caballos de troya.
TT Las soluciones adicionales de seguridad para dispositivos mviles
Programas que no contienen virus y que no tambin pueden ayudar a proteger contra software malicioso, y las
son directamente maliciosos, sin embargo empresas deben considerar las herramientas de gestin de movili-
Definicin de pueden ser irritantes o incluso perjudiciales dad que pueden ayudar a proteger y controlar dispositivos mviles
Grayware para el usuario, (por ejemplo, herramientas dentro de una organizacin.
de hacking, accessware, spyware, adware,
discadores y programas con pasatiempos).
Mirando hacia el Futuro nmero llegar a 20.800 millones hasta 2020 (Gartner, Inc., comuni-
cado de prensa, 10 de noviembre de 2015).
Las amenazas para dispositivos mviles continuarn diseminndose en
2016. En breve podremos ver kits de exploracin como los que existen Para que Internet de las Cosas entregue el prometido beneficio eco-
para PC, disponibles para telfonos en el mercado negro. nmico de US$ 2 trillones, los diseadores y los fabricantes tendrn
que enfrentar los retos fundamentales de seguridad. Sin embargo, las
Al mismo tiempo, Apple y Google estn trabajando duro para asegurar perspectivas no son buenas.
sus sistemas operativos y ecosistemas ms amplios. En particular, anti-
cipamos mejoras en las tcnicas utilizadas para validar y firmar aplica-
ciones, as como en la entrega de aplicativos. Los usuarios de telfonos La Inseguridad de las Cosas
se acostumbrarn con las frecuentes actualizaciones automticas como Durante el ltimo ao, Symantec ha visto un aumento en los ataques
norma del sistema operativo y aplicativos, adems de la necesidad de de prueba de concepto y un nmero creciente de ataques a Internet
software de seguridad en sus dispositivos mviles. de las cosas en el mercado. En varios casos, las vulnerabilidades eran
obvias y muy fciles de explorar. Los dispositivos de Internet de las
Posiblemente es un indicador de progreso, en vez de un motivo de pre-
Cosas no suelen ofrecer rigurosas medidas de seguridad, y algunos
ocupacin. El hecho sugiere que los investigadores de seguridad, desa-
ataques son capaces de explorar vulnerabilidades en los sistemas ope-
rrolladores de sistemas operativos y aplicativos estn, realmente, pres-
rativos basados en Linux encontrados en varios dispositivos y routers
tando ms atencin a la seguridad mvil al identificar y corregir ms
de IoT. Muchos problemas provienen de lo seguro que sean los meca-
problemas. Si bien esperamos que los dispositivos mviles sufran cre-
nismos implementados por los distribuidores para autenticacin y
cientes ataques durante el prximo ao, existe tambin la esperanza de
cifrado (o no). Aqu le damos algunos ejemplos:
que con las adecuadas medidas preventivas y una constante inversin
en seguridad, los usuarios puedan lograr un elevado nivel de proteccin TT Coches. Fiat Chrysler hizo un llamado de revisin a 1.4 millones
contra estos ataques. de vehculos luego de que un grupo de investigadores demostr por
medio de un ataque ficticio en una prueba de concepto que podan
tomar remotamente el control del vehculo. En el Reino Unido, los
EL INTERNET DE LAS COSAS ladrones han hackeado los sistemas de abertura sin llave para robarse
los coches.
Las cosas conectadas a Internet TT Dispositivos domsticos inteligentes. Millones de hogares son vul-
estn multiplicndose rpidamente. nerables a los ciberataques. Investigaciones de Symantec han des-
cubierto varias vulnerabilidades en 50 dispositivos disponibles en el
Vimos muchos ataques de prueba mercado, incluso una traba inteligente de puerta que puede abrirse
remotamente online sin una contrasea.
de concepto y reales en 2015,
TT Dispositivos mdicos. Investigadores han descubierto vulnerabi-
identificando vulnerabilidades serias lidades potencialmente mortales en decenas de dispositivos, como
bombas de insulina, sistemas de rayos x, escneres de tomografas
en coches, dispositivos mdicos y computarizadas, frigorficos mdicos y desfibriladores implantables.
mucho ms. Los fabricantes necesitan TT Smart TV. De acuerdo con un estudio realizado por Symantec, cien-
tos de millones de televisores conectados a Internet son potencial-
priorizar la seguridad para reducir mente vulnerables a clics invlidos, botnets, robo de datos, e incluso
el riesgo de graves consecuencias ransomware.
Dispositivos incorporados. Miles de dispositivos utilizados diaria-
personales, econmicas y sociales. TT
mente, incluyendo routers, cmaras web y telfonos IP, comparten
los mismos certificados de servidor HTTPS y SSH con codificacin
Miles de Millones de Cosas predefinida, dejando ms de 4 millones de dispositivos vulnerables a
la interceptacin y acceso no autorizado.
Internet de las Cosas ya est presente. Nosotros solamente tenemos
que observar alrededor de nuestro propio ambiente para ver el impacto Esperamos ver ms historias como sta el prximo ao. Si un disposi-
que est teniendo en nuestra vida cotidiana. El smartphone estndar tivo puede ser hackeado, posiblemente lo ser. Adems, cuando exis-
ahora tiene ms poder informtico que un mnibus espacial; un smar- ten ataques de prueba de concepto, los ataques reales invariablemente
twatch ahora realiza descargas de actualizaciones de Internet; las ter- seguirn. Incluso podemos esperar que los dispositivos de internet
minales de punto de venta en una tienda de caf estn todas vincula- de las cosas sean la va preferencial para atacar a una organizacin
das al sistema financiero central de la empresa; muchos coches ahora y, potencialmente, los blancos ms difciles para que el equipo de res-
tienen navegacin por satlite y conexiones Bluetooth; un termostato puesta a incidentes logren reconocerlos y removerlos.
conectado a Internet puede controlar la temperatura en nuestras casas.
Dado el pobre estado actual de la seguridad en los dispositivos conec-
En Estados Unidos existen 25 dispositivos online por cada 100 habi- tados, representarn un blanco cada vez ms atractivo para los crimi-
tantes y eso es tan solo el comienzo. Gartner prev que 6.400 millones nales que buscan blancos fciles, de la misma forma que los asaltantes
de cosas conectadas estarn en uso en todo el mundo en 2016, y este prefieren las casas sin alarmas o perros.
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 17
1 Fuente: gartner.com/newsroom/id/3165317
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 18
Automacin Residencial Alcanzar reas. Sin embargo, la ciberseguridad debe ser un tema central para
que la adopcin de esta nueva generacin de tecnologa IoT pueda
un Punto de Ruptura hasta 2020 lograr xito. A medida que ms casas queden conectadas, ser difcil
A pesar del aumento de la popularidad y el rpido desarrollo, Inter- para los consumidores ignorar los beneficios que esta nueva tecnolo-
net de las cosas no alcanz una cantidad masiva cuando se trata de ga promete.
automacin residencial. Posiblemente, una de las ltimas barreras
Es siempre importante ponderar la conveniencia del control remoto,
que impiden el dominio de Internet de las cosas est relacionada con
automacin, facilidad de uso y los beneficios que ellos pueden propor-
protocolos estandarizados de comunicacin. Hasta el momento hemos
cionar, contra los riesgos potenciales introducidos que podran llevar
visto un gran crecimiento de dispositivos de Internet de las cosas
a los hackers abrir cerraduras que usan IoT, desactivar alarmas IoT, o
interconectados utilizando protocolos bien establecidos, tales como
de forma general, causar daos con los dispositivos de Internet de las
Wi Fi y Bluetooth. Los dispositivos que utilizan protocolos inalmbri-
Cosas.
cos 802.11b/g/n/ ac, que incluyen Smart TVs, termostatos inteligen-
tes, cmaras IP, y otros dispositivos, estn surgiendo en todas partes.
Los dispositivos que utilizan Bluetooth 4.0, como rastreadores de fit- Cmo proteger los Dispositivos Conectados
ness, smartwatches y otros dispositivos wearables, tambin han ayu- Proteger el Internet de las cosas requiere el mismo abordaje holstico
dado a Internet de las cosas a obtener una fuerza considerable en ese como en otras reas de seguridad de TI. Desafortunadamente, tanto
mercado. los ecosistemas IoT Industriales, el Consorcio de Internet Industrial
No obstante, estos protocolos de comunicacin fracasan en muchos (IIC), los ecosistemas IoT para consumidores, tales como la Alianza
casos de automacin residencial. Las ms recientes tecnologas Wi AllSeen, estn en el perodo inicial de la definicin de normas para
Fi funcionan bien para conexiones inalmbricas rpidas y eficientes, esta rea en rpida evolucin. Para resolver esto, Symantec ha publi-
pero tienen requisitos de energa que pueden ejercer una presin sobre cado su Arquitectura de Referencia de Seguridad, y contribuido para
los dispositivos menores. Bluetooth funciona mejor en este escenario, los esfuerzos de IIC y AllSeen, juntamente con Online Trust Alliance
pero su corto alcance no lo torna ideal para la comunicacin a partir de (OTA) IoT Trust Framework, y el programa del Departamento de Segu-
algunos metros de distancia. Eso no significa que no pueda ser hecho. ridad Interna (DHS) de Estados Unidos, Security Tenets for Life Criti-
Solamente no fue posible an hacerlo a un menor costo para propor- cal Embedded Systems.
cionar la tecnologa a todas partes. Una seguridad eficaz requiere capas integradas de seguridad en dispo-
Un nmero de proveedores ha trabajado para enfrentar esos retos de sitivos y en la infraestructura que los administra, que incluyen auten-
comunicacin, a pesar de que ninguno todava haya logrado dominar ticacin, firma de cdigo y seguridad en el dispositivo (como tecnologa
el mercado. Eso dej como resultado un mercado fragmentado de espe- embutida de Proteccin de Sistemas Crticos). Tambin son esenciales
cificaciones de comunicacin inalmbrica competidoras, relaciona- datos analticos, auditora y alertas para comprender la naturaleza de
dos a especficos proveedores o grupos de proveedores. Lo que puede las amenazas emergentes en esta rea. Finalmente, la tecnologa de
finalmente abrir las puertas para los dispositivos pequeos, de baja cifrado fuerte SSL/TLS desempea un papel crucial en la autentica-
potencia de Internet de las cosas es Wi Fi HaLow (IEEE 802.11ah), cin y proteccin de datos.
un nuevo protocolo de comunicacin para Internet de las cosas y dis-
positivos wearable, programado para ser finalizado y certificado entre Hacia un Futuro Seguro y Conectado
2016 y 2018. Una vez liberado, los fabricantes de routers podran rpi-
As como sucede con otros aspectos de la seguridad en Internet, algu-
damente incorporar el protocolo en sus productos, como sucede con
nas amenazas son ms peligrosas que otras, y mientras un monitor de
otros protocolos de comunicacin como 802.11ac, y al realizarlo, abrir
fitness hackeado puede ser un inconveniente, una vulnerabilidad en
las puertas para que los consumidores automaticen sus casas de forma
millones de coches puede presentar un peligro ms grave. De la misma
ms fcil y barata.
forma, un backdoor en un dispositivo mdico puede suministrar a los
Por supuesto que al introducir una nueva tecnologa, la superficie de ladrones acceso a registros mdicos, si bien relativamente en pequea
ataque se expande, lo que presenta una variedad de nuevos problemas escala, puede llevar a graves lesiones o potencialmente incluso a la
desde el punto de vista de la seguridad. Redes propietarias de Internet muerte.
de las cosas ya han sido encontradas con varias vulnerabilidades de
Las formas de correccin son bien comprendidas, pero los fabrican-
seguridad, algunas triviales y algunas graves. La pregunta fundamen-
tes necesitan priorizar la seguridad y encontrar el correcto equilibrio
tal sobre Internet de las cosas y automacin residencial no es, Cmo
entre la innovacin, facilidad de uso y restricciones de Time to mar-
podemos hacerlo? sino, Cmo podemos hacerlo de forma segura?
ket. Principalmente, las empresas y los consumidores necesitan estar
Con la adopcin de normas comunes, es probable que los antiguos pro- seguros de que los distribuidores estn introduciendo seguridad en los
tocolos propietarios quedarn en el olvido, abriendo el camino para, dispositivos que estn comprando de Internet de las cosas.
potencialmente, una mayor consolidacin en el mercado. En cuanto
las marcas ms grandes y bastante conocidas continuarn lanzando
sus propios productos, las empresas menores e innovadoras de Inter-
net de las Cosas se tornarn blancos atractivos para las organizacio-
nes que buscan expandir rpidamente su cartera de productos en esas
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 19
AMENAZAS WEB
AMENAZAS
WEB
ATAQUES WEB, TOOLKITS Los propietarios de sitios an no estn aplicando parches ni actuali-
zando sus sitios web y servidores con la frecuencia que tal vez debe-
Y EXPLORACIN DE ran. Es como dejar una ventana abierta a travs de la cual los ciber-
criminales pueden entrar y aprovecharse de todo lo que encuentran.
VULNERABILIDADES ONLINE En los ltimos tres aos, ms del 75% de los sitios escaneados conte-
Si los servidores web estn vulnerables, nan vulnerabilidades no corregidas, uno en cada siete (15%) que eran
consideradas como crticas en 2015.
entonces los sitios y las personas
que los visitan tambin lo estn. Los
grupos de ataque estn explorando
cualquier vulnerabilidad que pueda
comprometer sitios y comandar
sus servidores host. La facilidad
de uso y amplia disponibilidad de
toolkits para los ataques web est
aumentando el nmero de estos
ataques, que se duplicaron en 2015.
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 20
AMENAZAS WEB
100
Apple Safari
400 351 900
MIL
600
200
300
AMENAZAS WEB
Plugins, ya sea para navegadores o servidores, necesitan ser actuali- Cinco Principales Toolkits de Ataques Web
zados regularmente, pues son vulnerables a fallas de seguridad, y las
TT El kit de exploit Angler fue el kit de exploit ms comn en uso durante 2015,
versiones desactualizadas deben evitarse siempre que sea posible. y fue responsable del 23% de todos los ataques web generados por kits de
exploit. Present un crecimiento considerable en el ltimo ao y no estaba
en la lista de los cinco primeros de 2014.
Reduzca el Riesgo de Plugins
TT Actualice los plugins regularmente.
TT Preste atencin en la media y las listas de seguridad para avisos.
TT Sea muy selectivo sobre los plugins usados para reducir la
superficie de ataque
Otros 50%
Toolkits de Exploit para Ataques Web Los Fraudes de Soporte Tcnico Aumentan
Es difcil defenderse contra nuevas y desconocidas vulnerabilidades, Considerablemente, Diseminando
particularmente vulnerabilidades de da cero para las cuales puede no Ransomware
existir cualquier parche y los grupos de ataque se estn esforzando para
En 2015, Symantec registr un aumento de fraudes de soporte tcnico,
explorarlas ms rpidamente que los proveedores logran lanzar parches.
equivalente a un aumento del 200% en relacin al ao anterior.
En 2015, en la secuencia de la violacin de Hacking Team, una empresa
Los fraudes de soporte tcnico no son una nueva tctica, y cientos de
con sede en Italia, se divulgaron exploraciones de da cero previa-
miles de personas en todo el mundo son blancos diariamente. Los pri-
mente desconocidas por los responsables del ataque. Se compartieron
meros tipos de fraude de soporte tcnico involucraban a representan-
exploits para vulnerabilidades de da cero y en pocas horas, se integra-
tes de call center llamando al azar a usuarios, e intentaban venderles
ron en toolkits de exploits.
paquetes de soporte tcnico para resolver problemas inexistentes en
las computadoras de las vctimas.
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 22
AMENAZAS WEB
Esos fraudes han evolucionado a lo largo del tiempo, y los ejemplos Malvertising
ms recientes pueden exhibir mensajes falsos de aviso aparentemente
interminables, incentivando a las vctimas a llamar a un nmero de Los meses que implica mediados de 2015 fueron vctimas de cuen-
telfono gratuito para obtener ayuda. Al llamar al nmero, un equipo tas de malvertising, que afectan casi todos los segmentos de Internet
de call center aparentemente profesional intenta convencer a sus vc- soportado por anuncios. Una posible explicacin es que malvertising
timas a instalar malware y otros aplicativos indeseados en sus compu- es simplemente una manera ms fcil para infectar a los visitantes
tadoras, mientras afirman que esto corregir su problema. de sitios que enviar enlaces de spam hacia los sitios infectados. Es
mucho ms fcil para un grupo de ataque intentar comprometer un
En la ltima versin del fraude, el soporte tcnico estaba usando el kit sitio popular o buscar alojar anuncios maliciosos en sitios populares
de exploit Nuclear para instalar ransomware en las computadoras de de alto trfico, porque eso significa que ellos no necesitan considerar
sus potenciales vctimas. Los delincuentes pueden distraer al usuario los matices complejos de la ingeniera social, eliminando un paso ms
mientras el ransomware cifra los archivos en su computadora, proba- en el filtro de los criminales.
blemente aumentando su chance de obtener dinero con la vctima.
Las empresas de publicidad muchas veces no suelen solicitar mucha
Sin embargo, esa no fue la primera vez que los estafadores de soporte informacin acerca de las personas que publican anuncios, tornando
tcnico fueron descubiertos instalando ransomware. Los ejemplos ms ms fcil para los criminales enmascararse como empresas legtimas
recientes incluyen un iframe HTML malicioso en su sitio, redirigiendo y hacer upload de anuncios maliciosos, que pueden aparecer en una
los visitantes hacia un servidor que aloja el kit de exploit Nuclear. Se gran cantidad de sitios.
identific que el kit de exploit estaba aprovechando la reciente vul-
nerabilidad de ejecucin de cdigo remoto no especificado de Adobe Gracias al uso de cookies, los autores de malware tambin pueden
Flash Player (CVE-2015-7645), entre otras vulnerabilidades. En caso adaptar su cdigo malicioso o redireccionamientos para alcanzar prc-
de xito, instalaba Trojan.Cryptowall (ransomware) o Trojan.Miuref.B ticamente cualquier subconjunto de usuarios, por la geografa, hora
(un troyano de robo de informacin). del da, empresa, intereses o actividades recientes en el Internet.
sta fue la primera vez que Symantec vio los fraudes de soporte tc-
Clasificacin de los Sitios Explorados con Mayor Frecuencia
nico usados en paralelo con el kit de exploit Nuclear para instalar
ransomware, y si eso se revela una combinacin eficaz, esta tendencia TT En 2015, los sitios relacionados con negocios y tecnologa fueron los ms
populares para el alojamiento de contenido malicioso y malvertising.
debe continuar. A pesar de que sea bastante admisible que los estafa-
dores de soporte tcnico y los grupos de ataque con exploit kits hayan
unido fuerzas, es posible que los servidores web de los propios estafa- 2015
dores de soporte tcnico fueron comprometidos por un grupo separado 2015 Porcentaje del
10 Categoras de 2014 2014
que estn usando el kit de exploit Nuclear. Nmero Total
Sitios Explorados con Top 10 %
Mayor Frecuencia de Sitios Web
Infectados
Fraudes Bloqueados de Soporte Tcnico
TT En total, Symantec bloque ms de 100 millones de ataques de malware o
kits de exploit relacionados con fraudes de soporte tcnico en 2015. 1 Tecnologa 23,2% Tecnologia 21,5%
TT Los pases que sufrieron ms fraudes dirigidos de soporte tcnico fueron
Estados Unidos, Reino Unido, Francia, Australia y Alemania. 2 Bsqueda 8,1% Hosting 7,3%
12
MILLONES
6
6 Educativo 4,0% Entretenimiento 2,6%
4
Dominio
7 3,2% Compras 2,5%
2 estacionado
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
8 Entretenimiento 2,6% Ilegal 2,4%
2015
Dominio
9 Compras 2,4% 2,2%
estacionado
AMENAZAS WEB
Desafortunadamente, malvertising es notoriamente difcil de contro- gobierno britnico revel recientemente que haba ahorrado 1.700
lar y los criminales se han tornado cada vez ms inteligentes, remo- millones a travs de la transformacin digital y tecnolgica en 2014.
viendo el cdigo malicioso de sus anuncios despus de una o dos horas,
tornndose casi invisibles. Debido a su poder, eficacia y difcil anlisis, Si bien los certificados SSL/TLS, marcas de confianza y una buena
creemos que el uso de malvertising siga creciendo. De esa forma, puede seguridad en sitios web ayudan a mantener la economa online, toda
haber un aumento en la bsqueda por bloqueadores de anuncios, a fin esa actividad econmica podra estar en peligro si las personas perdie-
sen la confianza en la base de seguridad de la economa online.
de ayudar a reducir el impacto negativo de malvertising.
ha tornado fundamental para nuestro Por ejemplo, el aumento en el malware destinado a Servidores Web
Linux, que incluyen hosts de sitios, comprueba que los criminales han
modo de vida, ya sea por la forma como notado que la infraestructura por tras de sitios es tan valiosa, si no
hacemos las compras, trabajamos ms, que las informacin cifrada por certificados SSL/TLS.
o pagamos nuestros impuestos. Muchos ataques contra la infraestructura de sitios web podran evi-
tarse con mantenimiento y aplicacin de parches de forma regular,
Afortunadamente, los cambios pero los nmeros sugieren que los propietarios de sitios simplemente
no estn logrando mantenerse actualizados. Tres de cada cuatro de los
estn llegando en la forma como sitios escaneados por Symantec en 2015 tenan vulnerabilidades, un
usamos y aseguramos Internet para nmero que no ha cambiado en los ltimos aos.
AMENAZAS WEB
HTTPS en el navegador, creyendo que el sitio en el que estn fue vali- Transferencia de Hipertexto. Llamado de HTTP/2, probablemente
dado y autenticado y por lo tanto, debe ser verdadero. En la realidad, ser adoptado como modelo en un futuro prximo y, como la pro-
el fraude online histricamente ha ocurrido en los sitios con Dominios puesta establece, HTTP/2 permite un uso ms eficiente de los
Validados (DV), que no ofrecen ninguna validacin de la organizacin recursos de la red, significando que HTTP/2 fue proyectado para
por detrs del sitio. ofrecer un mejor desempeo responsivo y ms rpido para los
sitios desde su lanzamiento. Y todos los principales navegadores
Con certificados DV, CA verificar si un contacto en el dominio refe-
han confirmado que su soporte para HTTP/2 solamente ocurrir
rido aprueba el pedido de certificado, normalmente mediante el correo
sobre SSL/TLS. Por consiguiente, esto hace que el cifrado sea obli-
electrnico o telfono, y eso muchas veces es automtico. Por lo tanto,
gatorio para los sitios que usan ese nuevo modelo.
los certificados DV son generalmente ms baratos que los ms rigu-
rosos certificados SSL de Validacin Extendida (EV), que exigen una La esperanza es que, dentro de los prximos aos, cada pgina en
verificacin y validacin mayor. Internet tendr un certificado SSL/TLS. Symantec ya est trabajando
con proveedores de alojamiento web, a fin de ayudarlos a brindar el
Si bien es cierto que los certificados DV comprueban la autorizacin cifrado como parte de su servicio para propietarios de sitios.
del propietario de un dominio, no intentan verificar quien realmente es
el propietario del dominio, tornndolo ideal tanto para ataques MITM
Garanta Reforzada
(man-in-the-middle) as como para ataques de phishing. Symantec
espera ver un movimiento de las organizaciones, particularmente de Varios de los principales navegadores tambin estn migrando sus
aquellas guiadas por compliance PCI, para reforzar los requisitos de indicadores de seguridad - los colores y smbolos utilizados en la barra
autenticacin ms fuerte, y la adopcin de certificados EV SSL que de direccin para indicar a los visitantes la seguridad de un sitio - para
ofrecen mayores niveles de seguridad. dejar claro cuando una pgina web con seguridad SSL/TLS incluye
contenido no protegido que es vulnerable a ataques man-in-the-mi-
El cifrado de SSL/TLS tambin se tornar ms fuerte con la migra- ddle. En otras palabras, eso dejar ms claro cuando un sitio no logra
cin de SHA-1 a SHA-2. Histricamente, SHA1 es una funcin hash alcanzar un cifrado de punta a punta y el peligro que eso representa.
unidireccional muy popular, donde cada hash generado a partir de
una fuente debe ser exclusiva. No debera existir colisin, donde ste es apenas un ejemplo de las acciones que ofrecen garanta adi-
dos fuentes distintas generen el mismo hash; sin embargo, en 2005 cional a los sitios de visitantes y compradores online. Incluye tambin
se identificaron los primeros puntos dbiles. Eso vino a conocimiento marcas de confianza y garantas de compras, que ayudan a eliminar la
de todos en 2014, cuando Google anunci que en breve no dara ms preocupacin que muchos compradores tienen cuando efectan com-
soporte a los sitios que usasen SHA1 y exhibira avisos de seguridad pras online y no pueden ver personalmente al dueo de la tienda, o
para los visitantes que intenten acceder a sitios con certificados SHA-1 tocar los productos que estn comprando.
que caducan despus del 1 de enero de 2017. Otros fabricantes de nave-
TT Retirado del Blog de Seguridad de Mozilla
gadores siguieron el ejemplo, anunciando el fin inevitable de SHA-1.
La comunidad de seguridad est obteniendo un gran avance y existe Versin anterior Nueva versin
una oportunidad real para reducir, de forma considerable, el xito del
Sitios con certificados DV
nmero de ataques a sitios. Sin embargo eso solamente va a suceder si
los propietarios de sitios asumen la responsabilidad y toman medidas
tambin. Sitios con certificados EV
Rumbo a una Autenticacin Ms Fuerte Sitios con contenido activo mezclado bloqueados
de factores:
AMENAZAS WEB
Los Sitios Necesitan Ser Ms Difciles de Atacar este estado frgil de confianza se va a desmoronar y el e-commerce
simplemente no ser capaz de funcionar.
Las organizaciones necesitan ser ms proactivas en la implantacin de SSL/
TLS. sa no es una tarea que finaliza al trmino de la implantacin inicial.
Las herramientas que automatizan y agilizan el proceso son esenciales. Fuerza en los Nmeros
La fuerza de SSL/TLS ya ha recorrido un largo camino desde 1994, y
Regularmente se lanzan actualizaciones para las bibliotecas de protocolo
este ao vio la migracin de SHA-1 a SHA-2 mientras que los estnda-
SSL/TLS, como OpenSSL, que protegen contra esas vulnerabilidades, sin
res de la industria continan avanzando.
embargo los propietarios de sitios an necesitan instalarlas. La migra-
cin de certificados SHA-1 a SHA-2, mucho ms fuertes, tambin est As como el poder computacional ha aumentado, tambin aument
siendo acelerada, pero nuevamente las organizaciones necesitan implan- la capacidad de un hacker para lograr romper algoritmos de hash
tar los nuevos certificados de forma adecuada para que la alteracin sea mediante la fuerza bruta. Muchos especialistas predicen que SHA-1 se
eficaz. tornar vulnerable en un futuro muy prximo. Por esa razn, los prin-
cipales navegadores han coincidido en parar de dar soporte a certifica-
En lugar de pensar solamente en la proteccin, los gestores de los sitios
dos SHA-1 durante los prximos dos aos, con el objetivo de que todos
necesitan pensar sobre la proteccin, deteccin y respuesta. Necesitan
los visitantes que intenten acceder a un sitio que continen utilizando
usar herramientas de automacin para monitorear constantemente sus
esos certificados, vern un aviso de seguridad.
sitios por seales de vulnerabilidad o ataques, bloquear estos ataques, y
enseguida, informar, actualizar y aplicar de forma adecuada los parches El plan actual es [dejar de aceptar certificados SHA-1] el 01 de enero
de correccin. de 2017. Sin embargo, debido a los recientes ataques al SHA-1, tambin
estamos analizando la posibilidad de tener una fecha de corte anterior,
a partir del 01 de julio de 2016, informa Mozilla, y hubo discusiones
SSL/TLS Y LA RESPUESTA para anticipar an ms esta fecha con el objetivo de acelerar el cambio.
AMENAZAS WEB
REDES SOCIALES,
FRAUDES, &
AMENAZAS
DE CORREO
ELECTRNICO
la privacidad personal, ya sea en fotos tores creados para proteger a los usuarios.
Los fraudes de las redes sociales exigen alguna forma de interaccin, que hable, usted an puede estar bajo la amenaza de ciberataques.
de esa forma, el uso compartido manual permaneci siendo la ruta Considere la Factura Bancaria (Boleto), un sistema de pago utilizado en
principal hacia los ataques en redes sociales en 2015, expandindose Brasil, por ejemplo. La factura bancaria puede considerarse un nicho,
en la tcnica que se haba tornado una bola de nieve el ao anterior. sistema muy local, y an en 2015, tres familias de malware surgieron
visando especficamente eso.
Redes Sociales Los ataques similares, localizados en todo el mundo, demuestran que
los cibercriminales se estn esforzando para manipular a las vctimas,
100% no importa el lugar ni el idioma. La adaptacin de fraudes de phishing
90
2013 2014 2015 que utilizan toolkits de phishing torna extremadamente fcil dirigir
81 una campaa contra un blanco en un pas, alterar los templates, y esta-
80 76
70 blecer rpidamente otro blanco en otro lugar. Muchas veces, el len-
70 guaje utilizado en tales ataques localizados es traducido automtica-
60 mente a travs de los templates y puede parecer convincente a alguien
50 que no es nativo del idioma.
40
30
Nmero de Direcciones URL de Phishing en las Redes
23
20 17
Sociales
7 TT El grfico muestra como las redes sociales han desempeado un papel
10 5 5 crucial en la ingeniera social de ataques en el pasado. En los ltimos aos,
2 2 1 2 0 0 <1
esos sitios web han combatido tales abusos y se ha tornado mucho ms
Uso de Datos Ofertas Likejacking Aplicativos Plugins difcil explorarlos para los responsables de los ataques.
Compartidos Falsas Falsos Falsos
Manualmente 30.000
25.000
TT Desconfe de los nuevos seguidores. Si alguien aleatorio lo sigue, Abuso de Correo Electrnico
no lo siga automticamente. Verifique sus tweets. El contenido de
esas publicaciones de retweets se parece a spam? Si lo es, proba- El correo electrnico sigue dominando la comunicacin digital, inde-
blemente es un bot. pendientemente de la creciente popularidad de la tecnologa de men-
sajera instantnea tanto para uso de los negocios como para los con-
TT Los nmeros pueden mentir. Aunque esos seguidores aleatorios sumidores. Symantec estima que en 2015 haba en circulacin a cada
tengan decenas de miles de seguidores, esa cifra puede ser fcil- da cerca de 190.000 millones de correos electrnicos, una cifra que
mente falsificada. No tome su decisin de seguirlos basado en la consideramos que deba crecer en hasta un 4 % hasta fines de 2016. En
cantidad de personas que lo siguen. promedio, cada usuario corporativo envi y recibi 42 correos electr-
TT Busque el sello verificado. Los usuarios de Twitter deben siem- nicos por da, y un creciente nmero de individuos estn leyndolos
pre verificar para validar si una marca bastante conocida o una en dispositivos mviles. Para los cibercriminales que desean llegar al
celebridad fue verificada por Twitter antes de seguir al usuario. El mayor nmero de personas de manera electrnica, el correo electr-
emblema azul de verificado indica que Twitter autentic al ver- nico an es la mejor manera para lograrlo.
dadero dueo de una cuenta.
No es de extraar que tambin sea ampliamente utilizado por crimina-
Asumir riesgos con ciberseguridad no es aceptable, y debemos recha- les de Internet para spam, phishing y malware de correo electrnico.
zar la idea equivocada de que la privacidad no existe ms. La privaci- En 2015, Symantec vio un descenso en las amenazas de correo electr-
dad es valiosa y debe protegerse con cuidado. nico. Los ataques basados en correo electrnico de phishing y malware
son clasificados como spam, y fueron responsables por alrededor de
Para las empresas, eso significa tratar la seguridad en trminos de
1 % de todos los spam de correo electrnico. Symantec brinda un
educacin, entrenamientos de concientizacin de ciberseguridad, as
anlisis ms profundo de spam clasificado como malware y phishing,
como una buena higiene digital. Cada funcionario debe formar parte
debido a que estas amenazas tienen, potencialmente, consecuencias
del esfuerzo, para que la empresa permanezca digitalmente saludable.
perjudiciales significativas.
Los CIOs y los gerentes de TI necesitan saber exactamente cuntos
riesgos enfrentan y comenzar de forma proactiva el monitoreo de los Symantec escanea una proporcin significativa del trfico de correo
sntomas a fin de que puedan diagnosticar enfermedades digitales electrnico de negocios global, lo que nos brinda una perspectiva
antes de poner los datos de los clientes y la confianza de los consumi- nica sobre este medio y las amenazas de seguridad que ella presenta.
dores en peligro. Muchos correos electrnicos de negocios no se enviarn fuera de una
organizacin, con alrededor del 75 % del trfico de correo electrnico
entrante de negocios externos, y ms de la mitad de este volumen
AMENAZAS PARA CORREO como spam.
ELECTRNICO Y COMUNICACION
Tendencias de Spam
Los sistemas de TI siguen sufriendo A pesar de un descenso gradual en los ltimos aos, en 2015 ms de la
ataques de malware en rpida evolucin. mitad del trfico de correo electrnico de negocios entrante era spam.
En 2015, el spam lleg a su nivel ms bajo desde 2003. No obstante,
El correo electrnico sigue siendo el medio el problema de spam est lejos de acabar. Los spammers estn encon-
trando otras formas de llegar a sus pblicos, incluyendo el uso de las
social predilecto de los cibercriminales y redes sociales y la mensajera instantnea, dos de los ms populares
el volumen de correo electrnico contina tipos de aplicativos encontrados en los dispositivos mviles. Al explo-
rar estos medios as como el correo electrnico, los spammers buscan
creciendo, incluso con el descenso del constantemente evolucionar sus tcticas.
volumen de phishing y spam, siendo Asimismo, Symantec ha observado un aumento en lo que es comn-
mente conocido como snowshoe spam. Como una analoga, las
que el spam fue responsable de ms de raquetas de nieve son diseadas para distribuir el peso del usuario a
la mitad del trfico entrante de correo travs de una vasta rea, y snowshoe spamming distribuye grandes
volmenes de spams mediante una amplia gama de direcciones de IP.
electrnico. Los ataques de phishing Como el nombre lo indica, esta tcnica visa burlar la tecnologa antis-
pam, como latencia de propagacin y reputacin de direccin IP, a tra-
fueron ms dirigidos y los correos vs del envo de grandes volmenes de mensajes de spam en perodos
electrnicos maliciosos crecieron en muy cortos. Tras hacer rpidamente la rotacin de dominios y direc-
ciones IP de recirculacin, eso puede tornar ms difcil bloquearlos
nmero y complejidad, destacando como rpidamente.
Indicador General de Spam de Correo Electrnico Porcentaje de Spam de Correo Electrnico por Sector
TT Algunos sectores reciben ms spam que otros, pero el intervalo es de
apenas el 5%.
Porcentaje de Correo
Sector Electrnico que es
Spam
Minera 56,3%
Manufactura 54,2%
Construccin 53,7%
Servicios 53,0%
Indicador Global Previsto Diariamente para Spam de Agricultura, Forestal y Pesca 52,9%
Correo Electrnico
TT En junio, por primera vez el spam cay por debajo de 50% desde 2003. Comercio Minorista 52,7%
60
Finanzas, Seguros y Mercado Inmobiliario 52,1%
50
20
Sectores No Relacionados a los SIC (Standard Industrial Classification)
10
Salud 54,1%
2013 2014 2015
Energa 53,0%
1-250 52,9%
251-500 53,3%
501-1000 53,3%
1001-1500 51,9%
1501-2500 52,6%
2501+ 52,5%
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 33
1 DE CADA
1.500
ataques para sus propios fines, o venderlos en mercados clandestinos
en busca de lucro. 1.800
2.100
Symantec ha reportado un aumento alarmante en el nmero y sofis-
2.400
ticacin de intencin de phishing, teniendo como objetivo los depar-
2.700
tamentos especficos dentro de las organizaciones. Si bien algunos
3.000
intentos de phishing pueden parecer obvios, como los correos electr-
nicos falsos de acompaamiento de entrega, los departamentos jur-
dicos y financieros en algunas empresas fueron objeto de ataques de
phishing bien elaborados. Relacin de Phishing en Correo Electrnico por Sector
TT El sector Minorista fue el sector ms fuertemente expuesto a ataques de
Algunos de estos ataques incluyen tentativas de transferencia ban-
phishing en 2015.
caria, y, si bien puede parecer sorprendente, algunas empresas han
perdido millones de dlares, porque los funcionarios creyeron que
Relacin de Phishing
los pedidos de transferencia bancaria y otros ataques de phishing
Sector x
eran verdaderos. La ingeniera social involucrada en estos ataques de Correo Electrnico
phishing es ms sofisticada y dirigida. Ellos no slo envan fraudes
genricos hacia un gran nmero de personas, sino tambin tratan de Comercio Minorista 1 de cada 690
desarrollar relaciones continuas, validando el acceso a la informacin
de la empresa, y construyendo la confianza. Administracin Pblica 1 de cada 1.198
Indicador de Phishing de Correo Electrnico (No Spear Phishing) Transporte & Servicios Pblicos 1 de cada 2.948
2013 2014 2015 Sectores No Relacionados a los SIC (Standard Industrial Classification)
1 DE CADA
160
1001-1500 1 de cada 2.212 200
240
1501-2500 1 de cada 1.601 280
320
2501+ 1 de cada 2.862
360
Comercio Minorista 1 de cada 74 TT Los clientes pueden verificar su dominio en relacin a Logjam,
y otras vulnerabilidades importantes, utilizando SSL Toolbox de
Administracin Pblica 1 de cada 151 Symantec.
TT Utilice esta herramienta gratuita para verificar si existen
Agricultura, Forestal y Pesca 1 de cada 187 problemas importantes, como POODLE o Heartbleed, as como
errores potenciales en la instalacin de su(s) certificado(s) SSL/
TLS.
Servicios 1 de cada 199
Indicador de Malware en
Tamao de la Empresa
Correo Electrnico
251-500 1 de cada 82
ATAQUES DIRIGIDOS
ATAQUES DIRIGIDOS
ATAQUES DIRIGIDOS, SPEAR Ataques Persistentes
PHISHING Y ROBO DE En febrero de 2015, 78 millones de registros de pacientes fueron
expuestos a una gran violacin de datos en Anthem, el segundo
PROPIEDAD INTELECTUAL mayor proveedor de cuidados de la salud en Estados Unidos. Syman-
tec rastre el ataque a un grupo con muchos recursos financieros,
Los ataques generalizados, persistentes, llamado Black Vine, que posee asociaciones con una organizacin
de seguridad de TI basada en China, llamada Topsec. Black Vine es
y sofisticados contra las organizaciones responsable de la realizacin de campaas de ciberespionaje contra
industrias de varios segmentos, incluso energa y aeroespacial, que
gubernamentales y las empresas de todos utiliza malware avanzado y personalizado.
los tamaos ofrecen mayores riesgos a Otros blancos de ciberespionaje de destaque en 2015 incluyen a la
la seguridad nacional y a la economa. El Casa Blanca, el Pentgono, Bundestag alemn, y el Departamento
de Gestin de Personal del gobierno de Estados Unidos, que perdi
nmero de vulnerabilidades de da cero 21,5 millones de archivos personales, que incluyen informacin con-
fidencial, como registros de salud y financieros, registros de prisin,
creci, y las evidencias de que estn siendo e incluso datos de huellas digitales.
usadas como armas para ciberataques Estos ataques forman parte de una creciente ola de ataques sofisti-
cados de ciberespionaje, bien financiados y persistentes en todo el
fueron reveladas. Las campaas de mundo. Los blancos incluyen secretos de Estado, propiedad intelec-
spear phishing se han tornado ms tual, tales como proyectos, patentes y planos y, como evidenciado
por violaciones de datos recientes, informacin personal.
furtivas, teniendo como blanco menos
La investigacin continua de Symantec sobre Regin Trojan nos brinda
individuos dentro de un nmero menor de una nueva visin sobre las capacidades tcnicas de los grupos de
ataque patrocinados por naciones. Trojan revel 49 nuevos mdu-
organizaciones especficas. los, cada uno de los cuales agrega nuevos recursos, como keylogging,
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 38
ATAQUES DIRIGIDOS
correo electrnico y acceso a archivos, y una extensa infraestructura de Diversidad en Ataques de Da Cero
comando y control. Los analistas de Symantec han comentado que el
nivel de sofisticacin y complejidad de Regin sugiere que el desarrollo Hubo un indito nmero de 54 vulnerabilidades de da cero encontradas
de esa amenaza podra haber tomado a los equipos de desarrolladores durante el ao de 2015, ms del doble del nmero encontrado el ao
con vastos recursos financieros un perodo de muchos meses o aos para anterior. El hallazgo de vulnerabilidades desconocidas y descubrir cmo
desarrollarse. explorarlas se ha tornado evidentemente una tcnica de trabajo de los
grupos de ataques avanzados, y no existen ninguna seal de cambio de
Actualmente, los ataques de spear phishing y watering hole que explo- esta tendencia.
ran sitios comprometidos son los caminos favoritos para los ataques
dirigidos. No obstante, al mismo tiempo que las capas adicionales de
Vulnerabilidades de Da Cero
tecnologa son introducidas a una organizacin, se expande la super-
ficie de ataque. Con las empresas volviendose ms a tecnologas en la TT Las vulnerabilidades de da cero comandan precios altos en el mercado
negro. Debido a ello y a su propia naturaleza, se supone que el nmero de
nube y el predominio de dispositivos del Internet de las Cosas, espera-
vulnerabilidades de da cero que an se descubrir es mucho mayor.
mos ver ataques dirigidos que busquen explorar las vulnerabilidades
en esos sistemas dentro del prximo ao o dos. Los servicios en la nube 2013 Migracin 2014 Migracin 2015
especialmente vulnerables a exploits, como fallas de inyeccin de SQL,
probablemente sern los primeros blancos. Las campaas de spear
phishing que exploran configuraciones incorrectas y falta de seguri- 23 +4% 24 +125% 54
dad de los usuarios, en lugar de los proveedores de servicios en la nube,
proporcionarn fciles oportunidades para los grupos de ataque.
A fin de permanecer sin que sean detectadas, las campaas de spear La mayora de los ataques de da cero vistos en 2015 tena como objetivo
phishing han aumentado en nmero, pero se han tornado menores, las tecnologas antiguas y fieles que fueron dirigidas por aos. Ac-
con menos personas como blanco en cada campaa. Esperamos que en mulo de ataques
breve, las campaas de spear phishing estn compuestas por apenas Durante el ao se encontraron 10 vulnerabilidades diferentes de da
un nico blanco, o algunos individuos escogidos en la misma organiza- cero contra Flash Player de Adobe. Microsoft recibi la misma atencin
cin. Adems, las campaas mayores de spear phishing probablemente por parte de los desarrolladores maliciosos de da cero, si bien las 10 vul-
sern todas conducidas usando ataques de watering hole basadas en la nerabilidades de da cero encontradas con su software como blanco fue-
web, con sitios comprometidos explorando altamente vulnerabilidades ron distribuidas entre Microsoft Windows (6x), Internet Explorer (2x) y
codiciadas de da cero. Microsoft Office (2x). El sistema operativo Android tambin fue atacado
por cuatro vulnerabilidades de da cero en 2015.
Vulnerabilidades de Da Cero y Watering Holes
Las vulnerabilidades de da cero son particularmente valiosas para los Vulnerabilidades de Da Cero, Total Anual
grupos de ataques. De hecho, viendo que las vulnerabilidades de da
TT El mayor nmero de vulnerabilidades de da cero fue divulgado en 2015, lo
cero son una mercadera aparentemente rara, los grupos de ataque
que evidencia un mercado de investigacin en evolucin en esta rea.
guardarn cuidadosamente sus exploits para que puedan utilizarse
por ms tiempo y permanezcan sin ser detectados.
70
Los ataques sofisticados de watering hole, que utilizan sitios compro-
metidos, se activan solamente cuando un visitante del sitio proviene de 60
54
una determinada direccin IP. De esta forma, reducir los daos colate-
rales torna menos probable que se descubra el ataque secreto. Adems, 50
ATAQUES DIRIGIDOS
1
En promedio, basado en 54 vulnerabilidades
2
symantec.com/connect/blogs/third-adobe-ash-
zero-day-exploit-cve-2015-5123-leaked-hacking-
team-cache
3
Tiempo total de exposicin para las 5 principales
vulnerabilidades de da cero
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 40
ATAQUES DIRIGIDOS
Lo que es alarmante, si bien no sorprendente, es que ocurrieron 11 Las 5 Principales Vulnerabilidades de Da Cero
vulnerabilidades de da cero que fueron usadas para explorar software
Exploradas con Mayor Frecuencia
de cdigo abierto. Algunos exploits tienen como blanco los paquetes y
las bibliotecas comunes, mientras que otros atacaron herramientas de TT Con excepcin de CVE-2015-0235, los exploits de da cero usados con
mayor frecuencia eran relacionados a las vulnerabilidades en Flash Player
desarrollo web de cdigo abierto, como sistemas de administracin de de Adobe.
contenido y plataformas de e-commerce. Los protocolos de red tam-
bin fueron grandes blancos, con ataques constantes contra OpenSSL,
as como Samba. 2015 Exploit 2015 2014 Exploit 2014
ATAQUES DIRIGIDOS
Campaas de Correo Electrnico Spear Phishing esa organizacin puede esperar ser blanco de un ataque por lo menos
cuatro veces durante el ao. Los grupos de ataque solo necesitan lograr
TT En 2015, el nmero de campaas aument, mientras que el nmero de
ataques y el nmero de destinatarios dentro de cada campaa continu
xito una vez, al tiempo que las empresas deben frustrar todo y cual-
disminuyendo. Con perodos ms cortos, queda claro que esos tipos de quier ataque para permanecer seguras. Las empresas ya deben estar
ataques estn tornndose ms furtivos. pensando sobre lo que hacer cuando (no se sabe) ocurra tal violacin.
CAMPAAS
90 900 adems de Salud que forma parte de la categora Servicios.
Ataques % Riesgo
Sector Distribucin
por Org del Grupo*
2012 2013 2014 2015
Finanzas, Seguros y
Mercado Inmobiliario 35% 4,1 8,7%
Nmero Promedio
Comercio Minorista 3% 2,1 2,4%
de Ataques de 779 779 779
Correo Electrnico
por Campaa
-76% -14% -52% Administracin Pblica 2% 4,7 3,2%
Establecimentos No
Clasificables 2% 1,7 3,4%
Duracin Promedio 8 Das 9 Das 6 Das
de una Campaa +173% +13% -33%
Minera 1% 3,0 10,3%
ATAQUES DIRIGIDOS
Industrias Blancos de Ataques de Spear Phishing por Las Industrias Blancos de Ataques de Spear Phishing
Grupo Salud por Grupo Finanzas, Seguros y Mercado Inmobiliario
TT La salud est incluida en el grupo de Servicios SIC, pero la tratamos de TT Instituciones Depositarias incluyen organizaciones del sector de bancos de
forma aislada aqu para dejar ms claro. minoristas.
Finanzas, Seguros y
Servicios de Salud <1% 2,0 1% Mercado Inmobiliario 34,9% 4,1 8,7%
Industrias Blancos de Ataques de Spear Phishing por Holding & Otras Agencias
de Inversin 8,3% 2,9 11,0%
Grupo Energa
TT Las empresas de energa son clasificadas en la categora de Minera Instituciones No
o Transportes y Servicios Pblicos, dependiendo de la naturaleza de su Depositarias 3,7% 6,7 5,3%
negocio. Tratamos las categoras de forma aislada aqu para dejar ms
claro.
Mercado Inmobiliario 1,4% 2,4 2,2%
Ataques % Riesgo
Sector Distribucin Agentes de Seguros,
por Org del Grupo* <1% 2,1 4,0%
Correctores y Servicios
Servicios Sanitarios,
Electricidad y Gas <1% 1,6 5,7%
Industrias Blancos de Ataques de Spear Phishing por
Grupo Administracin Pblica
Minera de Carbn <1% 1,0 8,1%
TT El sector de Administracin Pblica incluye tanto agencias gubernamentales
centrales nacionales como agencias gubernamentales locales..
Ataques % Riesgo
Sector Distribucin
por Org del Grupo*
Ejecutivo, Legislativo y
General 1,8% 5,7 3,6%
Administracin de
Programas Econmicos <1% 1,1 7,3%
Asuntos de Seguridad
Nacional e Internacionales <1% 2,5 3,5%
Administracin de
Recursos Humanos <1% 1,0 2,0%
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 43
ATAQUES DIRIGIDOS
Ataques de Spear Phishing por Tamao de la Organizacin Anlisis de Correos Electrnicos de Spear Phishing
Blanco Usados en Ataques Dirigidos
TT Los ataques contra pequeas empresas continuaron creciendo en 2015, TT Los documentos de Microsoft Office, como Word y Excel, permanecen
si bien, muchos de esos ataques fueron dirigidos a menos organizaciones, populares como un mecanismo de entrega de exploits que instalan
aumentando en 9%. malware en una computadora de destino. Tal vez de forma sorprendente,
los archivos ejecutables an son populares, sin embargo, representan por
100%
lo menos el 36% de los adjuntos de spear phishing en 2015. En malware
Grandes de correos electrnicos de ataques no dirigidos, los adjuntos de archivos
Empresas ejecutables han sido responsables de aproximadamente el 1,3% de los
35% 2.500+ adjuntos maliciosos.
39% 41%
Funcionarios
50% 50%
2015 2014
Tipo de Tipo de
Medianas Clasificacin Porcentaje Porcentaje
Adjunto Adjunto
Empresas General General
22% 251 a 2.500
31 % 25%
Funcionarios 1 .doc 40,4% .doc 38,7%
19%
32% Pequeas 2 .exe 16,9% .exe 22,6%
Empresas
43% (PYMES) 3 .scr 13,7% .scr 9,2%
31 %
30% 34% 1 a 250
18% Funcionarios 4 .xls 6,2% .au3 8,2%
0
2011 2012 2013 2014 2015 5 .bin 5,4% .jpg 4,6%
ATAQUES DIRIGIDOS
ATAQUES DIRIGIDOS
TT Advanced Threat Group 8 (ATG9, conocido como Emissary Panda) Ciberseguridad, Cibersabotaje y Luchando
- Ataques contra los sectores financiero, aeroespacial, inteligen-
cia, telecomunicaciones, energa e ingeniera nuclear en busca de Contra los Eventos de Cisne Negro
la propiedad intelectual; notable por explorar CVE-2015-5119, un Un evento Black Swan (Cisne Negro en Ingls) fue un evento sin
exploit de da cero revelado en la violacin de Hacking Team precedentes e inesperado en el momento que ocurri. Sin embargo,
TT Waterbug y Turla - grupo de espionaje ubicado en Rusia, enfocado tras posterior anlisis, los especialistas, a veces, concluyen que podra
en ataques de spear phishing y watering hole contra instituciones haber sido previsto. El trmino se origina de la creencia de que todos
gubernamentales y embajadas; se cree que est activa desde 2005 los cisnes eran blancos, hasta que en 1697, se descubrieron cisnes
negros en Australia. Si el ciberespionaje avanzado es tan comn, es
TT Butterfly - ataques contra corporaciones de ingresos de varios tal vez curioso que el cibersabotaje no lo es. Los recursos necesarios
miles de millones de dlares en las reas de TI, productos farma- para infligir daos fsicos son semejantes a los necesarios para
cuticos, commodities, incluyendo Facebook y Apple para infor- el ciberespionaje, y el blanco establecido est creciendo gracias a
macin privilegiada la proliferacin de dispositivos conectados a Internet, incluyendo
sistemas de control industrial.
Logrando Ganancias con Ataques Corporativos
La evaluacin de seguridad y de defensa del Gobierno britnico en
de Alto Nivel y el Efecto Mariposa 2015 resume los retos ordenadamente:
Butterfly (Mariposa en Ingls) es un grupo de hackers extremada-
mente bien organizado y altamente capacitado que espa empresas La gama de actores virtuales que amenazan al Reino Unido
con la intencin de lucrarse en el mercado de acciones por medio de ha crecido. La amenaza es cada vez ms asimtrica y global.
la venta de informacin sensible de mercado al postor ms alto. Los La ciberdefensa confiable y consistente normalmente exige
tipos de informacin al que el grupo de ataque potencialmente tuvo habilidades avanzadas y una considerable inversin. Sin
acceso incluye correos electrnicos, documentos legales, documentos embargo, un nmero creciente de naciones, con recursos
de polticas, materiales de entrenamiento, descripciones de productos, patrocinados por el Estado, est desarrollando capacidades
y los datos recopilados de sistemas especializados de seguridad. Estos avanzadas que son potencialmente implementables en
materiales robados tambin pueden ser valiosos porque representan conflictos, inclusive contra CNI [Infraestructura Nacional
una informacin estimable para el mercado de acciones. Crtica], e instituciones gubernamentales. Y los actores no
Symantec vi por primera vez esos ataques en 2012 y 2013, cuando estatales, que incluyen a los terroristas y cibercriminales
comprometieron a algunas empresas reconocidas tales como, Apple, pueden usar ciberherramientas y tecnologas fcilmente
Microsoft y Facebook. Sin embargo, tambin emplean medidas sofis- disponibles para fines destructivos
ticadas para cubrir sus rastros, incluyendo servidores de control y
El ciberataque Stuxnet sobre el programa nuclear iran es el mejor
comandos virtuales cifrados.
ejemplo conocido de un ataque de Internet contra una infraestruc-
tura fsica. Puede que otros ataques exitosos hayan ocurrido de forma
Lnea del Tiempo de Ataques Mariposa Contra los oculta o que las infecciones estn implantadas, pero an no han sido
Sectores de la Industria activadas. Parece improbable que la infraestructura crtica mundial
est inmune. A fines de 2014, un ataque en una usina siderrgica ale-
TT El grupo Butterfly acta desde hace varios aos, teniendo como blanco
una variedad de organizaciones, incluyendo aquellas relacionadas a la mana fue un aviso de los ataques potencialmente ms graves que estn
extraccin de recursos naturales. por venir.
TT Su uso de vulnerabilidades de da cero en ataques revela un nivel de
Las especulaciones sobre posibles casos de cibersabotaje continuaron
sofisticacin que no habamos visto antes en ataques comercialmente
motivados. en 2015, con el descubrimiento de una amenaza de robo de informa-
cin llamada Trojan.Laziok. Esta amenaza en particular parece haber
TT El grfico muestra una lnea del tiempo, desde cuando los ataques de
Butterfly comenzaron contra diferentes sectores de la industria.
sido proyectada para ataques de reconocimiento que visan el sector de
energa, principalmente en Medio Oriente. Laziok no fue proyectado
implcitamente para atacar y derribar la infraestructura crtica, sino
Jurdico para reunir informacin sobre los sistemas que comprometi. Como
discutimos en ISTR 20, esos ataques pueden ser tan potentes como
Tecnologa
los ataques directos contra los sistemas crticos, mejorando la capa-
Farmacutico cidad de un grupo de ataque para colocar mucha ms presin en un
ambiente, simplemente aprendiendo ms acerca de los tipos de siste-
Commodities mas que estn atravesando. Simplificando, si el grupo de ataque sabe
que tipos de computadoras puede comprometer, pueden decidir cmo
proceder, a fin de llevar a cabo sus objetivos maliciosos.
2012 2013 2014 2015 2016
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 46
ATAQUES DIRIGIDOS
Cibersabotaje y la Amenaza existe una prueba concreta en este caso. Lo que se sabe es que el grupo
detrs de BlackEnergy Trojan ha estado activo por muchos aos y tiene
de Warfare Hbrido como blanco varias organizaciones en Ucrania, as como pases de
La nocin de amenazas hbridas ha estado presente por un largo Europa Occidental, NATO y otros. En torno de la poca de esos ataques,
tiempo en ciberseguridad, tradicionalmente, refirindose a malware este grupo tambin fue descubierto atacando organizaciones de mdia
que posee muchos vectores diferentes de ataque, como implantar el en Ucrania. Es probable que ste no sea el ltimo caso que escuchemos
cdigo de un troyano malicioso en un dispositivo infectado e infectar hablar sobre ellos.
otro cdigo en el sistema, al diseminarse mediante el correo electr-
Los ataques de cibersabotaje en Ucrania han generado muchos debates
nico o algunos otros medios. El trmino warfare hbrido, sin embargo
sobre el uso y la eficacia de warfare hbrido, y es probable que sta no
se refiere a un tipo de guerra que es una combinacin de informacin
sea la ltima vez que escuchemos hablar de ese tipo de ataque, par-
convencional y no convencional y ciberguerra. De acuerdo con NATO,
ticularmente por el hecho de que las tensiones internacionales sigan
el trmino surgi aproximadamente en 2005 y fue posteriormente
siendo elevadas en algunas partes del mundo y la administracin de
usado para describir la estrategia utilizada por Hezbollah en la Guerra
riesgos de ciberterrorismo obtenga un mayor destaque en la lista de
del Lbano de 2006.
muchos gobiernos nacionales.
A partir de fines de 2015, las especulaciones sobre cibersabotaje se
transformaron en indicios concretos de tal ataque. El 23 de diciembre, Las Pequeas Empresas y el Caso del
una falla de energa afect la regin de Ivano-Frankivisk al oeste de
Ucrania. Los detalles surgieron en el transcurso de los prximos das Ataque a General Linens Service
y semanas, que se refera a un ciberataque multifacetado que no solo Es evidente que las pequeas empresas poseen presupuestos menores
cort la energa en ocho provincias de la regin, sino tambin enmas- de TI, y, por consiguiente gastan menos en ciberseguridad que las gran-
car la actividad de los responsables del ataque y torn difcil evaluar des empresas. No obstante, esta tendencia ha proseguido durante aos,
la magnitud de la interrupcin. a pesar de las evidencias que muestran una mayor proporcin de ata-
ques de spear phishing dirigidos anualmente a las pequeas empresas.
El malware detrs del ataque parece ser una combinacin potente
de BlackEnergy Trojan (Backdoor.Lancafdo) y Trojan.Disakil. Con el En 2015, el 43% de los ataques dirigidos de spear phishing bloqueados
objetivo de realizar el ataque, BlackEnergy Trojan fue probablemente por Symantec era destinado a las pequeas empresas, en comparacin
usado para entrar a la red, permitiendo que los responsables del ata- con el 34% en 2014. Del mismo modo, el foco de los grupos de ataque
que reuniesen informacin sobre las computadoras que haban com- se torn ms especfico, concentrndose en menos empresas, y cerca
prometido hasta que llegaron a los sistemas crticos, lo que les permi- del 3% de las pequeas empresas fue blanco en 2015, en comparacin
ti desconectar disyuntores, ocasionando la prdida de electricidad en con el 45% del ao anterior. En promedio, estas organizaciones fueron
la regin. Sin embargo, no fue el propio troyano el que interrumpi la blanco al menos dos veces durante el ao. Este cambio de una estra-
energia. Al contrario, permiti que los responsables del ataque descu- tegia de ataques ms diseminados en 2014 hacia una estrategia ms
briesen los sistemas crticos y, enseguida, obtuviesen el total control parecida a un francotirador, con ataques dirigidos a menos blancos en
sobre ellos, para que despues pudieran usar el software original en los 2015, tambin ayuda a mantener esos ataques ocultos.
sitemas para derribar la red electrica.
Uno de los retos ms difciles es saber cundo su organizacin est en
Si bien es notable hasta este punto, los responsables del ataque pare- el punto de mira de los grupos de ciberataques, especialmente cuando
cen haber planeado el ataque de forma muy detallada, ya que fueron la mayora de las noticias de ciberseguridad se concentran en las nacio-
capaces de prolongar la interrupcin ms all del perodo necesario nes disputando secretos corporativos, y las decenas de millones de
para identificarlo como un ciberataque real. Una manera que les per- informaciones de tarjetas de crdito y otros datos personales expuestos
miti hacer eso fue a travs de la realizacin de un ataque de negacin en violaciones. Se torna muy fcil creer que un ataque dirigido apenas
de servicio (TDoS) contra el call center del distribuidor de energa, que sucede con otras empresas. Sin embargo, ningn negocio es demasiado
Impeda a los clientes de llamar, dejando a los operadores sin informa- pequeo o demasiado oscuro para tornarse un blanco y un buen ejem-
cin concreta acerca de la magnitud de la interrupcin. plo que demuestra esto es el Ataque de la Ropa Sucia.
No obstante, esa combinacin de estrategias parece estar relacionada Probablemente un blanco improbable, General Linens Service, Inc. es
al uso de Trojan.Disakil en el ataque. Un troyano altamente destruc- una empresa muy pequea, con apenas una sede y 35 funcionarios.
tivo, Disakil fue probablemente utilizado para reemplazar los archivos Ofrece un servicio de ropa de cama y bao para restaurantes y el seg-
de sistema y limpiar los registros maestros de inicializacin en com- mento hotelero, que incluye la limpieza de uniformes y alfombras. A
putadoras que los operadores utilizaran para conectar nuevamente la pesar de ser un blanco improbable para una nacin, la competencia,
energa. De ese modo, no slo la energa fue interrumpida, sino tam- General Linen Services, LLC., estuvo escondida en su red durante dos
bin los sistemas utilizados para restaurarla, obligando a los operado- aos. Quizs la eleccin del nombre semejante de la empresa fue algo
res a restaurar manualmente la energa sin poder usar el software que premeditado, pues durante dos aos fueron capaces de robar clientes
normalmente estara disponible. accediendo a las facturas fiscales de la empresa, blanco del ataque, lo
que les permita ver el valor que estaban cobrando, brindndoles una
Como sucede con cualquier ciberataque, es difcil identificar a los res-
ventaja significativa. La pregunta era cmo ellos obtuvieron lograrlo;
ponsables. Basado en evidencias circunstanciales y disputas geopol-
una pequea empresa ejecutando ciberataques en un rival pareca
ticas actuales, es bastante fcil sacar conclusiones; sin embargo, no
extremo. Sin embargo, se pudo constatar que los responsables del
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 47
ATAQUES DIRIGIDOS
ataque notaron que ambas empresas usaban el mismo software para La Oscuridad No Es Una Defensa
su portal web, y la empresa blanco del ataque no alter la contrasea
estndar de administracin. Esto permiti a los invasores acceder a sus La ms valiosa forma de proteccin contra el ciberespionaje es simple-
datos 157 veces. La buena noticia es que General Linen Services, LLC mente tener conocimiento de lo que pueda suceder. Todas las empre-
fue descubierta y condenada, y General Linens Service, Inc. descubri sas son potencialmente vulnerables a los ataques dirigidos utilizando
la importancia de seguir las mejores prcticas de seguridad. tcnicas como watering hole y spear phishing. El tamao pequeo o la
oscuridad de una empresa no representan proteccin.
Sistemas de Control Industrial De hecho, en 2015, las pequeas empresas representaban un mayor
Vulnerables a Ataques porcentaje (43%) de los ataques de spear phishing, pero la probabili-
dad de ser blanco de un ataque ha disminuido. Si bien ms ataques se
Los sistemas de control industrial (ICSs) son encontrados en muchas destinaron a ese grupo, se han concentrado en un nmero menor, ms
reas de produccin industrial y los servicios pblicos mundialmente, discreto de empresas (3%).
y son de forma rutinaria conectados a Internet para monitoreo y con-
trol remoto. El hallazgo de vulnerabilidades en esos sistemas es una Compare eso con las grandes empresas, que respondieron por 35%
importante rea de investigacin, enfatizada por el crecimiento del de los ataques de spear phishing, y 1 de cada 2,7 (38%) fue blanco de
nmero de estas vulnerabilidades en 2015. ataques al menos una vez. Esto sugiere una escala mucho ms amplia
donde las campaas eran ms dispersas en su abordaje.
Se estima que el nmero real de vulnerabilidades que afectan ICSs es
mucho mayor, ya que muchas organizaciones estandarizan sus plata- Al reconocer el riesgo, las organizaciones pueden tomar medidas para
formas utilizando productos finalizados para el uso (COTS), tales como protegerse, rever sus planes de seguridad y respuesta a incidentes,
Windows o Linux, que tambin estn sujetos a vulnerabilidades, pero recibir consultora y ayuda si es necesario, as como tambin actuali-
que no son contados en estos resultados. Adems, los sistemas de ges- zar las defensas tcnicas, implantar polticas de personal y capacita-
tin ICS conectados a las redes de empresas pueden aumentar poten- ciones eficientes, adems de mantenerse actualizados con las ltimas
cialmente la exposicin a las amenazas ms tpicamente asociadas con informaciones.
esos sistemas operativos.
Vulnerabilidades
160 74 80
Proveedores nicos
140
135 70
120 60
100 50
80 75 40
60 30
39 35
40 13 20
7 9
20 10
VIOLACIONES DE DATOS
Y PRIVACIDAD
datos prosiguieron en 2015, dejando Ayudado en gran parte por esta violacin gigantesca, el nmero
total global de identidades expuestas creci 23%, para 429 millones.
perjuicios nunca antes vistos para las Lo ms alarmante es que este nmero probablemente sea mucho
vctimas. El nmero de megaviolaciones mayor, debido a la creciente tendencia de las organizaciones en limi-
tar la informacin divulgada sobre la magnitud de las violaciones que
subi al mayor nivel desde 2013. El sufren. En 2015, el nmero de violaciones reportadas que no inclu-
yeron un nmero de identidades expuestas aument el 85%, de 61
nmero de violaciones en el que toda para 113. Symantec estima que si esas violaciones fuesen reportadas
la magnitud de una violacin no fue con nmeros completos, el total de identidades expuestas sera, por lo
menos de, quinientos millones.
revelada, aument; menos empresas Es un nmero impresionante, pero tambin repleto de especulacin
se negaron a publicar los nmeros, a basado en datos incompletos. El nmero promedio de identidades
expuestas por violacin disminuy alrededor de un 33%, para 4.885
menos que fuesen exigidas por la ley. identidades por violacin. Sin embargo, eso no disminuy la causa de
preocupacin, pues sugiere que los datos robados en estas violaciones
son ms valiosos y el impacto para el negocio es mayor de lo que en
aos anteriores.
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 49
Lnea del Tiempo de Violaciones de Datos Removiendo esta violacin, los Servicios Sociales quedan en la parte
inferior de la lista. (Coincidentemente, ste es el lugar donde la cate-
TT Una gigantesca violacin en diciembre de 2015 ayud a establecer un
nuevo rcord de identidades expuestas en un ao. Con un total de 41, el
gora queda dentro de la lista de sectores, en relacin al nmero de
mes de julio tambin vio el mayor nmero de violaciones en un mes. infracciones.)
200 195 40
Nm. de Incidentes
175 34 35
33 30
INCIDENTES
250 (Millones) 250
NMERO DE INCIDENTES
125 26 25
26 22
Nm. de Incidentes
100 93 23 20 200
200 200
18
75 15
13 150 150
50 42 10 120
11
22 22 100 100
25 13 17 11 11 5
.4 2 .2
50 33 50
28 30
F M A M J J A S O N D 17 12 11
2015 6
Servicios Finanzas, Admin. Comercio Comercio
Seguros y Pblica Mayorista Minorista
Mercado
Una gigantesca violacin en diciembre de 2015 ayud a establecer un Inmobiliario
nuevo rcord de identidades expuestas en un ao. Con un total de 41,
el mes de julio tambin vio el mayor nmero de violaciones en un mes.
NMERO DE INCIDENTES
150 Nm. de Incidentes 150
El promedio de premios de seguros para los minoristas subi 32% en 120
125 125
el primer semestre de 2015, y el sector de la salud vio triplicar algu-
100
nos premios. Reuters relata tambin que las franquicias ms grandes 100 100
les
os
os
Du les
os
d
ra
ra
ro
lu
ici
ne
cia
ia
Sa
do
de
on
ar
ca
um
Ge
So
ra
de
Se
es
rs
r
Se Edu
rre s H
y
Pe
pr
os
os
y
e
o
Em
es
ici
tiv
As
os
o
s
ios
ici
re
s
en
sla
rv
ici
ur
c
to
s
Se
rv
i
c
o
v
-B
gi
Re
ici
er
Se
Le
rv
S
Co
a
de
o,
ist
Se
tiv
ro
or
n
cu
gu
ay
c i
Se
M
ist
cio
de
in
s
te
m
Ad
en
Co
Hechos Sobre el
Ataque en Anthem
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 51
10 Principales Sectores que Sufrieron Violaciones por 10 Principales Sectores que Sufrieron Violaciones por
Nmero de Incidentes Nmero de Identidades Expuestas
TT Los Servicios de Salud son clasificados como un sub-sector dentro del TT El sector de Servicios fue responsable del 60% de las identidades expuestas,
sector de servicios, y 120 de las 200 violaciones que ocurrieron en el sector la mayora de las cuales estaban en el sub-sector de Servicios Sociales..
de servicio fueron atribuidas al segmento de la salud.
Nmero de % de Nmero de % de
Sector Sector
Incidentes Incidentes Incidentes Incidentes
10 Principales Sub-Sectores que Sufrieron Violaciones 10 Principales Sub-Sectores que Sufrieron Violaciones
por Nmero de Incidentes por Nmero de Identidades Expuestas
Nmero de % de Nmero de % de
Sector Sector
Incidentes Incidentes Incidentes Incidentes
Administracin de Recursos
4 Aseguradoras 17 5,6% 4 21.501.622 5,0%
Humanos
Hoteles y Otros Agentes de Seguros,
5 14 4,6% 5 19.600.00 4,6%
Alojamientos Correctores y Servicios
Comercio Mayorista -
6 10 3,3% 6 Servicios Empresariales 18.519.941 4,3%
Bienes Duraderos
Comercio Mayorista -
7 Restaurantes y Bares 9 3,0% 7 11.787.795 2,7%
Bienes Duraderos
Ejecutivo, Legislativo y Ejecutivo, Legislativo y
8 9 3,0% 8 6.017.518 1,4%
General General
Esto pone en discusin como el riesgo influye en una violacin de Principales Sectores Filtrados por Identidades Ex-
datos. Un sector puede sufrir un gran nmero de violaciones de datos
puestas, Causados por Hacking y Robos Internos
o exponer un gran nmero de identidades, pero eso significa que los
datos en si estn siendo usados para fines nefastos? Identidades
Sector
Expuestas
Por ejemplo, el 48% de las violaciones de datos fue causado por datos
accidentalmente expuestos. Los datos personales en esos casos fueron 1 Aseguradoras 100.301.173
de hechos expuestos, ya sea por una empresa compartiendo datos con
las personas equivocadas o un sitio mal configurado que, inadvertida- 2 Servicios Personales 40.500.000
mente, hizo que los registros privados se transformasen en pblicos.
Pero estos datos fueron obtenidos por personas con intenciones mali- 3 Administracin de Recursos Humanos 21.500.000
ciosas? En muchos casos, es probable que no. Es improbable que una
abuela jubilada que accidentalmente recibe por correo electrnico el
4 Agentes de Seguros, Correctores y Servicios 19.600.000
registro de salud de otra persona, transforme esta informacin en un
robo de identidad. No significa que eso nunca suceda, apenas una gran
5 Servicios Empresariales 18.405.914
mayora de tales violaciones de datos es de menor riesgo.
Lo que presenta un riesgo mucho mayor son los casos en los que los En trminos de identidades expuestas en violaciones de alto riesgo,
hackers o robo de informacin privilegiada fueron la causa de una vio- los sub-sectores de Aseguradoras y Agentes de Seguros, Correcto-
lacin. stos son los casos en los que el motivo ms probable era robar res y Servicios aparecen entre los cinco primeros. Entre estos dos
datos. En estos casos, aqu le damos algunos ejemplos de sectores de sub-sectores estn casi la mitad de las megaviolaciones observadas
alto riesgo. en 2015. Eso presenta un otro tem interesante: de las violaciones
relacionadas a seguros, casi 40% tambin contenan registros de
Principales Sectores Filtrados por Incidentes, Causados salud. Dada la sobreposicin entre los costes de salud y las com-
paas de seguros que cubren esos costes, eso no es muy sorpren-
por Hacking y Robos Internos
dente. Lo que es preocupante es que los grupos de ataque pueden
Nmero de haber descubierto que estos datos altamente valorizados estn dis-
Sector ponibles en sectores relacionados con el de seguros, y en nmeros
Incidentes
mucho mayores que los encontrados en pequeos hospitales o con-
1 Servicios de Salud 53 sultorios particulares.
10 Principales Tipos de Informacin Expuesta En octubre de 2015, el 40% de los consumidores norteamericanos
tenan tarjetas EMV, y se estima que el 25% de los comerciantes era
TT La informacin financiera incluye detalles de tarjetas de crdito robadas y
otras credenciales financieras. compatible con EMV. Con la migracin a la norma EMV, las tarjetas de
crdito son mucho ms difciles de clonar, ya que requieren la utiliza-
2015 2015 2015 2014 cin de un PIN para poder utilizarlas. Pese a que la transicin pueda
Tipo % Tipo % llevar algunos aos para ser implementada integralmente, al lado de
otras mejoras en la seguridad de los puntos de venta, debe causar que
1 Nombres Reales 78% Nombres Reales 69% los hurtos de gran escala en puntos de venta sean ms difciles y, segu-
ramente, menos rentables para los criminales.
Nmeros de
Direcciones
2 44% Documentos 45%
Residenciales
(ej.: SSN, CPF) La Amenaza Interna
Fechas de Direcciones Si bien los robos internos representaron apenas cerca del 10% de las
3
Nacimiento
41% Residenciales
43% violaciones de datos en 2015, el estudio NetDiligence Cyber Claims
inform que haba involucrado recursos internos en 32% de las solici-
Nmeros de
Informacin tudes presentadas a las aseguradoras en 2015. De acuerdo con su CEO,
4 Documentos 38% Financiera
36%
(ej.: SSN, CPF) un recurso interno desconforme fue acusado de haber sido el respon-
sable de una de las violaciones de datos ms divulgadas del ao, en
Fechas de Ashley Madison. Si bien eso no ha sido confirmado, si es verdad, el
5 Registros Mdicos 36% Nacimiento
35%
caso destaca los potenciales daos que un recurso interno malicioso
Informacin puede infligir.
6
Financiera
33% Registros Mdicos 34%
7
Direcciones de
21%
Nmeros de
21%
Principales Sectores que Sufrieron Violaciones por
Correo Electrnico Telfono
Nmero de Incidentes
Nmeros de Direcciones de El porcentaje de incidentes implicando robos internos creci de menos de
8
Telfono
19% Correo Electrnico
20% TT
1% en 2014 para 10% en 2015.
Nombres de usuario
9 Seguro 13% y Contraseas
13%
100%
Nombres de usuario 2014 % de Incidentes
90
10
y Contraseas 11% Seguro 11% 2015 % de Incidentes
80
70
Principales Causas de Violaciones de Datos por en el preludio para un ataque dirigido. El reconocimiento del valor
potencial de esos datos en manos equivocadas trajo como resultado
Identidades Expuestas
TT El porcentaje de identidades expuestas que fue accidentalmente publicado
aument para el 48%, del 22% en 2014.
la mejora de los servicios de redes sociales, restriccin en los controles
de privacidad y ms personas dando una mayor atencin a sus datos
100% personales. Por ejemplo, la decisin del "derecho a ser olvidado" del
2014 % de Incidentes Tribunal de Justicia de las Comunidades Europeas gener un gran
90
82% 2015 % de Incidentes impacto en la comunidad de recopilacin de datos en mayo de 2014,
80
siendo que hasta el final de 2015, Google haba recibido 348.085 soli-
70
citudes de exclusin de la lista de resultados de bsquedas especficas.
60
52%
50 48% Si bien muchos pensaban que eso solamente beneficiara a aquellos
40
que quieren esconder escndalos o evitar incriminaciones, de acuerdo
con FAQ de Google, algunos de los casos ms comunes para la remocin
30
son sitios que contienen informacin de contacto personal o direccio-
20 17%
nes, adems de "contenido que se refiere nicamente a la informacin
10
sobre la salud, orientacin sexual, raza, etnia, religin, filiacin pol-
<1% <1% <1% <1%
tica y estado civil de las personas".
Grupo de Accidentalmente Hackeo o Prdida Robo
Ataques publicado de Computadora Interno
o Drive Y el Tribunal de Justicia de la Comunidad Europea aument el foco del
pblico sobre la privacidad nuevamente este ao cuando decidi que
el acuerdo "Safe Harbor", del ao 2000, era invlido. Como Monique
El porcentaje de identidades expuestas que fue accidentalmente publi- Goyens, directora general de la Organizacin Europea de Consumi-
cado aument para el 48%, del 22% en 2014. dores explic, la decisin confirma que "un acuerdo que permite que
las empresas de Estados Unidos simplemente declaren que adhieren
Las amenazas internas siempre fueron un tpico de destaque en ciber- a las reglas de proteccin de datos de la Unin Europea, sin ninguna
seguridad, pero en 2015, los rganos gubernamentales no slo comen- verificacin por parte de las autoridades de esta reivindicacin, clara-
zaron a notar eso, sino tambin a tomar medidas. mente no vale el papel de lo que est escrito". Como el peridico The
Guardian coment en la poca, la decisin puede "ayudar a detener al
TT Ms de tres de cada cuatro de las agencias gubernamentales de
gobierno de Estados Unidos de ser capaz de obtener acceso a los datos
Estados Unidos encuestadas en MeriTalk Federal Insider Threat
de los usuarios de la UE" y "puede abrir la puerta para nuevas investi-
Report dicen que su agencia est ms enfocada en la lucha contra
gaciones, reclamaciones y acciones judiciales de usuarios y entidades
las amenazas internas hoy de lo que a un ao atrs.
reguladoras de datos".
TT La organizacin Centre for Defence Enterprise, en el Reino Unido,
patrocin varios proyectos en 2015 con el objetivo de monitorear el Sin embargo, en febrero de 2016, la Comisin Europea y Estados Uni-
comportamiento digital de los funcionarios para predecir e identi- dos llegaron a un acuerdo sobre una nueva estructura para la trans-
ficar las amenazas internas en tiempo real, as como simuladores misin de datos transatlnticos: "EU-US Privacy Shield". La nueva
de aprendizaje para ayudar a las personas a identificar los riesgos. estructura fue concebida para abordar los requisitos establecidos por
el Tribunal de Justicia de la Comunidad Europea, tras la decisin de
Reglamentaciones de Privacidad y que la estructura de Safe Harbor era invlida. El comunicado de prensa
indica, "El nuevo acuerdo proporcionar obligaciones ms fuertes
el Valor de los Datos Personales sobre las empresas en Estados Unidos para proteger los datos perso-
Los cibercriminales no estn apenas interesados en "quien puede hac- nales de los europeos y ms fuerte monitoreo y fiscalizacin por el
kear", sino tambin en "quien puede efectuar la fuga de informacin". Departamento de Comercio de Estados Unidos y la Comisin Federal
Si los datos pueden ser robados en una violacin de datos, accidental- del Comercio (FTC), incluyendo una mayor cooperacin con las Autori-
mente en una fuga de datos, o incluso publicados online legtimamente dades Europeas de Proteccin de Datos".
en el pasado, los datos personales tienen valor en la economa alterna-
tiva. Hasta hace relativamente poco tiempo, muchas personas no reco- En una encuesta con siete mil personas en toda Europa, State of Pri-
nocan el valor potencial en la informacin personal de identificacin, vacy Report, publicado por Symantec en 2015, muestra que solamente
y muchas veces eran muy apticos para protegerlas. El advenio de las en el Reino Unido, 49% de los consumidores se preocupan con la segu-
redes sociales en la ltima dcada permiti que ms personas compar- ridad de sus datos. Y en toda la Unin Europea, las empresas de tecno-
tiesen ms datos personales que en cualquier momento en la historia, loga (22%), minoristas (20%) y las empresas de redes sociales (10%),
y los controles de privacidad no estaban en la vanguardia de muchos fueron las menos confiables. Symantec considera la falta de confianza
aplicativos de las redes sociales. en esas empresas como una cuestin de reputacin, posiblemente pro-
veniente de recientes incidentes de violacin de datos de alto perfil.
Los datos personales pueden y sern usados para cometer crmenes,
ya sea para realizar fraudes de identidad, o para mejorar la ingeniera Consideramos que crecer la resistencia en compartir la informacin
social en fraudes de phishing, o incluso como parte del reconocimiento personal y comenzar a alterar el comportamiento online entre los
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 56
consumidores. Una de las principales razones por las cuales la priva- Reduciendo el Riesgo
cidad de datos se est tornando una preocupacin tan grande es que
existe ahora un claro entendimiento entre los consumidores de que sus Al mismo tiempo que esos pasos son importantes, un gran nmero de
datos poseen valor. Los prestadores de servicios de tecnologa deben violaciones de datos tambin podra haber sido evitado con acciones de
tomar cuidado cuando el asunto es privacidad de datos, porque hasta sentido comn, que incluyen:
que el sector de tecnologa consiga tener la confianza de que har lo
TT Correccin de vulnerabilidades
correcto por la proteccin de datos de sus consumidores, se exigir
ms trabajo en los prximos aos para construir y mantener el nivel TT Mantener una buena higiene de software
de confianza necesario. TT Implantar filtros eficaces de correo electrnico
En cuanto las violaciones de datos proliferan y la vida de las perso- TT Usar prevencin de intrusin y deteccin de software
nas cada vez ms migra hacia un ambiente online, esperamos ver ms
TT Restringir el acceso de terceros a los datos de la empresa
reglamentaciones y ms inters judicial en la proteccin de la privaci-
dad individual en 2016 y en los prximos aos. Las empresas necesitan TT Si se necesita, emplear cifrado para proteger los datos confidenciales
ser ms transparentes con los clientes acerca de cmo mantienen la TT Implementar tecnologa de prevencin de prdida de datos (DLP)
seguridad de los datos. La seguridad necesita incorporarse en la cadena
Evidentemente, todas esas acciones estn relacionadas con la preven-
de valor de una empresa, pero tambin no debe ser vista internamente
cin de ataques externos. Cuando se trata de mitigar el riesgo de ame-
como un costo, sino como un requisito para conquistar clientes.
nazas internas maliciosas o accidentales, las organizaciones necesitan
Ilias Chantzos, Director Senior de Asuntos Gubernamentales de enfocar en la educacin de los funcionarios y en la prevencin de pr-
Symantec, coment: "Existe una real consistencia emergente de que dida de datos.
la privacidad es una ventaja competitiva para las empresas y que las
Debe difundirse a los empleados la higiene bsica de seguridad, de la
preocupaciones con la privacidad tambin determinan el comporta-
misma forma que recibimos consejos bsicos de salud, como cubrir nues-
miento de los consumidores. Es fundamental garantizar que los con-
tras bocas cuando tosemos o higienizamos las manos en los hospitales.
sumidores logren comprender para qu se est usando su informacin
Las organizaciones tambin deben hacer uso de tecnologa de preven-
y de qu forma est protegida".
cin de prdida de datos para localizar, monitorear y proteger sus datos,
en cualquier lugar dentro de la organizacin, para que sepan quin hace
lo que, con qu datos, en tiempo real. La tecnologa DLP puede impedir
que ciertos tipos de datos dejen una organizacin, tales como nmeros
de tarjeta de crdito y otros documentos confidenciales.
E-CRIMEN Y MALWARE
E-CRIMEN Y MALWARE
estn alcanzndolos mucho En la otra punta del mercado, un toolkit web para ataques de "dri-
ve-by download", que incluye actualizaciones y soporte 24x7, puede
ms rpidamente. Los ataques ser alquilado por entre US$ 100 y US$ 700 por semana, mientras que
de ransomware pueden haber los ataques distribuidos de negacin de servicio (DDoS) pueden ser
encomendados desde US$ 10 hasta US$ 1.000 por da. Y en el tope del
disminuido, pero tambin se estn mercado, una vulnerabilidad de da cero puede ser vendida por cientos
de miles de dlares. Adems, estos nmeros han sufrido pocas altera-
diversificando, incluyendo los ataques ciones desde 2014.
E-CRIMEN Y MALWARE
Manos al Alto Existen sin intermediarios que el criminal necesite pagar y nada para
mitigar los perjuicios a la vctima, maximizando de ese modo los
Ransomware se ha tornado cada vez ms dominante en los ltimos lucros.
aos y en 2014 muchos esperaban ver que esta tendencia continuara.
No obstante, mientras observamos la diversificacin de los ataques Una tctica de crypto-ransomware, que visa aumentar la presin sobre
de ransomware, el crecimiento del volumen no ha sido observado. Los las vctimas a pagar el rescate, amenaza a destruir la nica copia de
ataques migraron hacia dispositivos mviles, cifrado de archivos, y la clave secreta despus de un cierto tiempo, con los datos cifrados
cualquier cosa que un propietario pague para recuperar. potencialmente perdidos para siempre.
90
40.000
80
70 30.000
60
20.000
50
40
10.000
30
20
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
10
2015
05 06 07 08 09 10 11 12 13 14 15
Crypto-Ransomware como Porcentaje del Total de
Ransomware
En 2015, un investigador de Symantec demostr que las Smart TV TT Si bien el grfico indica un constante descenso en ransomware tradicional
eran potencialmente vulnerables a ransomware, a pesar de que eso no en 2015, crypto-ransomware ahora representa la mayora de todos los
ataques de ransomware.
haya sido observado en el mercado.
300 50
robada en el mercado negro y la introduccin de la norma EMV ms
40
segura (chip-and-PIN), para pago con tarjeta en Estados Unidos, se
200
redujo el valor estimado del dinero que los criminales pueden obtener 30
E-CRIMEN Y MALWARE
Hallazgos de Ransomware
Ransomware tambin tuvo como blanco los servidores web Linux en las operaciones interrumpidas, y sus pginas web y de redes sociales
2015, cifrando archivos asociados a aplicativos web, archivos y back- tambin fueron afectadas en el ataque. Los hackers publicaron docu-
ups. La evolucin de ransomware para Linux recuerda la evolucin mentos que alegaban ser los documentos de identidad y currculos de
de ransomware para Windows: las versiones iniciales eran bsicas y parientes de soldados franceses involucrados en las operaciones anti-
muchas veces usaban cifrado pobre, tornndose relativamente senci- ISIS en Irak y en Siria.
llo para recuperar los archivos cifrados. No obstante, as como sucedi
Ambos ejemplos destacan un caso evidente de terroristas que usan las
con ransomware para Windows, podemos esperar que los criminales
ciberamenazas como un instrumento para ampliar sus mensajes. El
detrs de esa nueva tendencia aprendan rpidamente con sus errores
Internet se ha tornado, no solamente una herramienta para la radica-
y se tornen ms sofisticados en el futuro.
lizacin online, sino tambin para la comunicacin entre los grupos
terroristas y para la financiacin de sus operaciones. Como consecuen-
Problemas Globales, Ataques Locales cia, las solicitudes para que las autoridades legales rompan los proto-
Con la llegada de las elecciones presidenciales en Estados Unidos, colos de cifrado deben tener un impacto ms amplio y duradero sobre
el spam que lleva a malware ha circulado usando como seuelo las la integridad tecnolgica de las comunicaciones va Internet como un
primarias presidenciales. Los spammers saben como aprovechar los conjunto.
temas de gran contenido emotivo, como eventos globales, la crisis
En una referencia al terrorismo, una reciente campaa de correo elec-
de los refugiados en Medio Oriente, inmigracin, asuntos de poltica
trnico se haca pasar por las autoridades policiales locales en Medio
externa, economa, e incluso terrorismo.
Oriente y en Canad, engaando a las personas a hacer la descarga de
En enero de 2015, las cuentas de Twitter y de YouTube del comando malware enmascarado como recomendaciones de seguridad que man-
militar de Estados Unidos fueron hackeadas por partidarios autotitu- tendran a la potencial vctima a salvo de potenciales ataques terroris-
lados del grupo terrorista jihadista ISIS (tambin conocido como IS, tas en su regin. El correo electrnico falsific las direcciones de las
ISIL o Daesh). El Comando Central de Estados Unidos coment que fue agencias de autoridades legales e incluy los nombres de funcionarios
un caso de "cibervandalismo", en lugar de una grave violacin de datos. que estaban an en sus funciones en la fecha de la campaa. La lnea
de asunto de los correos electrnicos muchas veces usaba el nombre de
Sin embargo, en abril de 2015, la red de televisin francesa TV5 Monde un empleado que trabajaba en la empresa que era el blanco.
inform que haba sido invadida por un grupo que reivindica pertene-
cer al grupo terrorista ISIS. Segn relatos, su estacin de TV tuvo todas Realizar este tipo de ataque convincente requiere algn nivel de inves-
tigacin, y aqu vimos que ese grupo lo efectu antes de enviar esos
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 60
E-CRIMEN Y MALWARE
correos electrnicos de phishing. Adems, sin cualquier informacin Las Consecuencias del Dyre y las Autoridades
de funcionarios, ellos enviaban correos electrnicos a otras personas
en la empresa como un punto de entrada, como el equipo de soporte Legales
al cliente o TI. Despus que la polica cerr varias grandes botnets financieras en
2014, Dyre asumi un lugar de mayor destaque. Adems de Dyre
Este nivel de investigacin y localizacin indica un profesionalismo cada
secuestrar navegadores web comunes e interceptar sesiones de Inter-
vez mayor, y est tornndose cada vez ms comn en fraudes de botnet.
net banking para robar informacin, tambin puede bajar malware
La economa clandestina no es apenas sobre la venta de bienes robados:
adicional para la computadora de la vctima, conectndolo a la red de
involucra a toda una industria de profesionales talentosos y organizacio-
computadoras botnet del autor del crimen.
nes que usted esperara ver en un sector legtimo de negocios.
E-CRIMEN Y MALWARE
A medida que se intensifiquen los riesgos para los cibercriminales, Cibercrimen y cmo Encontrar un Local Seguro
disminuirn las recompensas potenciales, aumentando la barrera de
entrada para quien desea ser un cibercriminal. Otros xitos notables Las organizaciones y los individuos necesitan percibir que, aunque
en 2015 incluyen: ellos no crean que son un blanco obvio para los cibercriminales, eso no
significa que no lo son.
TT DerrIbada de botnet Dridex. Botnet Dridex es especializado en
robar credenciales bancarias. En octubre, una operacin con las La clave es mantenerse vigilante a nivel personal a travs de:
autoridades legales internacionales involucr esfuerzos coordina- TT No abrir correos electrnicos de remitentes desconocidos.
dos para aislar miles de computadoras comprometidas, cortando
el control de estas mquinas de botnet, siendo que un hombre fue TT Buscar el candado y verificar el certificado SSL en sitios donde
condenado. No obstante, ste puede haber sido un xito aislado, ingrese datos sensibles.
pues Dridex sigue propagndose, indicando que muchos elemen- TT No use redes no seguras al acceder datos sensibles.
tos principales de la operacin an estn funcionando. De ese
modo, se supone que el grupo contine representando una seria Permanecer vigilante en el nivel organizativo a travs de:
amenaza durante 2016.
TT Implantacin de software de prevencin y deteccin de invasiones.
TT Derribada de botnet Simda. En abril, la infraestructura de propie-
TT Saber cules son los datos valiosos que usted tiene y aprovechar la
dad de los controladores de botnet Simda, que incluyen un nmero
tecnologa de prevencin de prdida de datos.
de servidores de comando y control, fue aprehendida por las auto-
ridades legales. De acuerdo con la Interpol, "Simda fue usado por TT Monitorear donde estn los datos y quien tiene acceso a los mismos.
criminales para obtener acceso remoto a computadoras que permi- TT Asegurarse de que usted tenga un buen plan de respuesta a inci-
ten el robo de datos personales, incluyendo contraseas bancarias, dentes cuando se detecte un ataque. No es una cuestin de lo que
as como para instalar y diseminar otras especies de malware". hacer si un ataque ocurre, sino cuando ocurre.
TT Aprehensin de Ramnit. En febrero, una operacin policial lide-
rada por Europol y con soporte de, entre otros, Symantec y Micro-
soft, aprehendi servidores y otras infraestructuras de propiedad
del grupo de cibercrimen detrs de la botnet Ramnit.
TT Las acusaciones relacionadas a fraudes de servicios financieros
y bancarios en varios pases. Las autoridades federales indicia-
ron por lo menos a cuatro hombres en conexin con los incidentes
de hacking que resultaron en el robo de ms de 100 millones de
registros de clientes. Ellos fueron acusados de invadir varias insti-
tuciones financieras y de operar un esquema de pump and dump
de acciones. Uno de los ataques ocurri en 2014 y recaud ms de
80 millones de registros de clientes, una violacin que el Departa-
mento de Justicia de Estados Unidos apod de "el mayor robo de
datos de clientes de una institucin financiera de Estados Unidos
en la historia."
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 62
NUBE &
INFRAESTRUCTURA
sufriendo ataques de malware en La ciberseguridad afecta a todos. Las empresas necesitan proteger sus
computadoras e infraestructura de TI para impedir el robo de datos,
rpida evolucin. Ningn sistema fraude y ataques de malware. De la misma forma, las empresas y los
consumidores deben preocuparse con ransomware que secuestra sus
operativo est automticamente datos para rescate, robo de identidad, y los grupos de ataque que usan
inmune y las amenazas de sus computadoras como un trampoln para atacar a otros.
malware contra Linux y Mac En un nivel fundamental, la misin de la ciberseguridad es proteger las
estructuras de TI en todas partes: computadoras, servidores y redes.
El problema es que el malware es omnipresente. En 2015, vimos un
Los X estn aumentando. Incluso los nmero mucho mayor de sistemas bajo ataque, que incluyen Linux,
sistemas virtualizados y alojados en Macs, computadoras virtualizadas y los sistemas en la nube. A cada
ao, la nube lidia con una cantidad mayor de nuestros datos, ya sea
la nube son vulnerables. Malware es para la gestin del relacionamiento con los clientes, servicios de
cobranza, redes sociales, correo electrnico mvil y toda una gama de
capaz de identificar los ambientes otras aplicaciones
virtualizados e infectarlos. Un camino para los ataques es mediante de la exploracin de vulne-
rabilidades y la mayora de los sistemas tiene vulnerabilidades. stos
existen en los sistemas operativos y aplicativos utilizados sobre los
mismos y son un aspecto importante de la ciberseguridad. Si una vul-
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 63
nerabilidad queda sin correccin puede dejar el camino abierto para Nada es Automticamente Inmune
ser explorada por grupos de ataque y ser usada para fines maliciosos.
Todos los aos los investigadores descubren nuevas vulnerabilidades, El ltimo ao, Symantec observ amenazas para casi todos los tipos
y las ms codiciadas son vulnerabilidades de da cero, un tipo especial de computadoras, sistema operativo y otros servicios esenciales de TI
de vulnerabilidad para la cual un parche an no est disponible. esenciales, que incluyen:
1.000
Mac OS X
El sistema operativo Mac OS X de Apple fue afectado por una serie
2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 de ataques en 2015, que inclua una amenaza ransomware de prueba
de concepto llamado Mabouia (detectado como OSX.Ransomcrypt),
la primera amenaza ransomware basada en archivo eficaz contra OS
Aquellos que tienen miedo de grmenes pueden no gustarle, pero las X. Anteriormente, se encontraron amenazas basadas en navegadores
bacterias y los virus cubren toda la superficie. Viven en nuestra piel y contra Macs, que inclua ransomware y tenan como blanco Safari
en el aire y no se marcharn. De la misma forma, las vulnerabilidades mediante un sitio malicioso.
son una parte del entorno computacional. Ellas tampoco se marcharn
y un abordaje descuidado en relacin a la aplicacin de parches, ya sea Adems, el volumen de malware para OS X duplic (crecimiento del
por descuido, error de configuracin, error humano o negligencia, es 100%) desde el inicio de 2015. En T1, Symantec bloque aproximada-
una de las principales causas de infecciones por malware. Los sistemas mente 3.650 ataques por da, subiendo para 7.255 hasta el final de T4.
bien administrados y actualizados de forma correcta poseen bastante
menos probabilidad de infeccin. Volumen de Malware Mac OS X
300.000
270.000
240.000
210.000
180.000
150.000
120.000
90.000
60.000
30.000
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
2015
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 64
250
2015 2014
Nombre del Nombre del
Clasif. Amenazas Amenazas
Malware Malware 200
Mac en % Mac en %
150
4 OSX.Keylogger 5,6% OSX.Keylogger 7,7% ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
2015
5 Linux.Spalooki 3,9%
6 Linux.Kaiten.B 3,8%
7 Linux.Mumblehard 2,4%
8 Linux.Moose 1,6%
9 Linux.Raubdo 1,0%
10 Linux.Xnote 0,5%
servidor, un invasor puede potencialmente infectar todos los sitios sistema operativo del host nativo, juntamente con otras mquinas vir-
alojados en el mismo, y a su vez a todos sus visitantes y clientes. tuales que son ejecutadas en la misma plataforma. Los grupos de ata-
que que exploran el bug VENOM podran potencialmente robar datos
Los grupos de ataque muchas veces suelen contaminan los servidores
confidenciales en cualquiera de las mquinas virtuales en el sistema
web comprometidos con un cdigo con enlaces para explorar toolkits,
afectado, y obtener acceso de alto nivel a la red local del anfitrin y
o enviar correos electrnicos de spam y robar nombres de usuarios y
sus sistemas. El bug VENOM (CVE-2015-3456) existe desde 2004, en
contraseas. Al mismo tiempo, los servidores web comprometidos son
el hypervisor de cdigo abierto QEMU, que muchas veces es instalado
muchas veces un trampoln a partir del cual un invasor llevar a cabo
por norma en una serie de infraestructuras virtualizadas que usan
una gran variedad de otros ataques, que incluyen ataques DDoS muy
Xen, QEMU y KVM. No obstante, es importante notar que VENOM no
poderosos, donde el ancho de banda de un proveedor de alojamiento
afecta hypervisors VMware, Microsoft Hyper-V y Bochs.
es considerablemente mayor que el de un usuario residencial con una
conexin de banda ancha. Hasta ahora, no existe informacin de la exploracin del bug VENOM
en el mercado, y los desarrolladores de QEMU y otros proveedores afec-
La proliferacin de toolkits de ataques automatizados y especializados
tados, desde entonces, crearon y distribuyeron parches para VENOM.
ha emergido, tornando ms fcil para los criminales realizar ataques
contra los sistemas Linux. Estos toolkits ayudan a los grupos de ataque Una en seis variantes (16%) de malware es capaz de detectar la presen-
a identificar los servidores potencialmente vulnerables, escaneando cia de un entorno virtualizado, en comparacin con 1 de cada 5 (20%)
por sistemas inseguros de administracin de contenido y otras aplica- en 2014. Esa capacidad puede ayudar al malware a evitar mejor la
ciones web expuestas. deteccin, especialmente en sistemas de sandboxing de seguridad que
usan virtualizacin. Ms preocupante es que un ataque puede detec-
Ransomware que tena a Linux como blanco tambin fue descubierto
tar el momento exacto en el que es capaz de explorar e infectar otras
en 2015, enfocado en determinados archivos con extensiones asocia-
mquinas virtuales en el mismo sistema.
das a aplicaciones web. El programa tambin cifraba archivos y direc-
torios que contenan la palabra 'backup', tornndose particularmente
difcil para cualquier persona sin backups externos. Proporcin de Muestras de Malware que son Capaces
de Identificar Equipos Virtuales
Sistemas Virtualizados y en la Nube TT Aproximadamente 16% de las instancias de malware son habitualmente
capaces de detectar e identificar la presencia de un entorno de mquina
La expresin "computacin en la nube" abarca una amplia variedad virtual, llegando a alrededor del 22% en T4.
de entornos y soluciones tcnicas, que incluyen modelos de software
como servicio (SaaS), plataforma como servicio (PaaS), o infraestruc-
25%
tura como servicio (IaaS). IaaS est creciendo en popularidad entre las
empresas, y a medida que ms servicios y datos son migrados hacia la 22 22
20
nube, acaba atrayendo ms la atencin de los investigadores de segu- 20 19
ridad y de los cibercriminales. Como sucede con cualquier sistema, 17 17
16 16 16
cada vez que una nueva capa es a un servicio, la superficie de ataque 15
15
aumenta. Mientras los entornos en la nube pueden sufrir con vulne- 12
rabilidades comunes, tales como fallas de inyeccin de SQL, tambin
10
pueden ser afectados por otros motivos. Por ejemplo, en 2015, Syman- 8
tec descubri que la incorrecta configuracin y la mala gestin (por
usuarios, no prestadores de servicios en la nube) dej a los sistemas 5
Protegiendo la Infraestructura de TI Es importante que el CIO entienda lo que la organizacin est haciendo,
y si ciertos equipos estn buscando servicios o aplicaciones que no
Delante de esas y muchas otras amenazas, los consejos bsicos son estn previstas, y enseguida, determinar cmo resolver esa necesidad
vlidos para todos los servicios de infraestructura, que incluyen los y ofrecer ese servicio de forma segura. Tener procesos adecuados es
servidores de archivos, servidores web, y otros dispositivos conectados esencial para proteger la informacin y los datos, aun cuando no se
al Internet: ingresen dentro de la empresa.
TT Mantngase informado acerca de las amenazas emergentes.
TT Mantenga los sistemas actualizados con parches y actualizaciones. ATAQUES DDOS Y BOTNETS
TT Use software de seguridad integrado que incluye tecnologa anti-
malware. Los ataques distribuidos de negacin
TT Use un firewall fuerte que solamente permita trfico conocido, de servicio (DDoS) estn creciendo
y revise regularmente logs de acceso para detectar actividades
potencialmente sospechosas. en nmeros e intensidad, pero la
TT Emplee proteccin multicapa, de modo que si una capa es compro- mayora tarda 30 minutos o menos.
metida, existan otras capas para proteger las diferentes reas del
sistema. La disponibilidad de botnets de
TT Aplique polticas consistentes y capacite efectivamente a los equi- alquiler ha alimentado este aumento
pos.
TT Controle los accesos basados en menos privilegios.
y probablemente veremos el Internet
TT Implante un sistema de prevencin y deteccin de invasiones en la de las Cosas proporcionar ms
red y monitoree los servicios de correo electrnico que se ejecutan
en el servidor.
sustento a esos ejrcitos de botnets.
TT Siempre mantenga backups externos.
Expansin de Ataques DDoS
Preocpese tambin con los sistemas en la nube. Aqu le damos algu-
nas consideraciones adicionales: Algunos ataques DDoS an permiten a los criminales muchas oportu-
nidades para recompensas financieras por medio de la extorsin y el
TT Proteja todas las credenciales usadas para acceder a las funciones chantaje al interrumpir los servicios del sitio web de una organizacin.
de administracin basadas en la nube y asegrese de que el acceso Siguiendo el rastro del dinero recaudado ha tornado ese proceso ms
sea controlado siempre que sea necesario. difcil y las tecnologas de mitigacin DDoS resultaron en los grupos
TT Certifquese que usted entienda las configuraciones de sus recur- de ataque que necesitaban recursos cada vez ms grandes para generar
sos de nube y las aplique correctamente. un impacto. No obstante, ms recientemente, los grupos activistas de
hackers y, algunas veces, los actores son patrocinados por naciones,
TT Active el log de eventos para mantener el control sobre quienes que son cmplices en algunos de los mayores ataques.
estn accediendo a los datos en la nube.
El reciente ataque a la BBC, que vio su sitio y servicios asociados, que
TT Lea los acuerdos de nivel de servicio de los proveedores de servi-
incluyen el iPlayer (servicio de transmisin online de radio y TV de la
cios en la nube para aprender cmo se garantizan los datos en la
BBC en Reino Unido), derribados por varias horas en la vspera del Ao
nube.
Nuevo, es un excelente ejemplo. Se estima que sea el ms grande ata-
TT Incluya direcciones de IP en la nube en los procesos de gestin de que DDoS de todos los tiempos, de acuerdo con New World Hacking, la
vulnerabilidades y realice auditoras en todos los servicios que son organizacin del Estado anti-islmico que asumi la responsabilidad
suministrados a travs de la nube. por el ataque. Los responsables del ataque alegaron que la escala de la
BBC ofreci una oportunidad para comprobar sus capacidades y alegan
Proteja la Informacin En Cualquier Lugar que el ataque alcanz un pico de 602 Gbps.
A medida que las empresas migran sus sistemas de TI hacia los entor- Existen recompensas que pueden obtenerse a travs de un ataque
nos virtuales y alojados en la nube, enfrentan nuevos retos de segu- DDoS, la ms obvia es el chantaje. Las vctimas son amenazadas a
ridad. Asimismo, como siempre, la propia naturaleza humana es una pagar, o caso contrario a permanecer bajo ataque a sus sitios. Los ata-
amenaza, con la mala gestin de seguridad llevando a los sistemas de ques DDoS tambin han sido utilizados como una herramienta de "dis-
"Shadow IT". Shadow IT se refiere a las soluciones utilizadas dentro de traccin" en conjunto con algunos ataques dirigidos de alto nivel en
las organizaciones sin la aprobacin organizativa explcita, as como 2015, donde los responsables llevaron a cabo un ataque de inundacin
las soluciones utilizadas por distintos departamentos del rea de TI. A en el sitio web de la organizacin blanco, dejando al equipo de TI cre-
veces puede ser muy fcil para un grupo de funcionarios recurrir a pro- yendo que era el preludio de un pedido de rescate. En realidad, estaba
ductos externos para atender a una necesidad inmediata. Los tomado- ocurriendo discretamente al mismo tiempo otro ataque furtivo.
res de decisin de TI deben entender lo que influye a sus funcionarios a
recurrir a estas soluciones, y determinar cunto el departamento de TI
debe ser involucrado para ayudar a moldear esas decisiones.
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 67
Volumen de Ataques DDoS Identificados por Symantec Diferentes grupos de ataque tienen preferencias distintas para sus
campaas de DDoS, y los ataques de inundacin ICMP fueron uno de
Global Intelligence Network
los principales mtodos utilizados por el botnet Darkness/Optima.
TT El grfico muestra el nmero de ataques DDoS por mes, y este nmero Algunos mtodos, especialmente los ataques de amplificacin, pueden
creci en el segundo semestre de 2015, antes de caer en el final del ao.
Ocurrieron picos ms notables de actividades, a medida que la duracin de no funcionar tan bien a lo largo del tiempo. Por ejemplo, cuando la
los ataques se torna ms corta y ms discreta. media cubre extensivamente un ataque de alto perfil, ms personas
corregirn sus servidores. Adems, botnets que fueron usados para
ejecutar los ataques anteriores pueden ser derribados o actualizados
20
para versiones ms recientes que proporcionan nuevas funcionalida-
17 des.
15
Sencillo pero Eficaz
12
MILLONES
Ataque Genrico de
Ataque de Negacin de
5
Servicio RFProwl 0,6% Negacin de Servicio 5,7%
ICMP Inaccesible
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 68
Distribucin de Ataques DDoS a Capas de la Red por Distribucin de Ataques DDoS a Capas de la Red por
Duracin (Q3) Duracin (Q2)
TT El grfico muestra como hasta el final de T2 de 2015, an haba un TT El grfico muestra que hasta el final de T3, el nmero de ataques DDoS
porcentaje significativo de ataques DDoS que podran durar varias horas, que duraron ms de un da haba casi desaparecido completamente, lo que
das, semanas o incluso meses. Grfico cortesa de Incapsula. representa menos de la mitad del 1% de todos los ataques DDoS. Grfico
cortesia de Incapsula.
70%
100%
60 58% 90
80 77%
50
16 70
16
40 60
50
30
40
20 30
10 20
10 7 6 11
3 4 4 8
11 <1 2 2 <1 1 10
11 <1 <1
<.5 .5-1 1-3 3-6 6-12 12-24 24+
12 20
<.5
-1
6
12
96 6
240 240
408 80
20
0+
-7
-2
1-
-4
3-
-9
.5
6-
72
-1
-7
-4
48
12
24
72
0-
HORAS
HORAS
Estos ataques ms cortos son indicadores de un cambio hacia una Qu existe en un Botnet?
mayor utilizacin de DDoS siendo ofrecido como un servicio, donde los
Los botnets son fundamentales para los ataques DDoS, ya sean alquila-
suscriptores reciben acceso limitado a los recursos totales de un bot-
dos o creados por los criminales que realizan el ataque. Cuanto mayor
net, compartidos con otros suscriptores. Eso generalmente ser sufi-
es el botnet, ms solicitudes simultneas puede enviar y mayor ser el
ciente para que lleven a cabo algunos ataques de mediano porte y corta
impacto del ataque.
duracin. Tambin puede ayudar a los responsables del ataque a deter-
minar la eficacia de la infraestructura del blanco para mitigar tales Pero no son apenas PCs infectados que estn suministrando a los cri-
ataques, y si lo necesitan aumentar el volumen. Incapsula tambin minales su ejrcito de robots. En octubre, vimos los servidores MySQL
inform que los ataques de ms de 100 Gbps se han tornado comunes ser blanco de malware, pues muchas veces ofrecen una capacidad de
y un ataque de 100+ Gbps fue mitigado una vez a cada dos das. ancho de banda mucho mayor para un ataque que los PCs tradicionales
para los consumidores. Este mtodo no es nuevo, pero demuestra que
El aumento de la popularidad de "DDoS como servicio" corresponde
los criminales estn constantemente creando botnets ms grandes y
con la disminucin significativa en la duracin de ataques en capas
mejores.
de red en el tercer trimestre de 2015, en comparacin con el segundo
trimestre. Algunos de esos servicios DDoS de alquiler se refieren a si En 2015, tambin vimos a los criminales hacer uso creciente del Inter-
mismos como "stressers", porque la realizacin de un ataque DDoS es net de las Cosas (IoT) para reforzar sus recursos de botnet. Las cma-
ilegal, entonces ellos se esconden detrs de un velo, deduciendo que ras CCTV se mostraron particularmente populares, probablemente
pueden ser usados para "pruebas de estrs" en la resiliencia del ser- porque son uno de los dispositivos ms comunes del Internet de las
vidor. cosas, con 245 millones de cmaras de vigilancia de vdeo profesional-
mente instaladas, activas y operativas, mundialmente en 2014.
CONCLUSIONES
Por qu la Ciberseguridad es tan importante? Nada es Automticamente Inmune
sta es la 21a edicin del Informe de Amenazas a la Seguridad en Ningn sistema est automticamente inmune a las ciberamenazas, y
Internet y muchas cosas han cambiado desde la primera edicin. en este informe, son evidentes las consecuencias de ignorar los riesgos
Todos los aos buscamos repensar la estructura y el contenido del de la complacencia, negligencia e incompetencia. En 2015, se identi-
informe. Al mismo tiempo que enfocamos en las amenazas y relata- fic un nmero sin precedentes de vulnerabilidades como exploits de
mos los resultados de nuestra investigacin, Symantec tambin acom- da cero que fueron usados como armas, y kits de exploit para ataques
paa las tendencias del sector, y en el informe, intentamos destacar los web que estn adaptando y evolucionando estas vulnerabilidades ms
desarrollos importantes y observar las tendencias futuras. Eso va ms rpidamente que nunca. A medida que se conectan ms dispositivos,
all de apenas observar los sistemas de computadoras, smartphones y las vulnerabilidades sern exploradas. Proteger los dispositivos conec-
otros productos, y extenderse en conceptos generales como la seguri- tados a Internet se tornar extremadamente importante para garanti-
dad nacional, economa, proteccin de datos y privacidad. zar la seguridad de los sistemas de control industrial (ICS) y los dispo-
sitivos mdicos en la comunidad.
La ciberseguridad es Importante Junto con el aumento del nmero de vulnerabilidades de software y
Este informe posee una visin de alto nivel de amenazas a Internet los varios ataques en distintos sistemas, el futuro traer consigo una
y de ciberseguridad, destacando los cambios y desarrollos notables. mayor gama de diversidad donde las amenazas contra los sistemas
Sin embargo, no debemos olvidar que el cibercrimen deja vctimas. Windows se extendern hacia otros sistemas operativos, dispositivos
Por ejemplo, ransomware bloquea a las personas de sus computado- mviles y otros dispositivos del Internet de las cosas.
ras, impide el acceso a valiosas fotos de familia por rescates, secuestra
manuscritos no finalizados de libros y bloquea el acceso a declaracio- Higiene Digital y un Futuro Ms Limpio
nes de IR, registros bancarios y otros documentos valiosos. Adems,
En ciberseguridad, muchas veces comentamos sobre infecciones y
no hay garantas de que pagar el rescate liberar esos candados. Las
virus. Pero el escenario de ataques omnipresentes, violaciones masi-
empresas, as como los usuarios domsticos, se han tornado vctimas,
vas de datos y amenazas avanzadas que vimos este ao sugieren que
y depender en backups suele ser la ltima lnea de defensa cuando la
existen analogas mdicas mejores. En lugar de infeccin, podemos
ciberseguridad debera realmente ser la primera.
pensar en una enfermedad crnica, aguda, grave y benigna.
Los ataques dirigidos roban la propiedad intelectual de valor inestima-
En vez de pensar en trminos binarios como comprometido y libre de
ble de las empresas y una violacin de datos puede destruir la repu-
infecciones, debemos migrar hacia un modelo de bienestar que consi-
tacin de una organizacin e incluso amenazar su sobrevivencia. Las
dere susceptibilidad, resiliencia, bienestar, vulnerabilidad a la infec-
indemnizaciones de ciberseguro estn creciendo en volumen y coste,
cin y capacidad de recuperacin. Como profesionales de TI de segu-
aumentando cada vez ms los premios de los seguros. En un escenario
ridad, debemos enfatizar la prevencin, deteccin y mitigacin, as
ms amplio, los problemas de ciberseguridad amenazan la seguridad
como una cura completa. Los conceptos prestados de epidemiologa,
nacional y el crecimiento econmico, lo que acaba afectando a todos.
planificacin de respuesta a incidentes, y herramientas que efectan
simulaciones de seguridad se estn tornando ms importantes y tiles.
Seguridad Web y la Responsabilidad
Para los individuos y las empresas, la seguridad del Internet ser ms
de la Industria
similar a 'bienestar' e 'higiene' que 'medicina', y enfocada en la rutina
Las actualizaciones para proteger contra esas vulnerabilidades son de prevencin en lugar de procurar una panacea o cura. Necesitamos
lanzadas regularmente para bibliotecas de protocolo SSL/TLS, como estar digitalmente saludables y digitalmente limpios, y el aprendizaje
OpenSSL, pero los propietarios de sitios an necesitan instalarlas. de los hbitos de seguridad debe ocurrir la cantidad de veces que sea
Hemos visto en este informe y a lo largo de los ltimos aos que eso necesaria.
an no est sucediendo con la rapidez necesaria. El nmero de vulne-
rabilidades de sitios se mantiene ao tras ao, con pocas mejoras que De la misma forma, los departamentos de TI necesitan ser proactivos
pueden notarse. Si bien la migracin de certificados SHA-1 a SHA-2, en la reduccin de riesgos de invasiones persistentes y malware, ade-
mucho ms fuertes, tambin est siendo acelerada, las organizaciones ms de identificar rpidamente las violaciones. Desafortunadamente,
deben implementar los nuevos certificados correctamente para que la descubrir rpidamente los ataques requiere una vigilancia activa y
migracin sea eficaz. constante. La seguridad de la informacin no puede esperar la aper-
tura de llamados de soporte o que la herramienta favorita de seguridad
Los criminales continuaron encontrando vulnerabilidades en la identifique un problema de forma conclusiva. La seguridad necesita
infraestructura estructural de seguridad de sitios web en 2015, explo- comenzar a analizar los datos de forma proactiva durante el tiempo de
rando debilidades en los sistemas de cifrado subyacentes, permitiendo respuesta en el que no ha habido una violacin.
que los grupos de ataque intercepten y controlen las conexiones
seguras. El debate ms amplio en torno de la seguridad, privacidad y Como un sector, necesitamos comenzar a migrar hacia una mentali-
cifrado fuerte acabar afectando a todos nosotros. dad ms investigativa, enfocada en estudios clnicos, donde estamos
constantemente investigando los hbitos o artefactos que causan las
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 70
TT Administre sus claves SSL/TLS correctamente. Limite el nmero de Como hemos dicho en el informe, existe una oportunidad real el
personas con acceso a estas claves; tenga administradores separados prximo ao para la reduccin del nmero de ataques web de xito y
para administrar las contraseas del servidor donde ellas son mante- limitar los riesgos que los sitios web potencialmente representan para
nidas y para la gestin de los sistemas en las que estn almacenadas, los consumidores. Sin embargo, va a exigir el compromiso y acciones
as como usar sistemas de administracin automatizado de claves y de propietarios de sitios para que esto se torne realidad.
certificados para reducir la interaccin humana en el proceso.
Adopte una amplia seguridad para sus sitios en 2016, y en conjunto
Cualquier violacin que afecte las claves SSL debe ser notificada a CA con Symantec, transfrmelo en un buen ao para la ciberseguridad y
rpidamente, a fin de que los certificados correspondientes puedan ser en un ao muy malo para los cibercriminales.
revocados.
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 75
LAS 5 PRINCIPALES
PRIORIDADES
Enfatizamos el uso de los cinco primeros
controles para todas las organizaciones. Eso 02 04
ayuda a establecer una base de seguridad
Inventario de Software Autorizado Evaluacin y Reparacin Continua
y posee un impacto ms inmediato en la
prevencin de ataques. A partir de esta base,
y No Autorizado de Vulnerabilidades
las organizaciones pueden aplicar otros Administre activamente (inventario, control De forma continua adquiera, evale y tome
y correccin) cualquier software en la red de medidas sobre nuevas informaciones, con el
controles que cumplan con la necesidad del
forma que solamente el software autorizado objetivo de identificar las vulnerabilidades,
negocio de la organizacin. sea instalado y ejecutado, y que los softwares reparar y minimizar la ventana de oportunida-
no autorizados y no administrados sean encon- des para los grupos de ataque.
En las siguientes pginas, usted ver una
trados e impedidos de instalacin o ejecucin.
tabla que describe las reas identificadas
en ISTR y las conecta a los Controles de 05
Seguridad Crtica: 03
Uso Controlado de Privilegios
Las Configuraciones de Seguridad
Administrativos
01 para Hardware y Software en
Los procesos y las herramientas utilizadas
Dispositivos Mviles, Laptops, para rastrear/controlar/evitar/corregir el uso,
Inventario de Dispositivos
Estaciones de Trabajo y Servidores cesin, y configuracin de privilegios adminis-
Autorizados y No Autorizados trativos en computadoras, redes y aplicaciones.
Establezca, implemente y administre activa-
Administre activamente (inventario, control y mente (rastree, reporte y corrija) las configura-
correccin) todos los dispositivos de hardware ciones de seguridad de los laptops, servidores
en la red de forma que solamente los disposi- y estaciones de trabajo, usando un adminis-
tivos autorizados tengan acceso, y los disposi- trador riguroso de configuraciones y proceso
tivos no autorizados y no administrados sean de control de cambios, a fin de evitar que los
encontrados e impedidos de tener acceso. grupos de ataque exploren los servicios y las
configuraciones vulnerables.
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 76
CONTROLES CRTICOS
06 11 16
Mantenimiento, Monitoreo y Las Configuraciones de Seguridad Monitoreo y Control de Cuentas
Anlisis de los Logs de Auditora para Dispositivos de Red como Impida que los grupos de ataque se pasen por otras
Recopile, administre y analice los logs de audi- Firewalls, Routers y Switches personas l Administre activamente el ciclo de vida
tora de eventos que pueden ayudar a detectar, de las cuentas del sistema y de aplicaciones, que
Establezca, implemente y administre activa- incluyen la creacin, utilizacin, inactividad y
comprender, o a recuperarse de un ataque. mente (rastree, reporte y corrija) las configu- exclusin, para minimizar las oportunidades que
raciones de seguridad de los dispositivos de puedan ser aprovechadas en eventuales ataques.
07 infraestructura de red, usando un adminis-
trador riguroso de configuraciones y proceso
Protecciones de Navegadores y de control de cambios, a fin de evitar que los 17
grupos de ataque exploren los servicios y las
Correo Electrnico configuraciones vulnerables. Evaluacin de Habilidades de
Minimice la superficie de ataque y las oportu- Seguridad y Entrenamiento
nidades para que los grupos de ataque manipu-
len el comportamiento humano mediante su 12 Adecuado para Completar las
interaccin con los navegadores y los sistemas Lagunas
de correo electrnico. Defensa de los Lmites
Para todos los papeles funcionales en la orga-
Detecte/evite/corrija el flujo de informacin nizacin (priorizando aquellos que son crti-
que se transfiere en redes de diferentes niveles cos para la misin del negocio y su seguridad),
08 de confianza con foco en los datos perjudiciales identificar los conocimientos especficos,
a la seguridad.
Defensas Contra Malware competencias y habilidades necesarias para
soportar la defensa de la empresa; desarrollar
Controle la instalacin, expansin y ejecucin de
13 y ejecutar un plan integrado para evaluar, iden-
cdigo malicioso en varios puntos de la empresa,
tificar lagunas y repararlas mediante polticas,
as como optimice el uso de automacin para
permitir la rpida actualizacin de defensa, la Proteccin de Datos planificacin organizativa, entrenamientos y
programas de concientizacin.
recopilacin de datos y las acciones correctivas. Los procesos y herramientas usadas para pre-
venir la salida de datos, mitigar los efectos de
09
los datos extrados y garantizar la privacidad e 18
integridad de informacin sensible.
Limitacin y control de Puertos de Seguridad de Software de
Red, Protocolos y Servicios 14 Aplicaciones
Administrar el ciclo de vida de seguridad de
Administre (rastree, controle y corrija) el uso Acceso Controlado y Basado en cualquier software adquirido o desarrollado
operativo continuo de puertos, protocolos y
servicios en dispositivos de red, con el objetivo Autorizaciones internamente, a fin de prevenir, detectar y
corregir fallas de seguridad.
de minimizar las ventanas de vulnerabilidades Los procesos y las herramientas utilizadas para
disponibles para los grupos de ataque. rastrear/controlar/evitar/corregir el acceso
seguro a los activos crticos (ej.: informacin, 19
recursos y sistemas) de acuerdo con la determi-
10 nacin formal de que personas, computadoras Administracin y Respuesta a
y aplicaciones tienen la necesidad y derecho de Incidentes
Capacidad de Recuperacin de Datos acceso a esos activos crticos, basado en una
Los procesos y las herramientas usadas para clasificacin reconocida. Proteja la informacin de la organizacin as
hacer correctamente el backup de informacin como su reputacin, a travs del desarrollo e
crtica con una metodologa comprobada para implementacin de una infraestructura de res-
la recuperacin rpida de los datos. 15 puesta a incidentes (ej.: planes, papeles defini-
dos, entrenamiento, comunicaciones, control de
Control de Acceso Inalmbrico gestin) para descubrir rpidamente un ataque
Los procesos y las herramientas utilizadas y, enseguida, contener efectivamente los daos,
para rastrear/controlar/evitar/corregir el uso erradicar la presencia del responsable del ataque
seguro de redes inalmbricas locales (LANs), y restaurar la integridad de la red y los sistemas.
puntos de acceso y sistemas inalmbricos de
cliente.
20
Pruebas de Intrusin
y Ejercicios del Equipo de
Emergencias
Prueba y fuerza general de las defensas de una
organizacin (la tecnologa, los procesos, y las
personas), simulando los objetivos y las accio-
nes de un ataque.
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 77
03 04 07 11 18 01 02 06 08 15 05 10 13 17
DISPOSITIVOS MVILES
EL INTERNET DE 03 04 11 14 18 01 02 06 08 15 05 09 12 17
LAS COSAS
03 04 07 18 01 02 06 08 16 05 09 10 12 17
AMENAZAS WEB
REDES SOCIALES Y 03 04 07 01 02 08 20 05 09 12 17
CORREO ELECTRNICO
- AMENAZAS
ATAQUES DIRIGIDOS 03 04 07 11 14 01 02 06 08 16 05 09 10 12 13
Y SPEAR PHISHING 18 20 17 19
03 04 07 11 14 01 02 06 15 16 05 09 10 12 13
VIOLACIONES DE DATOS
18 20 17 19
03 04 07 11 14 01 02 06 08 16 05 09 10 12 13
E-CRIMEN Y MALWARE
18 20 17 19
NUBE & 03 04 11 14 18 01 02 06 08 15 05 09 10 12 13
INFRAESTRUCTURA 16 20 17 19
03 04 11 14 18 01 02 06 08 16 05 09 10 12 13
SERVIDORES WEB
20 17 19
03 04 11 18 01 02 06 08 20 05 09 12 17 19
DDOS Y BOTNETS
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 78
Las versiones de software que dicen ser gratuitas, desbloqueados o TT Evite transacciones bancarias o compras online en computadoras
pirateados pueden exponerlo a malware o ataques de ingeniera social pblicas (como bibliotecas, cibercafs y establecimientos simila-
que intentan engaarlo y pensar que su computadora est infectada y res) o no cifrados.
usted necesita pagar un valor para que el virus sea removido.
Conexiones Wi-Fi
Use una Poltica Eficaz de Contraseas Al usar hotspots inalmbricos pblicos, considere lo siguiente:
Certifquese de que las contraseas son una combinacin de letras y TT Use HTTPS al conectarse a travs de redes Wi-Fi para su correo
nmeros, y altrelas frecuentemente. Las contraseas no deben ser electrnico, redes sociales y sitios donde se comparten datos. Veri-
palabras encontradas en un diccionario. No use la misma contrasea fique las configuraciones y preferencias de las aplicaciones y los
para varias aplicaciones o sitios web. sitios que usted est usando.
Use contraseas complejas (letras maysculas/minsculas y signos de TT Busque la barra de direccin verde en el navegador, HTTPS, y las
puntuacin). Las frases secretas y los aplicativos de administracin de marcas conocidas de confianza cuando usted visita los sitios donde
contraseas pueden ayudar tambin. ha hecho el ingreso o compartido cualquier informacin personal.
TT Configure su red Wi-Fi en casa para autenticacin fuerte y siempre
Piense Antes de Hace Clic exija una contrasea nica para accederla.
Nunca vea, abra o copie adjuntos de correo electrnico en su equipo de TT Busque la barra de direccin verde en el navegador, HTTPS, y las
escritorio ni ejecute cualquier adjunto de correo electrnico, a menos de marcas conocidas de confianza cuando usted visita los sitios donde
que usted lo est esperando y confe en el remitente. Incluso al recibir ha hecho el ingreso o compartido cualquier informacin personal.
adjuntos de correo electrnico de usuarios confiables, tenga cuidado. TT Configure su red Wi-Fi en casa para autenticacin fuerte y siempre
exija una contrasea nica para accederla.
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 79
CRDITOS
Paul Wood, Editor-Jefe Agradecimientos Especiales a
Ben Nahorney, Editor Ejecutivo Alejandro Borgia
Kavitha Chandrasekar, Analista de Dados Anna Sampson
Scott Wallace, Director de Arte Cheryl Elliman
Kevin Haley, Consultor Tcnico Jennifer Duffourg
Linda Smith Munyan
Mara Mort
Colaboradores
Marianne Davis, Revisin
Steven Rankin, Infogrficos
Con el Apoyo de
Axel Wirth
Bartlomiej Uscilowski
Brian Witten
Candid Wueest
Dermot Harnett
Dick OBrien
Dipesh Shah
Dylan Morss
Efrain Ortiz
Gaurang Bhatt
Gavin OGorman
Himanshu Mehta
Kent McMullen
Laura OBrien
Mario Ballano Barcena
Michael Klieman
Nicholas Johnston
Peter Coogan
Pierre-Antoine Vervier
Preeti Agarwal
Rauf Ridzuan
Roberto Sponchioni
Roger Park
Sara Groves
Satnam Narang
Shankar Somasundaram
Stephen Doherty
Vaughn Eisler
William Wright
2016 Informe de Amenazas
CONTENIDO a la Seguridad de Internet 80
ACERCA DE SYMANTEC
MS INFORMACIN
TT Symantec Worldwide: http://www.symantec.com/
TT ISTR and Symantec Intelligence Resources: http://www.symantec.com/threatreport/
TT Symantec Security Response: http://www.symantec.com/security_response/
TT Norton Threat Explorer: http://us.norton.com/security_response/threatexplorer/
Sede Mundial de Symantec
350 Ellis Street
Mountain View, CA 94043 EUA
+1 (650) 527 8000
1 (800) 721 3934
www.symantec.com
04/16 21365084