ISTR

Informe sobre las Amenazas

para la Seguridad en Internet
Volumen 24 | Febrero 2019
EL DOCUMENTO SE PROPORCIONA “TAL CUAL ESTÁ” Y TODAS LAS
CONDICIONES, GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUYENDO CUALQUIER
GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, ADAPTACIÓN A UN DETERMINADO
FIN O NO VIOLACIÓN, SON OBJETO DE RENUNCIA, EXCEPTO EN LA MEDIDA EN
QUE TALES EXENCIONES SE DETERMINEN LEGALMENTE INVÁLDAS.
SYMANTEC CORPORATION NO SERÁ RESPONSABLE POR DAÑOS
ACCCIDENTALES O CONSECUENTES EN RELACIÓN AL SUMINISTRO, EL
RENDIMIENTO O EL USO DE ESTE DOCUMENTO. LA INFORMACIÓN CONTENIDA
EN ESTE DOCUMENTO ESTÁ SUJETA A CAMBIOS SIN PREVIO AVISO.
LA INFORMACIÓN OBTENIDA DE LAS FUENTES DE TERCEROS SE CONSIDERA
QUE ES CONFIABLE, PERO NO ESTÁ GARANTIZADA DE NINGUNA MANERA.
LOS PRODUCTOS DE SEGURIDAD, LOS SERVICIOS TÉCNICOS Y CUALQUIER
OTRO DATO TÉCNICO REFERIDO EN ESTE DOCUMENTO (“ARTÍCULOS
CONTROLADOS”) ESTÁN SUJETOS A LAS LEYES, REGULACIONES Y REQUISITOS
DE EE.UU. Y PUEDEN ESTAR SUJETOS A LAS REGULACIONES DE EXPORTACIÓN
E IMPORTACIÓN EN OTROS PAÍSES.
USTED ACEPTA CUMPLIR ESTRICTAMENTE CON ESTAS LEYES, REGLAMENTOS
Y REQUISITOS, Y RECONOCE QUE TIENE LA RESPONSABILIDAD DE OBTENER
LICENCIAS, PERMISOS U OTRAS APROBACIONES QUE PUEDAN REQUERIRSE
PARA EXPORTAR, REEXPORTAR, TRANSFERIRSE EN EL PAÍS O IMPORTAR
DICHOS ARTÍCULOS CONTROLADOS.
ÍNDICE

1
BIG NUMBERS
2
RESTROSPECTIVA DEL AÑO
3
HECHOS Y CIFRAS METODOLOGíA

Formjacking Mensajería
Cryptojacking Malware
Ransomware Dispositivos móviles
Usos de herramientas del día a día y Ataques Web
los ataques a la cadena de suministro
Ataques dirigidos
Ataques dirigidos
IoT
Nube
Economía clandestina
IoT
Interferencia electoral
URLS MALICIOSAS

UNA DE DIEZ URLS SON MALICIOSAS

ATAQUES WEB

56 %
ATAQUES DE FORMJACKING

ATAQUES
BLOQUEADOS

4.800 3,7M
DE FORMJACKING EN ENDPOINTS

NÚMERO PROMEDIO DE CADA MES DE SITIOS WEB

COMPROMETIDOS CON CÓDIGO FORMJACKING
CRYPTOJACKING
8M

US$ 362
4X
MÁS EVENTOS DE CRIPTOJACKING BLOQUEADOS
EN 2018 COMPARADOS CON 2017, PERO CON
TENDENCIA DE DISMINUCIÓN

52
4M
%
CAÍDA EN EVENTOS DE CRYPTOJACKING
ENTRE ENE Y DIC 2018

90 % US$ 48

ENE CAÍDA EN EL VALOR DE

CRIPTOMONEDAS (MONERO) DIC
RANSOMWARE RANSOMWARE CONTRA
CONTRA EMPRESAS DISPOSITIVOS MÓVILES

33 %
12
AUMENTO

20CAÍDA
%

RANSOMWARE
GENERAL
ATAQUES
A LA CADENA
DE SUMINISTRO

%
CORREO ELECTRÓNICO POWERSHELL
MALICIOSO

%
1000
48 %
DE ARCHIVOS ADJUNTOS MALICIOSOS DE
CORREO ELECTRÓNICO SON ARCHIVOS DE
OFFICE, CONTRA APENAS 5% EN 2017

AUMENTO
EN SCRIPTS
MALICIOSOS DE
POWERSHELL
NÚMERO DE GRUPOS NÚMERO PROMEDIO
DE ATAQUE QUE DE ORGANIZACIONES
EMPLEAN MALWARE AFECTADAS POR CADA

55
DESTRUCTIVO GRUPO DE ATAQUE

%
RETROSPECTIVA
DEL AÑO 2

LOS DATOS DE TARJETA DE
CRÉDITO SON EL OBJETIVO
DE LOS CRIMINALES.
Los incidentes de formjacking: el uso de código JavaScript
malicioso para robar los detalles de las tarjetas de crédito
y otra información de los formularios de pago en las
páginas web de pago en sitios de comercio electrónico,
tuvieron una tendencia al alza en 2018.
Los datos de Symantec muestran que 4.818 sitios web
diferentes se vieron comprometidos con el código de
formjacking todos los meses en 2018. Con los datos de
una sola tarjeta de crédito que se venden por hasta US$
45 en mercados clandestinos, solo 10 tarjetas de crédito
robadas de sitios web comprometidos podrían resultar
en un rendimiento de hasta US$ 2.2 millones para los
delincuentes cibernéticos cada mes. La atracción por el
formjacking de los ciberdelincuentes es clara.
Symantec bloqueó más de 3.7 millones de intentos
de formjacking en 2018, con más de 1 millón de estos
bloqueos ocurriendo solo en los últimos dos meses del
año. La actividad de secuestro de formulario ocurrió a lo
largo de 2018, con un repunte anómalo en la actividad en
mayo (556.000 intentos solo en ese mes), seguido de una
tendencia general al alza en la actividad en la última mitad
del año.
Índice ISTR 24 | Febrero 2019
Gran parte de esta actividad de secuestro de formularios ha
sido atribuida a los responsables apodados Magecart, que
se cree que son varios grupos, y algunos, al menos, operan
en competencia uno con el otro. Se cree que Magecart está
detrás de varios ataques de alto perfil, incluidos los de British
Airways y Ticketmaster, así como ataques contra el minorista
británico de electrónicos Kitronik y el vendedor de lentes de
contacto VisionDirect.
Este aumento en el formjacking refleja el crecimiento general
en los ataques a la cadena de suministro que discutimos en
ISTR 23, con Magecart en muchos casos se dirige a servicios
de terceros para obtener su código en sitios web específicos.
En la violación de alto perfil de Ticketmaster, por ejemplo,
Magecart comprometió un chatbot de terceros, que cargaba
código malicioso en los navegadores web de los visitantes
del sitio web de Ticketmaster, con el objetivo de recopilar los
datos de pago de los clientes.
Si bien los ataques a empresas conocidas son titulares,
la telemetría de Symantec muestra que a menudo son
minoristas pequeños y medianos, que venden productos que
varían desde prendas de vestir, equipos de jardinería hasta
suministros médicos, a los que se les ha inyectado un código
formjacking en sus sitios web. Este es un problema global con
la posibilidad de afectar a cualquier negocio que acepte pagos
de clientes en línea.
El crecimiento en el secuestro de formularios en 2018
puede explicarse parcialmente por la caída en el valor de
las criptomonedas durante el año: los ciberdelincuentes que
pueden haber utilizado sitios web para el cryptojacking ahora
pueden optar por el secuestro de formularios. El valor de
los detalles de tarjetas de crédito robadas en el subsistema
cibernético es probablemente más seguro que el valor de las
criptomonedas en el clima actual.
Retrospectiva del Año  14
EN DISMINUCIÓN,
PERO TODAVÍA PRESENTE.
Las instancias de cryptojacking — donde los delincuentes
cibernéticos ejecutan a escondidas minadores de moneda
en los dispositivos de las víctimas sin su conocimiento y
utilizan su unidad de procesamiento central (CPU) para
minar criptomonedas — fue la historia del último trimestre
de 2017 y continuó siendo una de las características
dominantes en el panorama de la ciberseguridad en 2018.
La actividad de cryptojacking alcanzó su punto máximo
entre diciembre de 2017 y febrero de 2018, con Symantec
bloqueando alrededor de 8 millones de eventos de
cryptojacking por mes en ese período. Durante 2018,
bloqueamos una cifra mayor de cuatro veces más eventos
de cryptojacking que en 2017: casi 69 millones de eventos
de cryptojacking en el período de 12 meses, en comparación
con poco más de 16 millones en 2017. Sin embargo, hubo
una reducción en la actividad de cryptojacking, cayendo
un 52% entre enero y diciembre de 2018. A pesar de esta
tendencia de disminución, aún bloqueamos más de 3.5
millones de eventos de cryptojacking en diciembre de 2018.
Índice
Esta actividad sigue siendo significativa, a pesar del hecho
de que los valores de criptomoneda, que alcanzaron niveles
récord a finales de 2017 y jugaron un papel importante
en el impulso del crecimiento inicial del cryptojacking,
se redujeron significativamente en 2018. Aunque esto
puede haber llevado a algunos de los pioneros del
cryptojacking a recurrir a otras formas de ganar dinero,
como el formjacking, es evidente que existe un segmento
significativo de ciberdelincuentes que todavía cree que
el cryptojacking vale su tiempo. También vimos algunos
delincuentes de cryptojacking dirigidos a empresas
en 2018, con el script de cryptojacking WannaMine
(MSH.Bluwimps), que utiliza el exploit Eternal Blue que
WannaCry hizo famoso a través de redes empresariales,
haciendo que algunos dispositivos sean inutilizables
debido al alto uso de la CPU.
La mayor parte de la actividad de cryptojacking en 2018
continuó originándose en la minería de criptomonedas
basados en el navegador. La extracción de monedas basada
en el navegador se lleva a cabo dentro de un navegador
web y se implementa mediante lenguajes de scripting. Si
una página web contiene una secuencia de comandos de
minería de monedas, el poder de cómputo de los visitantes
de la página web se utilizará para explotar la criptomoneda
mientras la página esté abierta. Los mineros basados en el
navegador permiten a los ciberdelincuentes atacar incluso
dispositivos totalmente actualizados y también pueden
permitirles operar sigilosamente sin que las víctimas noten
la actividad.
ISTR 24 | Febrero 2019
Predijimos que la actividad de cryptojacking de los
ciberdelincuentes dependería en gran medida de que los
valores de criptomoneda se mantuvieran altos. A medida
que los valores de criptomoneda han caído, también
hemos observado una disminución en el volumen de
eventos de cryptojacking. Sin embargo, no han caído al
mismo ritmo que los valores de criptomoneda: en 2018,
el valor de Monero se redujo en casi un 90%, mientras
que el cryptojacking se redujo en alrededor del 52%.
Esto significa que algunos ciberdelincuentes aún deben
encontrarlo rentable o están esperando su momento hasta
otro aumento en los valores de criptomoneda. También
muestra que hay otros elementos de cryptojacking que lo
hacen atractivo para los delincuentes cibernéticos, como
el anonimato que ofrece y las bajas barreras de entrada.
Parece que el cryptojacking es un área que continuará
desempeñando un papel en el panorama de los delitos
cibernéticos.
Retrospectiva del Año  15
Por primera vez desde 2013, observamos una disminución
en la actividad de ransomware durante 2018, con un número
total de infecciones de ransomware en los puntos finales que
disminuyeron en un 20%. WannaCry, versiones de copia, y
Petya, continuaron inflando las cifras de infección. Cuando
estos gusanos se eliminan de las estadísticas, la caída en los
números de infección es más pronunciada: una caída del 52%.
Sin embargo, dentro de estas cifras generales hubo un
cambio dramático. Hasta 2017, los consumidores fueron
los más afectados por el ransomware, lo que represento la
mayoría de las infecciones. En 2017, el saldo se inclinó hacia
las organizaciones, con la mayoría de las infecciones que se
producen en las empresas. En 2018, ese cambio se aceleró y
las empresas representaron el 81% de todas las infecciones
por ransomware. Si bien las infecciones por ransomware
en general disminuyeron, las infecciones en empresas
aumentaron un 12% en 2018.
Este cambio en el perfil de la víctima probablemente se debió
a una disminución en la actividad del kit de explotación,
que anteriormente era un canal importante para la entrega
de ransomware. Durante 2018, el principal método de
distribución de ransomware fue campañas de correo
electrónico. Las empresas tienden a verse más afectadas
por los ataques basados en correo electrónico, ya que el
correo electrónico sigue siendo la principal herramienta de
comunicación para las organizaciones.
Además, un número creciente de consumidores utilizan
dispositivos móviles exclusivamente, y sus datos esenciales a
menudo se respaldan en la nube. Debido a que la mayoría de
las familias de ransomware siguen dirigiéndose a computadoras
basadas en Windows, las posibilidades de que los consumidores
estén expuestos al ransomware están disminuyendo.
Índice
LA ACTIVIDA EMPIEZA A CAER,
PERO PERMANECE UN DESAFÍO
PARA LAS ORGANIZACIONES.
Otro factor detrás de la caída en la actividad general del
ransomware es la mayor eficiencia de Symantec para
bloquear el ransomware en el inicio del proceso de infección,
ya sea a través de la protección del correo electrónico o
utilizando tecnologías como el análisis de comportamiento
o el aprendizaje automático. Otro factor que contribuye
a la disminución es el hecho de que algunas pandillas de
cibercrimen están perdiendo interés en el ransomware.
Symantec vio una serie de grupos previamente involucrados
en la difusión del ransomware para entregar otro malware,
como troyanos bancarios y herramientas de robo de
información.
Sin embargo, algunos grupos continúan representando una
amenaza grave. Otra mala noticia para las organizaciones
es que un número notable de ataques de ransomware
dirigidos altamente dañinos afectaron a las organizaciones
en 2018, muchos de los cuales fueron realizados por el grupo
SamSam. Durante 2018, Symantec encontró evidencia de 67
ataques de SamSam, principalmente contra organizaciones
en los EE.UU.. En conjunto con SamSam, otros grupos de
ransomware dirigidos se han vuelto más activos.
ISTR 24 | Febrero 2019
También han surgido amenazas dirigidas adicionales. La
actividad relacionada con Ryuk (Ransom.Hermes) aumentó
significativamente a fines de 2018. Este ransomware
fue responsable de un ataque en diciembre en el que se
interrumpió la impresión y distribución de varios periódicos
estadounidenses conocidos.
Dharma / Crysis (Ransom.Crysis) también es utilizado
frecuentemente en forma dirigida contra organizaciones.
La cantidad de intentos de infección por Dharma / Crysis
observada por Symantec se triplicó con creces durante 2018,
de un promedio de 1.473 por mes en 2017 a 4.900 por mes
en 2018.
En noviembre, dos ciudadanos iraníes fueron acusados en los
EE.UU. por su presunta participación en SamSam. Queda por
ver si la acusación tendrá algún impacto en la actividad del
grupo.
Retrospectiva del Año  16
USOS D HERRAMIENTAS DEL
DÍA A DÍA Y LOS ATAQUES A
LA C DENA DE SUMINISTRO
PERMANECEN COMO ELEMENTOS
BÁSICOS DEL NUEVO PANORAMA DE
AMENAZAS.
En informes anteriores, destacamos la tendencia de los
grupos de ataque que optan por herramientas estándar y
características del sistema operativo para llevar a cabo los
ataques. Esta tendencia de usos de herramientas del día a día
no muestra señales de disminuir, de hecho, hubo un aumento
significativo en ciertas actividades en 2018. El uso de
PowerShell ahora es un elemento básico tanto de los delitos
cibernéticos como de los ataques dirigidos, que se refleja
en un aumento masivo del 1.000% en scripts maliciosos de
PowerShell bloqueados en 2018 en el endpoint.
En 2018, los archivos de Microsoft Office representaron
casi la mitad (48%) de todos los archivos adjuntos de
correo electrónico maliciosos, saltando desde solo el 5% en
2017. Los grupos de cibercrimen, como Mealybug y Necurs,
continuaron usando macros en los archivos de Office como su
método preferido para propagar las cargas útiles maliciosas
en 2018, pero también experimentaron con archivos XML
maliciosos y archivos de Office con cargas útiles DDE.
El uso de exploits de día cero por parte de grupos de ataque
dirigidos continuó disminuyendo en 2018. Sólo el 23% de
Índice
los grupos de ataque emplearon exploits de día cero, una
disminución en relación al 27% observado en 2017. También
comenzamos a ver ataques que se basan únicamente en
usos de herramientas del día a día y no utilizan ningún
código malicioso. El grupo de ataque dirigido Gallmaker
es un ejemplo de este cambio, con el grupo utilizando
exclusivamente las herramientas generalmente disponibles
para llevar a cabo sus actividades maliciosas.
Las amenazas autopropagantes continuaron creando dolores
de cabeza para las organizaciones, pero, a diferencia de los
gusanos antiguos, los gusanos modernos, no utilizan las
vulnerabilidades de explotación remota para propagarse.
En cambio, gusanos como Emotet (Trojan.Emotet) y Qakbot
(W32.Qakbot) utilizan técnicas sencillas que incluyen la
eliminación de contraseñas de la memoria o el acceso
forzado a los recursos compartidos de la red para moverse
lateralmente a través de una red.
Los ataques a la cadena de suministro continuaron siendo una
característica del panorama de amenazas, con un aumento
de los ataques del 78% en 2018. Los ataques a la cadena
ISTR 24 | Febrero 2019
de suministro, que aprovechan los servicios y el software
de terceros para comprometer un objetivo final, adoptan
muchas formas, incluido el secuestro de actualizaciones
de software e inyectar código malicioso en el software
legítimo. Los desarrolladores continuaron siendo explotados
como fuente de ataques en la cadena de suministro, ya sea
a través de grupos de ataque que robaban credenciales
para herramientas de control de versiones, o por grupos de
ataque que comprometen bibliotecas de terceros que están
integradas en proyectos de software más grandes.
El aumento en los ataques de formjacking en 2018 reforzó
la forma en que la cadena de suministro puede ser un punto
débil para los minoristas online y los sitios de comercio
electrónico. Muchos de estos ataques de formjacking fueron
el resultado de que los grupos de ataque comprometieron
los servicios de terceros comúnmente utilizados por los
minoristas online, como los chatbots o los widgets de revisión
de clientes.
Tanto los ataques de la cadena de suministro como los usos
de herramientas del día a día resaltan los desafíos a los que
se enfrentan las organizaciones y las personas, y los ataques
llegan cada vez más a través de canales confiables, utilizando
métodos de ataque sin archivos o herramientas legítimas con
fines maliciosos.
Si bien bloqueamos en promedio 115.000 scripts maliciosos
de PowerShell cada mes, esto solo representa menos del 1%
del uso general de PowerShell. La identificación y el bloqueo
efectivos de estos ataques requieren el uso de métodos
de detección avanzados, como los análisis y el aprendizaje
automático.
Retrospectiva del Año  17
MÁS Los grupos de ataque dirigidos continuaron representando
una amenaza significativa para las organizaciones durante
AMBICIOSO
2018, con nuevos grupos emergentes y grupos existentes que
continuaron refinando sus herramientas y tácticas.
Los grupos de ataque más grandes y más activos mostraron
aumentar su actividad durante 2018. Los 20 grupos más
activos seguidos por Symantec lograron un promedio de 55
organizaciones en los últimos tres años, frente a los 42 entre
2015 y 2017.
ATAQUES
DIRIGIDOS.
Una tendencia notable fue la diversificación de objetivos,
con un número creciente de grupos que mostraron interés
en comprometer las computadoras operativas, lo que
potencialmente podría permitirles montar operaciones
disruptivas si así lo decidieran.
Esta táctica fue iniciada por el grupo de espionaje Dragonfly,
conocido por sus ataques a compañías energéticas. Durante
2018, observamos que el grupo Thrip comprometió a
un operador de comunicaciones satelitales e infectó
computadoras que ejecutan software que monitorea y
controla satélites. El ataque podría haberle dado a Thrip la
capacidad de interrumpir seriamente las operaciones de la
compañía.
También vimos al grupo Chafer comprometer a un proveedor
de servicios de telecomunicaciones en Medio Oriente.
La compañía vende soluciones a múltiples operadores de
Y MÁS
telecomunicaciones en la región y el ataque pudo haber sido
para facilitar la vigilancia de los usuarios finales de esos
operadores.
SIGILOS
Este interés en ataques potencialmente perturbadores
O
también se refleja en la cantidad de grupos que se sabe que
usan malware destructivo, un aumento de 25% en 2018.
Durante 2018, Symantec expuso cuatro grupos de ataques
dirigidos, previamente desconocidos, lo que elevó la cantidad
Índice ISTR 24 | Febrero 2019
de grupos de ataques dirigidos por primera vez por Symantec
desde 2009 a 32. Si bien Symantec expuso cuatro grupos
nuevos en 2017 y 2018, hubo un gran cambio en la forma en
que se descubrieron estos grupos. Dos de los cuatro nuevos
grupos expuestos durante 2018 se descubrieron a través del
uso de herramientas del día a día. De hecho, uno de esos dos
grupos (Gallmaker) no utiliza ningún malware en sus ataques,
confiando exclusivamente en los usos de herramientas del día
a día y en herramientas de piratería disponibles públicamente.
El uso de herramientas del día a día ha sido cada vez más
utilizado por grupos de ataque dirigidos en los últimos años
porque puede ayudar a los grupos de ataque a mantener
un perfil bajo al ocultar su actividad en un volumen de
procesos legítimos. Esta tendencia fue una de las principales
motivaciones para que Symantec creara su solución de
Análisis de Ataque Dirigido (TAA) en 2018, que aprovecha
la inteligencia artificial avanzada para detectar patrones de
actividad maliciosa asociada con ataques dirigidos. En dos
ocasiones durante 2018, descubrimos grupos de ataque
dirigidos previamente desconocidos en investigaciones
que comenzaron con TAA activada a través de usos de
herramientas del día a día. El aumento en los usos de
herramientas del día a día se ha reflejado en la disminución de
otras técnicas de ataque más antiguas. La cantidad de grupos
de ataque dirigidos que se sabe que usan vulnerabilidades de
día cero fue del 23%, una reducción del 27% a finales de 2017.
Uno de los acontecimientos más dramáticos durante 2018
fue el aumento significativo de las acusaciones en los EE.UU.
contra personas que presuntamente estuvieron involucradas
en espionaje patrocinado por el estado. Cuarenta y nueve
individuos u organizaciones fueron acusados durante 2018,
en comparación con cuatro en 2017 y cinco en 2016. Mientras
que la mayoría de los titulares se dedicaron a la acusación
de 18 presuntos agentes rusos, la mayoría de los cuales
fueron acusados de participar en ataques relacionados con
las elecciones presidenciales de 2016, las acusaciones fueron
mucho más amplias.
Junto a los ciudadanos rusos, 19 individuos u organizaciones
chinos fueron acusados, junto con 11 iraníes y un norcoreano.
Este destaque repentino de publicidad puede perturbar
algunas de las organizaciones mencionadas en estas
acusaciones. Ese panorama limitará gravemente la capacidad
de los individuos acusados para viajar internacionalmente,
lo que podría obstaculizar potencialmente su capacidad para
organizar operaciones contra objetivos en otros países.
Retrospectiva del Año  18
N U B E
ALMACENAMIENTO
SPECTRE
LOS RETOS DE SEGURIDAD
SURGEN EN MÚLTIPLES FRENTES.
Desde problemas simples de mala configuración hasta
vulnerabilidades en los chips de hardware, en 2018 vimos la
amplia gama de desafíos de seguridad que presenta la nube.
Las bases de datos en la nube con poca seguridad
continuaron siendo un punto débil para las organizaciones.
En 2018, los bucketss S3 surgieron como un talón de Aquiles
para las organizaciones, con más de 70 millones de registros
robados o filtrados como resultado de una configuración
deficiente. Esto se produjo inmediatamente después de
una serie de ataques de ransomware contra bases de datos
abiertas como MongoDB en 2017, los grupos de ataque
borraron sus contenidos y exigieron el pago para restaurarlos.
Los grupos de ataque no se detuvieron allí, también se
dirigieron a sistemas de implementación de contenedores
como Kubernetes, aplicaciones sin servidor y otros servicios
de API expuestos públicamente. Hay un tema común en estos
incidentes: una configuración deficiente.
Índice
MELTDOWN
Existen numerosas herramientas ampliamente disponibles
que permiten a posibles grupos de ataque identificar recursos
de nube mal configurados en Internet. A menos de que las
organizaciones tomen medidas para proteger adecuadamente
sus recursos en la nube, como seguir los consejos
proporcionados por Amazon para asegurar los buckets de S3,
se están dejando vulnerables a los ataques.
Una amenaza más engañosa para la nube surgió en 2018
con la revelación de varias vulnerabilidades en los chips de
hardware. Meltdown y Specter explotan vulnerabilidades
en un proceso conocido como ejecución especulativa. La
explotación exitosa proporciona acceso a ubicaciones
de memoria que normalmente están prohibidas. Esto es
particularmente problemático para los servicios en la nube
porque mientras que las instancias de la nube tienen su
propio procesador virtual comparten conjuntos de memoria,
ISTR 24 | Febrero 2019
lo que significa que un ataque exitoso en un solo sistema
físico podría resultar en la filtración de datos de varias
instancias de la nube.
Meltdown y Specter no fueron casos aislados: varias
variantes de estos ataques fueron posteriormente lanzadas
al dominio público durante todo el año. También fueron
seguidos por vulnerabilidades similares a nivel de chip,
como Speculative Store Bypass y Foreshadow, o Falla de
terminal L1. Es probable que esto sea solo el comienzo,
ya que los investigadores y los grupos de ataque detectan
vulnerabilidades a nivel de chip e indican que los servicios en
la nube enfrentarán muchos desafíos.
Retrospectiva del Año  19
 EN LA MIRA
DE LOS CIBERCRIMINALES Y LOS
GRUPOS DE ATAQUE DIRIGIDOS.
Mientras que los gusanos y los bots continuaron siendo
responsables de la gran mayoría de los ataques de
Internet de las cosas (IoT), en 2018 vimos surgir una nueva
generación de amenazas cuando los grupos de ataques
dirigidos mostraron interés en el IoT como un vector de
infección.
El volumen general de ataques de IoT se mantuvo alto
en 2018 y fue consistente (-0.2%) en comparación con
2017. Los enrutadores y las cámaras conectadas fueron
los dispositivos más infectados y representaron el 75% y
15% de los ataques, respectivamente. No es sorprendente
que los enrutadores sean los dispositivos más específicos
debido a su accesibilidad desde Internet. También son
atractivos ya que proporcionan un punto de partida
efectivo para los grupos de ataque.
El famoso gusano de denegación de servicio (DDoS) de
Mirai continuó siendo una amenaza activa y, con el 16%
de los ataques, fue la tercera amenaza más común de
IoT en 2018. Mirai está en constante evolución y las
variantes utilizan hasta 16 ataques diferentes, agregando
persistentemente nuevos ataques para aumentar la
tasa de éxito de infecciones, ya que los dispositivos a
menudo permanecen sin actualización. El gusano también
Índice ISTR 24 | Febrero 2019
amplió su alcance al enfocarse en servidores de Linux sin
actualización. Otra tendencia notable fue el aumento de los
ataques contra los sistemas de control industrial (ICS). El
grupo Thrip fue tras los satélites, y Triton atacó los sistemas
de seguridad industrial, dejándolos vulnerables al sabotaje
o los ataques de extorsión. Cualquier dispositivo informático
es un objetivo potencial.
La aparición de VPNFilter en 2018 representó una evolución
de las amenazas de IoT. VPNFilter fue la primera amenaza
persistente de IoT, con su capacidad de sobrevivir a un
reinicio, lo que hace que sea muy difícil de eliminar. Con una
serie de potentes cargas útiles a su disposición, tales como
ataques man in the middle (MitM), exfiltración de datos, robo
de credenciales e intercepción de comunicaciones de SCADA,
VPNFilter fue una desviación de la actividad tradicional de
amenazas de IoT, como el DDoS y la extracción de monedas.
También incluye una capacidad destructiva que puede
“bloquear”, o borrar un dispositivo con las órdenes de los
grupos de ataque, si desean destruir las pruebas. VPNFilter es
el resultado del trabajo de un grupo de amenazas capacitado
y con muchos recursos, y demuestra cómo los dispositivos de
IoT ahora enfrentan el ataque desde muchos frentes.
Retrospectiva del Año  20

ELECTORAL 2018
Con las elecciones presidenciales de los EE.UU. en 2016
impactadas por varios ataques cibernéticos, como el ataque
al Comité Nacional Demócrata (DNC), todas las miradas
se centraron en las elecciones parciales de 2018. Justo
un mes después del día de las elecciones, el Comité del
Congreso Nacional Republicano (NRCC) confirmó que su
sistema de correo electrónico fue hackeado por un tercero
desconocido en el período previo a las elecciones. Los
hackers aparentemente obtuvieron acceso a las cuentas de
correo electrónico de cuatro asesores principales de NRCC y
podrían haber recolectado miles de correos electrónicos en
el transcurso de varios meses.
Luego, en enero de 2019, el DNC reveló que fue objetivo
de un ataque fallido de phishing poco después de que
terminaran las elecciones de 2018. Se cree que el grupo de
espionaje cibernético APT29, que ha sido atribuido por el
Departamento de Seguridad Nacional de EE.UU. (DHS) y el
FBI a Rusia, es responsable de la campaña.
Índice
En julio y agosto de 2018, Microsoft descubrió y cerró Twitter eliminó más de 10.000 bots que publicaban
múltiples dominios maliciosos que imitaban sitios web mensajes para alentar a las personas a no votar y actualizó
pertenecientes a organizaciones políticas. Se cree que el sus reglas para identificar cuentas falsas y proteger la
grupo de espionaje cibernético APT28 (que también ha integridad de elecciones. Twitter también publicó un archivo
sido atribuido por Seguridad Nacional y el FBI a Rusia) de tweets asociados con dos operaciones de propaganda
ha establecido algunos de estos sitios como parte de una patrocinadas por naciones que abusaron de la plataforma
campaña de spear phishing dirigida a candidatos en las para difundir la desinformación destinada a influir en la
elecciones del Congreso y Senado de 2018. Para combatir opinión pública.
ataques de suplantación de identidad de sitios web como
este, Symantec lanzó el Proyecto Dolphin, una herramienta Otros esfuerzos para combatir la interferencia en las
de seguridad gratuita para propietarios de sitios web. elecciones en 2018 incluyeron al Cibercomando de los
EE.UU. contactando a los hackers rusos directamente
Los adversarios siguieron centrándose en el uso de para decirles que habían sido identificados por agentes
plataformas de medios sociales para influir en los votantes de los EE.UU. y estaban siendo rastreados; el DHS ofrece
en 2018. Aunque esto no es nada nuevo, las tácticas evaluaciones de seguridad gratuitas de las máquinas y
utilizadas se han vuelto más sofisticadas. Algunas cuentas procesos electorales estatales; y la adopción generalizada
vinculadas a Rusia, por ejemplo, utilizaron a terceros para de los llamados sensores Albert, hardware que ayuda al
comprar anuncios de redes sociales para ellos y evitaron gobierno federal a supervisar la evidencia de interferencia
el uso de las direcciones IP rusas o la moneda rusa. Las con las computadoras utilizadas para ejecutar elecciones.
cuentas falsas también comenzaron a enfocarse más
en la promoción de eventos y maniestaciones, que no
se monitorean tan de cerca como los anuncios dirigidos
políticamente.
Empresas propietarias de plataformas de redes sociales y
agencias gubernamentales tomaron un papel más proactivo
para combatir la interferencia electoral en 2018. Facebook
creó una “sala de guerra” para afrontar la interferencia
electoral y bloqueó numerosas cuentas y páginas
sospechosas de estar vinculadas con entidades extranjeras
que intentan influir en la política en los EE.UU., Reino Unido,
Oriente Medio, y latinoamerica.
ISTR 24 | Febrero 2019 Retrospectiva del Año  21
HECHOS
Y CIFRAS
MENSAJERÍA
En 2018, era más probable que los empleados de pequeñas organizaciones se vieran afectados por
amenazas de correo electrónico, incluidos el spam, el phishing y el malware de correo electrónico,
que los de las grandes organizaciones. También descubrimos que los niveles de spam continuaron
aumentando en 2018, como lo han hecho todos los años desde 2015, y el 55% de los correos
electrónicos recibidos en 2018 se clasificaron como spam. Mientras tanto, la tasa de malware de
48 %
DE LOS ADJUNTOS
MALICIOSOS DE CORREO
correo electrónico se mantuvo estable, mientras que los niveles de phishing disminuyeron, pasando
de 1 en 2.995 correos electrónicos en 2017 a 1 en 3.207 correos electrónicos en 2018. La tasa de
ELECTRÓNICO SON
phishing ha disminuido cada año durante los últimos cuatro años. ARCHIVOS DE OFFICE
También observamos menos URL utilizadas en correos electrónicos maliciosos, ya que los grupos CONTRA APENAS 5%
de ataque se centraron en el uso de archivos adjuntos de correo electrónico maliciosos como un
vector de infección primario. El uso de URL maliciosas en los correos electrónicos había saltado a
EN 2017
12,3% en 2017, pero se redujo a 7,8% en 2018. La telemetría de Symantec muestra que los usuarios
de Microsoft Office son los que corren más riesgo de ser víctimas de malware basado en correo
electrónico. Los archivos de Office representan el 48% de los archivos adjuntos de correo electrónico
maliciosos, siendo que este porcentaje era solo 5% en 2017.

CORREO ELECTRÓNICO DISFRAZADO EL ARCHIVO DE OFFICE APERTURA DEL ADJUNTO

COMO NOTIFICACIÓN, O COMO UNA ADJUNTO CONTIENE UN EJECUTA EL SCRIPT PARA
FACTURA O RECIBO SCRIPT MALICIOSO DESCARGAR MALWARE

1 2 3
TASA DE CORREO ELECTRÓNICO MALICIOSO (AÑO) CORREO ELECTRÓNICO MALICIOSO POR USUARIO (MES)
30%
2018
El porcentaje de usuarios afectados 25%

con correo electrónico malicioso se

1 de 412

20%

TASA DE URL DE CORREO ELECTRÓNICO MALICIOSO (AÑO)

mantuvo durante 2018. 15%

10%
2018

7,8% 5%

0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
TASA DE CORREO ELECTRÓNICO MALICIOSO (MES) TASA DE URL DE CORREO ELECTRÓNICO MALICIOSO (MES)
Usuarios afectados (%)
200 14%

300 12%
TASA DE CORREO ELECTRÓNICO MALICIOSO
400
10% POR INDUSTRIA (AÑO)
8%
500
TASA DE CORREO ELECTRÓNICO
6%
INDUSTRIA MALICIOSO (1 DE CADA)
600
4% Minería 258
700 2%
Agricultura, Forestal y Pesca 302
Administración Pública 302
800 0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Manufactura 369
Comercio Mayorista 372
Tasa de correo electrónico malicioso (1 de cada) % de correo electrónico malicioso
Construcción 382
Establecimientos No Clasificables 450
Transporte & Servicios Públicos 452
Finanzas, Seguros y Mercado Inmobiliario 491
Servicios 493
Comercio Minorista 516

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  24

TASA DE URL DE CORREO ELECTRÓNICO MALICIOSO CORREO ELECTRÓNICO MALICIOSO POR USUARIO TASA DE URL EN CORREO ELECTRÓNICO MALICIOSO
POR INDUSTRIA (AÑO) POR INDUSTRIA (AÑO) POR TAMAÑO DE LA ORGANIZACIÓN (AÑO)

INDUSTRIA MALWARE DE CORREO ELECTRÓNICO (%) INDUSTRIA USUARIOS AFECTADOS (%) TAMAÑO DE LA ORGANIZACIÓN CORREO ELECTRÓNICO MALICIOSO (%)

Agricultura, Forestal y Pesca 11,2 Minería 38,4 1-250 6,6

Comercio Minorista 10,9 Comercio Mayorista 36,6 251-500 8,3
Minería 8,9 Construcción 26,6 501-1000 6,6
Servicios 8,2 Establecimientos No Clasificables 21,2 1001-1500 8,3
Construcción 7,9 Comercio Minorista 21,2 1501-2500 7,3
Administración Pública 7,8 Agricultura, Forestal y Pesca 21,1 +2501 8,6
Finanzas, Seguros y Mercado Inmobiliario 7,7 Manufactura 20,6
Manufactura 7,2 Administración Pública 20,2
Establecimientos No Clasificables 7,2 Transporte & Servicios Públicos 20,0 CORREO ELECTRÓNICO MALICIOSO POR USUARIO
Comercio Mayorista 6,5 Servicios 11,7 POR TAMAÑO DE LA ORGANIZACIÓN (AÑO)
Transporte & Servicios Públicos 6,3 Finanzas, Seguros y Mercado Inmobiliario 11,6
TAMAÑO DE LA ORGANIZACIÓN USUARIOS AFECTADO (1 DE CADA)

1-250 6
TASA DE CORREO ELECTRÓNICO MALICIOSO 251-500 6
POR TAMAÑO DE LA ORGANIZACIÓN (AÑO)
501-1000 4
Los empleados de organizaciones 1001-1500 7

más pequeñas tenían más

TASA DE CORREO ELECTRÓNICO
TAMAÑO DE LA ORGANIZACIÓN MALICIOSO (1 DE CADA) 1501-2500 4

probabilidades de verse
1-250 323 +2501 11

251-500 356

afectados por amenazas de 501-1000 391

correo electrónico, incluido spam, 1001-1500

1501-2500
823
440
phishing y malware de correo +2501 556

electrónico, que los de las grandes

organizaciones.

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  25

TASA DE CORREO ELECTRÓNICO MALICIOSO POR PAÍS (AÑO)
España 9,4

TASA DE CORREO ELECTRÓNICO TASA DE CORREO ELECTRÓNICO Katar 8,9

PAÍS MALICIOSO (1 DE CADA) PAÍS MALICIOSO (1 DE CADA)
Estados Unidos 8,9
Arabia Saudita 118 Brasil 415
Portugal 8,4
Israel 122 Corea del Sur 418
India 8,3
Austria 128 Portugal 447
Filipinas 8,1
Sudáfrica 131 España 510
Singapur 7,7
Serbia 137 Finlandia 525
Luxemburgo 7,3
Grecia 142 Canadá 525
Italia 7,1
Omán 160 Suecia 570
Austria 6,7
Taiwán 163 Nueva Zelanda 660
Sudáfrica 6,7
Sri Lanka 169 Estados Unidos 674
Papúa Nueva Guinea 6,5
Emiratos Árabes Unidos 183 Francia 725
Corea del Sur 6,5
Tailandia 183 Australia 728
Alemania 6,3
Polonia 185 India 772
Japón 6,3
Noruega 190 México 850
Bélgica 6,1
Hungría 213 Japón 905
Reino Unido 6,1
Katar 226 Hungría 5,9
Singapur 228 Arabia Saudita 5,2
TASA DE URL DE CORREO ELECTRÓNICO MALICIOSO
Italia 232
POR PAÍS (AÑO) Dinamarca 5,1
Países Bajos 241 Hong Kong 5,1
Reino Unido 255 Malasia 5,1
PAÍS CORREO ELECTRÓNICO MALICIOSO (%)
Irlanda 263 China 4,9
Brasil 35,7
Luxemburgo 272 Países Bajos 4,9
México 29,7
Hong Kong 294 Serbia 4,4
Noruega 12,8
China 309 Taiwán 4,4
Suecia 12,4
Dinamarca 311 Emiratos Árabes Unidos 4,2
Canadá 11,5
Malasia 311 Sri Lanka 4,1
Nueva Zelanda 11,3
Colombia 328 Irlanda 3,9
Colombia 11,0
Suiza 334 Omán 3,6
Australia 10,9
Papúa Nueva Guinea 350 Tailandia 3,4
Francia 10,5
Alemania 352 Grecia 3,3
Finlandia 9,7
Filipinas 406 Polonia 2,8
Suiza 9,5
Bélgica 406 Israel 1,9

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  26

PRINCIPALES TEMAS DE CORREO ELECTRÓNICO (AÑO) PRINCIPALES TIPOS DE ADJUNTO DE CORREO ELECTRÓNICO PRINCIPALES PALABRAS CLAVE DE FRAUDES BEC (AÑO)
MALICIOSO (AÑO)
TEMA DE ASUNTO PORCENTAJE ASUNTO PORCENTAJE

Cuenta 15,7 TIPO DE ARCHIVO PORCENTAJE urgent (urgente) 8,0

Error de entrega de correo electrónico 13,3 .doc, .dot 37,0 request (solicitud) 5,8
Entrega e paquete 2,4 .exe 19,5 important (importante) 5,4
Autoridades legales/ jurídicas 1,1 .rtf 14,0 payment (pago) 5,2
Documento digitalizado 0,3 .xls, .xlt, .xla 7,2 attention (atención) 4,4
.jar 5,6 outstanding payment (actualización importante) 4,1
.html, htm 5,5 info (información) 3,6
PALABRAS CLAVE DE CORREO ELECTRÓNICO (AÑO) .docx 2,3 important update (actualización importante) 3,1
.vbs 1,8 attn (atención) 2,3
PALABRAS PORCENTAJE .xlsx 1,5 transaction (transacción) 2,3
invoice (factura) 13,2 .pdf 0,8

mail (correspondencia) 10,2

sender (remitente)
payment (pago)
important (importante)
9,2 TASA DE PHISHING DE CORREO ELECTRÓNICO (AÑO)
8,9
PRINCIPALES CATEGORÍAS DE ADJUNTO
DE CORREO ELECTRÓNICO MALICIOSO (AÑO)
8,5 TASA DE PHISHING (1 DE CADA)

message (mensaje) 7,7 3.207

TIPO DE ARCHIVO PORCENTAJE
new (nuevo) 7,2
Scripts 47,5
returned (devuelto) 6,9
Ejecutables 25,7
: 6,9
Otros 25,1
delivery (entrega) 6,6

Las tasas de phishing

NÚMERO PROMEDIO MENSUAL DE ORGANIZACIONES
AFECTADAS POR FRAUDES BEC (AÑO)
disminuyeron, pasando de
1 en 2.995 correos electrónicos
PROMEDIO en 2017 a 1 en 3.207 correos
electrónicos en 2018.
5.803

PROMEDIO DE CORREOS ELECTRÓNICOS BEC

POR ORGANIZACIÓN (AÑO)

PROMEDIO

4,5

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  27

TASA DE PHISHING DE CORREO ELECTRÓNICO (MES) TASA DE PHISHING DE CORREO ELECTRÓNICO TASA DE PHISHING DE CORREO ELECTRÓNICO
POR INDUSTRIA (AÑO) POR TAMAÑO DE LA ORGANIZACIÓN (AÑO)
2.000

2.500 INDUSTRIA TASA DE PHISHING (1 DE CADA) TAMAÑO DE LA ORGANIZACIÓN TASA DE PHISHING (1 DE CADA)

Agricultura, Forestal y Pesca 1.769 1-250 2.696

3.000
Finanzas, Seguros y Mercado Inmobiliario 2.628 251-500 3.193
3.500 Minería 2.973 501-1000 3.203
Comercio Mayorista 3.042 1001-1500 6.543
4.000
Administración Pública 3.473 1501-2500 3.835
4.500 Servicios 3.679 +2501 4.286
Construcción 3.960
5.000
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Comercio Minorista 3.971
Manufactura 3.986
TASA DE PHISHING DE CORREO ELECTRÓNICO POR USUARIO
Tasa de phishing (1 de cada) POR TAMAÑO DE LA ORGANIZACIÓN (AÑO)
Establecimientos No Clasificables 5.047
Transporte & Servicios Públicos 5.590
TASA DE PHISHING DE CORREO ELECTRÓNICO TAMAÑO DE LA ORGANIZACIÓN USUARIOS AFECTADOS (1 DE CADA)

POR USUARIO (MES) 1-250 52

251-500 57
30 TASA DE PHISHING DE CORREO ELECTRÓNICO
501-1000 30
POR USUARIO POR INDUSTRIA (AÑO)
40 1001-1500 56
1501-2500 36
INDUSTRIA USUARIOS AFECTADOS (1 DE CADA)
50 +2501 82
Comercio Mayorista 22
Agricultura, Forestal y Pesca 28
60
Minería 30
70 Comercio Minorista 36
Construcción 39
80 Finanzas, Seguros y Mercado Inmobiliario 46
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
Manufactura 52
Usuarios afectados (%) Establecimientos No Clasificables 53
Administración Pública 57
Transporte & Servicios Públicos 62
Servicios 64

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  28

TASA DE PHISHING DE CORREO ELECTRÓNICO POR PAÍS (AÑO) TASA DE SPAM DE CORREO ELECTRÓNICO (MES)
56,0%
PAÍS TASA DE PHISHING (1 DE CADA) PAÍS TASA DE PHISHING (1 DE CADA)

Arabia Saudita 675 Grecia 4.311

55,5%
Noruega 860 Israel 4.472

Países Bajos 877 Colombia 4.619

55,0%
Austria 1.306 Malasia 4.687

Sudáfrica 1.318 Alemania 5.223

Hungría 1.339 Dinamarca 5.312 54,5%

Tailandia 1.381 México 5.389

Taiwán 1.712 Francia 5.598 54,0%

Brasil 1.873 India 5.707 Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic

Emiratos Árabes Unidos 2.312 Serbia 6.376 Tasa de spam (%)

Nueva Zelanda 2.446 Finlandia 6.617

Hong Kong 2.549 Japón 7.652

Corea del Sur 8.523
SPAM DE CORREO ELECTRÓNICO POR USUARIO (MES)
Singapur 2.857
Luxemburgo 2.860 Polonia 9.653 85

Italia 3.048
80
Katar 3.170
TASA DE SPAM DE CORREO ELECTRÓNICO (AÑO)
China 3.208
75
Estados Unidos 3.231
TASA DE CORREO ELECTRÓNICO DE SPAM (%)
Irlanda 3.321 70
55
Bélgica 3.322
Suecia 3.417 65

Australia 3.471
60
Suiza 3.627
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
España 3.680
Reino Unido 3.722 Spam por usuario

Omán 3.963
Papúa Nueva Guinea 4.011
Sri Lanka 4.062
Portugal 4.091
Filipinas 4.241
Canadá 4.308

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  29

TASA DE SPAM DE CORREO ELECTRÓNICO TASA DE SPAM DE CORREO ELECTRÓNICO
POR INDUSTRIA (AÑO) POR TAMAÑO DE LA ORGANIZACIÓN (AÑO)
Colombia 56,8

INDUSTRIA TASA DE SPAM DE CORREO ELECTRÓNICO (%) TAMAÑO DE LA ORGANIZACIÓN TASA DE SPAM DE CORREO ELECTRÓNICO (%) Bélgica 56,2

Minería 58,3 1-250 55,9 Serbia 55,8

Finanzas, Seguros y Mercado Inmobiliario 56,7 251-500 53,6 Singapur 55,4

Manufactura 55,1 501-1000 54,5 Reino Unido 54,8

Alemania 54,8
Administración Pública 54,9 1001-1500 56,9
Taiwán 54,5
Agricultura, Forestal y Pesca 54,6 1501-2500 53,7
Austria 54,4
Transporte & Servicios Públicos 54,6 +2501 54,9
Finlandia 54,4
Establecimientos No Clasificables 54,2
Hungría 54,4
Servicios 54,1
Comercio Minorista 53,7
SPAM DE CORREO ELECTRÓNICO Grecia 54,2
POR USUARIO POR TAMAÑO DE LA ORGANIZACIÓN (AÑO) Israel 54,1
Construcción 53,6
Dinamarca 54,1
Comercio Mayorista 52,6
TAMAÑO DE LA ORGANIZACIÓN SPAM POR USUARIO Francia 54
1-250 55 Países Bajos 53,9

SPAM DE CORREO ELECTRÓNICO 251-500 57 Australia 53,9

POR USUARIO POR INDUSTRIA (AÑO) 501-1000 109 Nueva Zelanda 53,4

1001-1500 125 Canadá 53,4

INDUSTRIA SPAM POR USUARIO 1501-2500 107 Italia 53,4

Comercio Mayorista 135 +2501 55 Polonia 53,2

Comercio Minorista 111 España 52,9

Minería 109 Katar 52,6

Construcción 103
TASA DE CORREO ELECTRÓNICO DE SPAM POR PAÍS (AÑO) Corea del Sur 52,4
Portugal 52,1
Establecimientos No Clasificables 97
PAÍS TASA DE SPAM DE CORREO ELECTRÓNICO (%) Luxemburgo 51,4
Transporte & Servicios Públicos 93
Arabia Saudita 66,8 Malasia 51,4
Manufactura 79
China 62,2 Tailandia 51,1
Agricultura, Forestal y Pesca 66
Brasil 60,8 Irlanda 51
Administración Pública 63
Sri Lanka 60,6 India 50,9
Finanzas, Seguros y Mercado Inmobiliario 61
Noruega 59,1 Sudáfrica 50,8
Servicios 59
Omán 58,6 Suiza 50,8

Suecia 58,3 Hong Kong 50,5

México 58,1 Papúa Nueva Guinea 50

Emiratos Árabes Unidos 58,1 Filipinas 49,5

Estados Unidos 57,5 Japón 48,7

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  30

 MALWARE
8.000.000
US$ 450

Emotet continuó expandiendo agresivamente su participación de mercado en 2018,

representando el 16% de los troyanos financieros, un aumento del 4% en 2017.
US$ 400
Emotet también estaba siendo utilizado para difundir Qakbot, que estaba en el
séptimo lugar en la lista de troyanos financieros, con un 1,8%. de detecciones.
Ambas amenazas presentan desafíos más serios para las organizaciones debido
7.000.000 a su funcionalidad de auto-propagación.
El uso de scripts maliciosos de PowerShell aumentó en un 1.000% en 2018, ya que
US$ 350
los grupos de ataque continuaron el movimiento hacia los usos de herramientas del
día a día. Un escenario de ataque común utiliza macros de Office para llamar a un EL MECANISMO DE
script de PowerShell, que a su vez descarga la carga útil maliciosa. Los descargadores AUTOPROPAGACIÓN
de macros de Office representaron la mayoría de las detecciones del descargador, EMOTET SUBIÓ PARA
mientras que las amenazas VBS.Downloader y JS.Downloader disminuyeron.
US$ 300
En 2018, también bloqueamos 69 millones de eventos de cryptojacking, cuatro
veces más que los bloqueados en 2017. Sin embargo, la actividad de cryptojacking
6.000.000 disminuyó en un 52% entre enero y diciembre de 2018. Esto reflejó la disminución en
los valores de criptomoneda, aunque a un ritmo menor. Por primera vez desde 2013,
el número total de infecciones por ransomware se redujo, disminuyendo en más de FRENTE A 4% EN 2017
US$ 250
20% en relación al año anterior. Sin embargo, las detecciones corporativas superaron
la tendencia, aumentando en un 12%, lo que demuestra que el ransomware sigue
siendo un problema para las empresas. En 2018 surgieron menos familias nuevas de
ransomware, lo que indica que el ransomware puede tener menos atractivo para los
ciberdelincuentes que antes.
US$ 200

5.000.000

US$ 150

US$ 100

4.000.000

US$ 50

TOTAL DE EVENTOS DE CRYPTOJACKING POR MES

0
3.000.000 VALOR DE MONERO
NUEVAS VARIANTES DE MALWARE (AÑO) PRINCIPALES NUEVAS VARIANTES DE MALWARE (MES)

AÑO NUEVAS VARIANTES VARIACIÓN PORCENTUAL

35.000.000
2016 357.019.453 0,5

2017 669.947.865 87,7

30.000.000
2018 246.002.762 -63,3

25.000.000

20.000.000
Emotet continuó expandiendo
agresivamente su participación de 15.000.000
mercado en 2018, representando el
16% de los troyanos financieros, un 10.000.000

aumento del 4% en 2017.

5.000.000

Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic

XM.Mailcab@mm W32.Ramnit!html Trojan.Kotver!gm2 Heur.AdvML.C

WS.Reputation.1 W32.Almanahe.B!inf PUA.WASMcoinminer Heur.AdvML.B

W32.Sality.AE JS.Webcoinminer

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  32

TOP MALWARE (AÑO) TOP MALWARE (MES)

NOMBRE DE LA AMENAZA ATAQUES BLOQUEADOS PORCENTAJE 15.000.000

Heur.AdvML.C 43.999.373 52,1
Heur.AdvML.B 8.373.445 9,9
BloodHound.SymVT.FP 3.193.779 3,8
JS.Webcoinminer 2.380.725 2,8 12.000.000
Heur.AdvML.S.N 2.300.919 2,7
W97M.Downloader 1.233.551 1,5
Packed.Dromedan!lnk 1.215.196 1,4
9.000.000
Hacktool 846.292 1,0
Hacktool.Kms 763.557 0,9
Trojan.Mdropper 679.248 0,8

6.000.000

3.000.000
Los grupos de delitos cibernéticos,
como Mealybug y Necurs,
continuaron usando macros en los 0

archivos de Office como su método Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic

preferido para propagar cargas

útiles maliciosas en 2018. BloodHound.SymVT.FP Heur.AdvML.B Heur.AdvML.S.N Trojan.Mdropper

Hacktool Heur.AdvML.Cf JS.Webcoinminer W97M.Downloader

Hacktool.Kms Packed.Dromedan!lnk

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  33

TOTAL DE MALWARE (MES) DESCARGADORES DE MACROS DE OFFICE (MES) DESCARGADORES DE JAVASCRIPT (MES)

25.000.000 300.000 150.000

250.000
20.000.000 120.000

200.000
15.000.000 90.000
150.000
10.000.000 60.000
100.000

5.000.000 30.000
50.000

0 0 0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic

Ataques bloqueados Descargadores bloqueados Descargadores bloqueados

TOTAL DE DESCARGADORES (MES) DESCAGADORES VBSCRIPT (MES)

350.000
100.000

300.000 Si bien las amenazas

VBS.Downloader y JS.Downloader
80.000
250.000

200.000
tuvieron una tendencia descendente 60.000

150.000
en 2018, los descargadores de 40.000

macros de Office mostraron una

100 .000
20.000
50.000

0 tendencia ascendente hacia finales 0

Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
de año. Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic

Descargadores bloqueados
Descargadores bloqueados

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  34

TOTAL DE MALWARE POR SISTEMA OPERATIVO (AÑO) PRINCIPALES NUEVAS VARIANTES DE MALWARE PARA MAC (MES)

SISTEMA ATAQUES
AÑO OPERATIVO BLOQUEADOS PORCENTAJE 500.000
2016 Windows 161.708.289 98,5
Mac 2.445.414 1,5
2017 Windows 165.639.264 97,6
Mac 4.011.252 2,4 400.000
2018 Windows 144.338.341 97,2
Mac 4.206.986 2,8

300.000
TOTAL DE MALWARE PARA MAC (MES)
500.000

400.000 200.000

300.000

200.000
100.000

100.000

0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic 0

Ataques bloqueados Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic

NUEVAS VARIANTES DE MALWARE PARA MAC (AÑO) Wasm.Webcoinminer PUA.WASMcoinminer Miner.Jswebcoin Heur.AdvML.B

AÑO VARIANTES VARIACIÓN PORCENTUAL

W97M.Downloader OSX.Shlayer JS.Webcoinminer Bloodhound.Unknown
2016 772.018
2017 1.390.261 80,1
2018 1.398.419 0,6
SMG.Heur!gen JS.Nemucod

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  35

PRINCIPALES MALWARE PARA MAC (AÑO) PRINCIPALES MALWARE PARA MAC (MES)

NOMBRE DE LA AMENAZA ATAQUES BLOQUEADOS PORCENTAJE

250.000
OSX.MacKeeper 452.858 19,6
OSX.Malcol 338.806 14,7
W97M.Downloader 262.704 11,4
OSX.Malcol.2 205.378 8,9
200.000
Heur.AdvML.B 166.572 7,2
JS.Webcoinminer 122.870 5,3
Trojan.Mdropper 77.800 3,4
OSX.Shlayer 59.197 2,6 150.000
OSX.AMCleaner!g1 49.517 2,1
JS.Downloader 40.543 1,8

100.000

50.000
En 2018, Symantec bloqueó
69 millones de eventos de
cryptojacking, 4 veces 0

más eventos que 2017. Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic

W97M.Downloader OSX.Malcol.2 OSX.MacKeeper!gen1 JS.Webcoinminer

Trojan.Mdropper OSX.Malcol OSX.MacKeeper Heur.AdvML.B

OSX.Shlayer OSX.AMCleaner!g1

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  36

PORCENTAJE DE MALWARE ACTIVADO POR SSL (AÑO) RANSOMWARE POR PAÍS (MES)

AÑO PORCENTAJE DE MALWARE QUE UTILIZA SSL

40.000
2017 4,5
2018 3,9
35.000

TOTAL DE RANSOMWARE (AÑO) 30.000

AÑO TOTAL
25.000
2018 545.231

20.000
RANSOMWARE POR MERCADO (AÑO)
15.000
MERCADO TOTAL

Consumidores 100.907
10.000
Corporativo 444.259

5.000
PRINCIPALES RANSOMWARE POR PAÍS (AÑO)
0
PAÍS PORCENTAJE

China 16,9
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
India 14,3
Estados Unidos 13,0 Estados Unidos México Indonesia Chile
Brasil 5,0
Portugal 3,9
Sudáfrica Japón India Brasil
México 3,5
Indonesia 2,6
Japón 2,1
Portugal China
Sudáfrica 2,1
Chile 1,8

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  37

TOTAL DE RANSOMWARE (MES) RANSOMWARE POR MERCADO (MES) MALWARE: PRINCIPALES VARIANTES DE MINADORES DE
50.000 CRIPTOMONEDAS (MES)
60.000 8.000.000

50.000 40.000 7.000.000

6.000.000
40.000
30.000
5.000.000
30.000
20.000 4.000.000
20.000
3.000.000
10.000
10.000 2.000.000

0 1.000.000
0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
Ransomware Corporativo

Consumidores Zcashminer WASM.Webcoinminer Linux.Coinminer CPUMiner

NUEVAS VARIANTES DE RANSOMWARE (MES) Xiaobaminer Shminer JS.Webcoinminer Bitcoinminer

XMRigminer Coinminer
25.000 NUEVAS FAMILIAS DE RANSOMWARE (AÑO)
120
20.000
98
100

15.000
80 El número total de infecciones por
10.000
60 ransomware cayó, disminuyendo
5.000
40
en más del 20% en relación
al año pasado. Sin embargo,
30 28
0
20
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic 10
las detecciones corporativas
superaron la tendencia,
Nuevas variantes 0
2015 2016 2017 2018

Familias de Ransomware aumentando en un 12%, lo que

NUEVAS VARIANTES DE RANSOMWARE (AÑO)
demuestra que el ransomware
AÑO TOTAL sigue siendo un problema para las
2018 186.972
empresas.

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  38

TOTAL DE CRYPTOJACKING (MES) PRINCIPALES MINADORES DE CRIPTOMONEDAS (AÑO) MINERADORES DE CRIPTOMOEDAS POR MERCADO (MES)
1.500.000
8.000.000
NOMBRE DE LA AMENAZA ATAQUES BLOQUEADOS PORCENTAJE
7.000.000
1.200.000
JS.Webcoinminer 2.768.721 49,7
6.000.000
WASM.Webcoinminer 2.201.789 39,5
5.000.000 900.000
Bitcoinminer 414.297 7,4
4.000.000
Bluwimps 58.601 1,1
600.000
3.000.000
XMRigminer 58.301 1,0
2.000.000
Coinminer 38.655 0,7 300.000
1.000.000
Zcashminer 13.389 0,2
0
Gyplyraminer 5.221 0,1 0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
CPUMiner 3.807 0,1
Cryptojacking
Linux.Coinminer 3.324 0,1 Corporativo

Consumidores

PRINCIPALES MINADORES DE CRIPTOMONEDAS (MES) PRINCIPALES MINADORES DE CRIPTOMONEDAS

2.500.000
PARA MAC (MES)
150.000 TOTAL DE TROYANOS FINANCIEROS (MES)
2.000.000 7.000
120.000
6.000
1.500.000
90.000 5.000

1.000.000
4.000
60.000
3.000
500.000
30.000 2.000
0
1.000
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic 0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic 0
Zcashminer Linux.Coinminer Gyplyraminer Bluwimps Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
Zcashminer OSX.Coinminer Linux.Coinminer CPUMiner
XMRigminer JS.Webcoinminer Coinminer Bitcoinminer Ataques bloqueados
XMRigminer Neoscryptminer JS.Webcoinminer Bitcoinminer
WASM.Webcoinminer CPUMiner
WASM.Webcoinminer Coinminer

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  39

PRINCIPALES TROYANOS FINANCIEROS (MES) DETECCIONES DE POWERSHELL (MES)
80.000
El uso de scripts maliciosos de
PowerShell aumentó en un 1.000%
70.000 PORCENTAJE DE SCRIPTS RELACIÓN
MES MALICIOSOS DE POWERSHELL (1 DE CADA)
60.000

en 2018, ya que los grupos de

Ene 0,1 1.000
50.000
Feb 0,5 200
40.000 ataque continuaron el movimiento Mar 2,5 40

30.000
hacia los usos de herramientas del Abr
May
0,4
1,3
250
77
día a día.
20.000
Jun 0,9 111
10.000
Jul 1,4 71
0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Ago 0,8 125
Sep 1,0 100
Zbot Ramnit Emotet Carberp MALWARE CAPAZ DE IDENTIFICAR MÁQUINAS Oct 1,0 100
VIRTUALES (AÑO)
Trickybot Qakbot Cridex Bebloh Nov 0,7 143
25%
Shylock Dic 0,7 143
Cidox/Rovnix
20%
20%
18%
16%
15% DETECCIONES DE POWERSHELL (AÑO)
PRINCIPALES TROYANOS FINANCIEROS (AÑO) 15%

PORCENTAJE DEL AUMENTO DEL

10%
TROYANO FINANCIERO ATAQUES BLOQUEADOS PORCENTAJE TOTAL QUE ES RELACIÓN PORCENTAJE DE
AÑO MALICIOSO (1 DE CADA) SCRIPTS MALICIOSOS
Ramnit 271.930 47,4
5% 2017 0,9 111
Zbot 100.821 17,6
2018 0,9 111 998,9
Emotet 92.039 16,0
0
Cridex 31.539 5,5 2015 2016 2017 2018

Carberp 22.690 4,0

Malware capaz de identificar máquinas virtuales
Trickybot 14.887 2,6
Qakbot 10.592 1,8
Shylock 7.354 1,3
Bebloh 5.592 1,0
Cidox/Rovnix 3.889 0,7

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  40

DISPOSITIVOS
MÓVILES

33
Si bien el número total de infecciones de malware móvil disminuyó durante
2018, hubo un rápido aumento en el número de infecciones de ransomware en

%
dispositivos móviles, un tercio más que en 2017. EE.UU. Fue el más afectado por
el ransomware móvil, con un 63% de infecciones. Le siguieron China (13%) y
Alemania (10%).
La gestión de la seguridad de los dispositivos móviles continúa presentando
un desafío para las organizaciones. Durante 2018, uno de cada 36 dispositivos
utilizados en las organizaciones se clasificó como de alto riesgo. Esto incluía
dispositivos que estaban enraizados o liberados, junto con dispositivos que
tenían un alto grado de certeza de que se había instalado malware.

UNO DISPOSITIVOS
MÓVILES HABÍA
DE INSTALADO
APLICACIONES INFECCIONES POR
CADA DE ALTO RIESGO RANSOMWARE EN
DISPOSITIVOS
MÓVILES
AUMENTARON
DESDE 2017
NUEVAS VARIANTES DE MALWARE NUEVAS FAMILIAS DE MALWARE
PARA DISPOSITIVOS MÓVILES (AÑO) PARA DISPOSITIVOS MÓVILES (AÑO)
8.000 80 En 2018, Symantec bloqueó un
6.705 7.000
68
70 promedio de 10.573 aplicaciones
móviles maliciosas por día.
5.932
6.000 60
50
5.000 50
Herramientas (39%), Estilo de
Vida (15%), y Entretenimiento
4.000 40

3.000 30

(7%) fueron las categorías más

2.328 23
2.000 20

1.000 10 observadas de aplicaciones

2016 2017 2018
0
2016 2017 2018
0
maliciosas.
Nuevas variantes agregadas Nuevas familias agregadas

CIFRA DE APLICACIONES MÓVILES BLOQUEADAS (AÑO) CIFRA PROMEDIO MENSUAL DE RANSOMWARE

PARA DISPOSITIVOS MÓVILES (AÑO)

POR DÍA

10.573 POR MES

4.675

PRINCIPALES CATEGORÍAS DE APLICACIONES MALICIOSAS

PARA DISPOSITIVOS MÓVILES (AÑO) PRINCIPALES MALWARE PARA DISPOSITIVOS MÓVILES (AÑO)

CATEGORÍAS PORCENTAJE NOMBRE DE LA AMENAZA PORCENTAJE

Herramientas 39,1 Malapp 29,7
Estilo de Vida 14,9 Fakeapp 9,1
Entretenimiento 7,3 MalDownloader 8,9
Social & Comunicación 6,2 FakeInst 6,6
Música & Audio 4,3 Mobilespy 6,3
Juegos de Memoria & Rompecabezas 4,2 HiddenAds 4,7
Foto & Video 4,2 Premiumtext 4,4
Juegos de Acción y Arcade 4,1 MobileSpy 2,8
Libros y Referencia 3,2 HiddenApp 2,5
Educación 2,6 Opfake 2,0

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  42

PRINCIPALES PAÍSES – MALWARE PARA DISPOSITIVOS DURACIÓN DE LA EXPOSICIÓN A LAS AMENAZAS DISPOSITIVOS EJECUTANDO LA VERSIÓN MÁS RECIENTE
MÓVILES (AÑO) DE LA RED PARA DISPOSITIVOS MÓVILES (AÑO) DE ANDROID (AÑO)

DISPOSITIVOS EXPUESTOS A ATAQUES DE RED PORCENTAJE

Todas las
Después de 1 mes nuevas versiones
15,1
(de dispositivos creados 1-4 meses atrás) del Android
Alemania 3,9% Versión 23,7%
EE.UU. Después de 2 meses principal
China 3% 21,8
Otros 24,7% (de dispositivos creados 25 meses atrás) más reciente
31,3% Japón 2,8% 18,6%
Después de 3 meses
Rusia 2,6% 27,4 Versión
(de dispositivos creados 3-6 meses atrás)
incremental
Brasil 2,3%
Después de 4 meses más reciente
32,2
Holanda 2,1% (de dispositivos creados 4-7 meses atrás) Otros 76,3%
5,1%
India Australia 1,9%
23,6%
Indonesia 1,8%

DISPOSITIVOS QUE NO POSEEN CIFRADO (AÑO)

SEGMENTO PORCENTAJE
Porcentaje de Malware
Consumidores 13,4
Corporativo 10,5
DISPOSITIVOS CON ACCESO ROOT O DESBLOQUEADOS (AÑO)
DISPOSITIVOS EJECUTANDO LA VERSIÓN MÁS RECIENTE
DE IOS (AÑO)
SEGMENTO RELACIÓN (1 DE CADA) NIVELES DE RIESGO DE DISPOSITIVOS (AÑO)
Consumidores Android 23
Corporativo Android 3.890 NIVEL DE RIESGO DE DISPOSITIVOS RELACIÓN (1 DE CADA)
Consumidores iOS 828 Mínimo 2
Otros
Corporativo iOS 4.951 Bajo 4 21,7%
Medio 4
Alto
DISPOSITIVOS MÓVILES PROTEGIDOS POR CONTRASEÑA (incluido los dispositivos con acceso root/desbloqueados/ 36
POR SEGMENTO (AÑO)
que cieramente poseen instancias de malware instaladas)
Versión incremental Versión principal
más reciente más reciente
29,7% 48,6%

SEGMENTO PORCENTAJE

Consumidores 97,9
Corporativo 98,4

Todas las nuevas versiones del iOS 78,3%

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  43

 PROPORCIÓN DE APLICACIONES QUE ACCEDEN A DATOS DE PROPORCIÓN DE APLICACIONES QUE ACCEDEN A DATOS DE
ALTO RIESGO (AÑO) SALUD (AÑO)
El porcentaje de aplicaciones
móviles que emplean técnicas APLICACIONES QUE APLICACIONES QUE

publicitarias invasivas disminuyó.

ACCEDEN A DATOS DE RELACIÓN DIFERENCIA ACCEDAN A DATOS RELACIÓN DIFERENCIA
AÑO ALTO RIESGO (%) (1 DE CADA) PORCENTUAL AÑO DE SALUD (%) (1 DE CADA) PORCENTUAL

Habiendo permanecido estable en

2016 7,2 13,9 2016 0,2 427,3
2017 8,9 11,3 1,7 2017 1,7 57,6 1,5

30% en 2017, cayó a 26% en 2018. 2018 6,9 14,5 -2 2018 2,2 46,3 0,5

PROPORCIÓN DE APLICACIONES QUE CONTIENEN

CREDENCIALES CODIFICADAS INTERNAMENTE (AÑO) PROPORCIÓN DE APLICACIONES QUE UTILIZAN PUBLICIDAD
INVASIVA (AÑO)
APPLICACIONES QUE CONTIENEN
CREDENCIALES CODIFICADAS RELACIÓN DIFERENCIA
AÑO INTERNAMENTE (%) (1 DE CADA) PORCENTUAL PORCENTAJE DE
APLICACIONES QUE
2016 0,8 124,5 UTILIZAN PUBLICIDAD RELACIÓN DIFERENCIA
AÑO INVASIVA (%) (1 DE CADA) PORCENTUAL
2017 1,1 91,0 0,3
2016 19,4 5,2
2018 1,0 99,1 -0,1
2017 30,5 3,3 11,1
2018 26,4 3,8 -4,1

PROPORCIÓN DE APLICACIONES QUE UTILIZAN

HOT PATCHING (AÑO)
PORCENTAJE DE ORGANIZACIONES AFECTADAS POR
APLICACIONES QUE ACCEDEN A DATOS DE SALUD (AÑO)
RIESGO DE
APLICACIONES
QUE UTILIZAN RELACIÓN DIFERENCIA ORGANIZACIONES CON
AÑO HOT PATCHING (%) (1 DE CADA) PORCENTUAL 1+ APLICACIONES: RELACIÓN DIFERENCIA
2016 0,7 142,1 AÑO DATOS DE SALUD (%) (1 DE CADA) PORCENTUAL

2017 0,35 285,1 -0,35 2016 27,6 3,6

2018 0,01 7.146 -0,34 2017 44,9 2,2 17,3

2018 39,0 2,6 -5,9

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  44

PORCENTAJE DE ORGANIZACIONES AFECTADAS PORCENTAJE DE ORGANIZACIONES AFECTADAS POR
POR APLICACIONES QUE ACCEDEN A DATOS APLICACIONES QUE UTILIZAN PUBLICIDAD INVASIVA (AÑO)
DE ALTO RIESGO (AÑO) Hubo un marcado aumento en
PORCENTAJE DE el número de infecciones de
ransomware en dispositivos
PORCENTAJE DE ORGANIZACIONES AFECTADAS
ORGANIZACIONES POR APLICACIONES QUE RELACIÓN DIFERENCIA
ENCONTRADAS CON AÑO UTILIZAN PUBLICIDAD INVASIVA (1 DE CADA) PORCENTUAL

AÑO
APLICACIONES QUE ACCEDEN A
DATOS DE ALTO RIESGO
RELACIÓN
(1 DE CADA)
DIFERENCIA
PORCENTUAL
2016 19,4 5,2 móviles durante 2018, un tercio en
2016 63 1,6
2017
2018
30,5
26,4
3,3
3,8
11,1
-4,1
comparación con 2017.
2017 54,6 1,8 -8,4
2018 46 2,2 -8,6

PRINCIPALES PAÍSES – RANSOMWARE PARA DISPOSITIVOS

PORCENTAJE DE ORGANIZACIONES AFECTADAS POR MÓVILES (AÑO) PRINCIPALES RANSOMWARE PARA DISPOSITIVOS
APLICACIONES QUE CONTIENEN CREDENCIALES MÓVILES (AÑO)
CODIFICADAS INTERNAMENTE (AÑO)
NOMBRE DE LA AMENAZA PORCENTAJE
PORCENTAJE DE Simplocker 59,3
ORGANIZACIONES AFECTADAS Japón 3,4%
POR APLICACIONES QUE Lockdroid.E 26,2
CONTIENEN CREDENCIALES RELACIÓN DIFERENCIA India 2,4%
AÑO CODIFICADAS INTERNAMENTE (1 DE CADA) PORCENTUAL Alemania LockScreen 7,1
Canadá 1,5%
10,4%
2016 47,3 2,1 Simplocker.B 2,8
Reino Unido 0,8%
2017 42,9 2,3 -4,4 Ransomware 2,7
EE.UU. Noruega 0,6%
China 63,2%
2018 34,3 2,9 -8,6 Ransomeware 1,0
13,4% Holanda 0,6%
Lockdroid.F 0,7
Austria 0,6%
Otros 3,1%
Android.WannaLocker <0,1

PORCENTAJE DE ORGANIZACIONES AFECTADAS POR WannaLocker <0,1

APLICACIONES QUE UTILIZAN HOT PATCHING (AÑO) Lockdroid.G <0,1

PORCENTAJE DE
ORGANIZACIONES AFECTADAS
POR APLICACIONES QUE UTILIZAN RELACIÓN DIFERENCIA
AÑO HOT PATCHING (1 DE CADA) PORCENTUAL

2016 31,3 3,2

2017 11,7 8,5 -19,6
2018 6,8 14,7 -4,9

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  45

NÚMERO DE INSTANCIAS BLOQUEADAS POR MALWARE NÚMERO DE INSTANCIAS BLOQUEADAS POR RANSOMWARE
PARA DISPOSITIVOS MÓVILES (MES) PARA DISPOSITIVOS MÓVILES (MES)
12.000 400

350
10.000

300

8.000
250

6.000 200

150
4.000

100

2.000
50

0 0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic

Malware por mes Ransomware por día

Si bien el total anual de infecciones de malware en

dispositivos móviles cayó en 2018, los números de
infecciones comenzaron a aumentar nuevamente
durante el cuarto trimestre del año.

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  46

 ATAQUES WEB ACTIVIDAD DE FORMJACKING
Más de un tercio de la actividad de formjacking
tuvo lugar en el último trimestre de 2018.
En 2018, 1 de cada 10 URL analizadas se identificaron como maliciosas, en comparación con
1 de cada 16 en 2017. Además, a pesar de un descenso en la actividad del kit de explotación,
1,400,000
los ataques web generales en los endpoints aumentaron en un 56% en 2018. En diciembre,
Symantec bloqueó cada día más de 1.3 millones de ataques web únicos en dispositivos de
endpoints.
1.362.990
Formjacking fue una de las mayores tendencias de seguridad cibernética del año, con un
promedio de 4.800 sitios web comprometidos con el código de formjacking todos los meses 4o TRI
en 2018. Formjacking es el uso de código JavaScript malicioso para robar los detalles de las 1,200,000
tarjetas de pago y otra información de
formularios en las páginas web de pago
de los sitios de comercio electrónico, y

1.122.229
en total Symantec bloqueó 3.7 millones
de intentos de secuestro de formularios
en dispositivos de endpoint en 2018.
Más de un tercio de la actividad de 2 o
TRI 1,000,000
formjacking tuvo lugar en el último
trimestre de 2018, con 1.36 millones de
intentos de formjacking bloqueados solo
en ese período.

800,000

697.187
600,000
1o TRI

551.117
3o TRI
400,000

FORMJACKING POR TRIMESTRE

200,000
FORMJACKING POR MES

ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
ATAQUES WEB (AÑO) PRINCIPALES CATEGORÍAS DE SITIOS WEB URLS DE PHISHING (AÑO)
COMPROMETIDOS (AÑO)
PROMEDIO DE ATAQUES WEB PORCENTAJE
TOTAL DE ATAQUES WEB BLOQUEADOS BLOQUEADOS POR DÍA PORCENTAJE DE TODAS
CATEGORÍAS DE DIFERENCIA
DE TODAS RELACIÓN LAS URLS RELACIÓN VARIACIÓN DIFERENCIA
348.136.985 953.800 DOMINIO 2017 (%) 2018 (%) PORCENTUAL AÑO LAS URLS (1 DE CADA) MALICIOSAS (1 DE CADA) PORCENTUAL PORCENTUAL
DNS Dinámico 15,7 16,6 0,8 2017 0,4 235 6,6 15
Apuestas 7,9 16,3 8,4 2018 0,6 170 5,9 17 38,1 0,2
ATAQUES WEB (MES) Alojamiento 8,2 8,7 0,5
50.000.000 Tecnología 13,6 8,1 -5,5
Compras 4,6 8,1 3,6
40.000.000
ATAQUES DE FORMJACKING (AÑO)
Negocios 9,0 7,2 -1,7
Pornografia 3,2 5,2 2,1
30.000.000 AÑO ATAQUES DE FORMJACKING
Salud 5,7 4,5 -1,2
2018 3.733.523
Educación 3,7 3,9 0,2
20.000.000
Red de Entrega de
2,1 2,6 0,6
Contenido
10.000.000
ATAQUES DE FORMJACKING (MES)
600.000
0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
URLS MALICIOSAS (AÑO) 500.000

Ataques Web por mes

400.000
PORCENTAJE RELACIÓN DIFERENCIA
AÑO DO TOTAL (1 DE CADA) PORCENTUAL
300.000
2017 6,4 16
ATAQUES WEB (DÍA)
1.500.000 2018 9,9 10 3,4 200.000

100.000
1.200.000

URLS DE BOTNET (AÑO) 0

900.000 Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic

PORCENTAJE Ataques de Formjacking

600.000
PORCENTAJE DE TODAS
DE TODAS RELACIÓN LAS URLS RELACIÓN VARIACIÓN DIFERENCIA
AÑO LAS URLS (1 DE CADA) MALICIOSAS (1 DE CADA) PORCENTUAL PORCENTUAL
300.000
2017 1,2 85 18,2 5
2018 1,8 54 18,7 5 57,6 0,7 PROMEDIO DE SITIOS WEB ATACADOS
0 POR FORMJACKING WEBSITES (MES)
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic

Ataques Web por día AÑO PROMEDIO DE SITIOS WEB POR MES

2018 4.818

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  48

ATAQUES DIRIGIDOS
Si bien el número total de ataques dirigidos disminuyó un poco el año pasado, los grupos INDICES DE ESPIONAJE POR
más activos incrementaron su actividad, atacando a un promedio de 55 organizaciones en
los últimos tres años, un aumento de 42 entre 2015 y 2017. Los correos electrónicos de
2015-2017: PROMEDIO DE 42 ORGANIZACIONES LAS AUTORIDADES DE EE.UU.

49
ESTABLECIDAS COMO VÍCTIMAS POR GRUPO
phishing fueron la vía más popular para el ataque y fueron utilizados por el 65% de todos los
(LOS 20 GRUPOS MÁS ACTIVOS)
grupos conocidos. La razón más probable para que una organización experimente un ataque
dirigido fue la recopilación de inteligencia, que es el motivo para el 96% de los grupos.
Junto con el aumento en la popularidad de los usos de herramientas del día a día, el uso de
vulnerabilidades de día cero disminuyó en 2018, con solo el 23% de los grupos conocidos
aplicando exploits de día cero, frente al 27% en 2017. Aunque todavía es un área de nicho,
el uso de instancias de malware destructivo continuó creciendo. Se sabe que el 8% de los
grupos utiliza herramientas destructivas, un aumento del 25% con respecto a 2017.

2016-2018: PROMEDIO DE 55 ORGANIZACIONES

ESTABLECIDAS COMO VÍCTIMAS POR GRUPO
SPEAR PHISHING RECOPILACIÓN DE INTELIGENCIA (LOS 20 GRUPOS MÁS ACTIVOS)
19

CHINA
65% 96%
de los grupos utilizaron de la motivación principal de
spear phishing como vector
principal de infección
los grupos continúa siendo la
recopilación de inteligencia
18

23% 8% RUSSIA
de los gupos de los grupos
utilizan utilizan

5
vulnerabilidades
de día cero
malware
destructivo
11

IRÁN

4
1
COREA DEL NORTE

2016 2017 2018

GRUPOS DE ATAQUES DIRIGIDOS CONOCIDOS (AÑO) MOTIVOS DE LOS GRUPOS DE ATAQUES DIRIGIDOS
CONOCIDOS (HISTORIAL)
200
100% La razón más probable para que
137
155
150
96%
una organización experimente un
ataque dirigido fue la recopilación
80%
116

100
60%
de inteligencia, que es el motivo
40% para el 96% de los grupos.
50
20%
10%
6%
0
2016 2017 2018 0
Financiero Disruptivo Inteligencia

Total de grupos conocidos

Porcentaje de grupos

GRUPOS DE ATAQUES DIRIGIDOS EXPUESTOS

POR SYMANTEC (AÑO) MOTIVOS POR GRUPO DE ATAQUE DIRIGIDO (HISTORIAL)
100%
8 89%

7
80%
6

5 60%

4
40%
3

2 20%
10%
1 1%
0
0 3 2 1
2009 2010 2011 2012 2013 2014 2015 2016 2017 2018
Motivos por grupo
Número de grupo

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  50

 VECTORES DE INFECCIÓN DE LOS GRUPOS DE ATAQUE PRINCIPALES PAÍSES AFECTADOS POR GRUPOS DE ATAQUE
DIRIGIDO (HISTORIAL) DIRIGIDO (2016-2018)
Los correos electrónicos de spear- 80%

phishing siguieron siendo la vía 65% 70% PAÍS ATAQUES

más popular para el ataque y 60% Estados Unidos

India
255
128
fueron utilizados por el 65% de 50%
Japón 69

todos los grupos conocidos.

40%
China 44
30%
23% Perú 43
20% Arabia Saudita 42

10% Corea del Sur 40

5%
1% 2%
Taiwán 37
0
Dispositivos de Exploits de Actualizaciones Sitios web de Spear phishing Emiratos Árabes Unidos 30
almacenamiento servidores web de software watering hole de correos
de datos con Troyano electrónicos Pakistán 28

Porcentaje de grupos
NÚMERO DE ORGANIZACIONES AFECTADAS
POR ATAQUES DIRIGIDOS (AÑO)
VECTORES DE INFECCIÓN POR GRUPO 582
600

DE ATAQUE DIRIGIDO (HISTORIAL)

500
60% 455
54%
388
400
50%

300
40%

200
27% 30%

100
20%
15%
0
10% 2016 2017 2018
4%

0 Organizaciones
Vector Desconocido Un Vector Dos Vectores Tres Vectores

Porcentaje de grupos

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  51

NÚMERO DE HERRAMIENTAS UTILIZADAS POR PORCENTAJE DE GRUPOS CONOCIDOS POR EL USO DE TOTAL DE ACUSACIONES POR LAS AUTORIDADES DE
LOS 20 GRUPOS MÁS ACTIVOS (2016-2018) VULNERABILIDADES DE DÍA CERO (HISTORIAL) ESTADOS UNIDOS (AÑO)
60

MÍNIMO MÁXIMO PROMEDIO 49

50
1 18 5
23% 40

30

NÚMERO PROMEDIO DE ORGANIZACIONES AFECTADAS 20

POR LOS 20 GRUPOS MÁS ACTIVOS (2016-2018) 77%
10
5 4

2016-2018 0
2016 2017 2018
55
Número de personas acusadas
No

Sí

PORCENTAJE DE LOS GRUPOS CONOCIDOS POR EL USO DE ACUSACIONES POR LAS AUTORIDADES DE
MALWARE DESTRUCTIVO (HISTORIAL) ESTADOS UNIDOS POR PAÍS (AÑO)
Si bien todavía es un área de nicho, 50

el uso de malware destructivo 40

continuó creciendo. Se sabe

8%

que el 8% de los grupos utiliza

30

herramientas destructivas, un 20

aumento del 6% a finales de 2017. 92%

10

0
2016 2017 2018

No Rusia China

Sí Siria Corea del Norte

Irán

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  52

IoT

LAS

17.
20
CÁ

EN
MA

5%
RA

3.
Después de un aumento masivo en los ataques de

AL
Internet de las cosas (IoT) en 2017, la cifra de ataques
N

CO
se estabilizó en 2018, cuando la cantidad de ataques EC T

E
promedió 5.200 por mes contra el honeypot IoT de TA EN
Symantec. Los enrutadores y las cámaras conectadas DA FR
S ,
fueron, sin lugar a dudas, la principal fuente de ataques
RE UES
de IoT, representando más del 90% de todos los ataques PR AQ
ESE T
en el honeypot. La proporción de cámaras infectadas
NTAR LOSA
utilizadas en ataques aumentó considerablemente ON EL 15% DE
durante 2018. Las cámaras conectadas representaron el
15% de los ataques, frente al 3,5% en 2017. Los grupos
de ataque también se enfocaron cada vez más en Telnet
como una vía para el ataque. Telnet representó más del

L A S C Á M
90% de los intentos de ataques en 2018, un salto del

Y A
50% en 2017.

E S R A
OR L FU EN T E
S C
AD INCIPA DE AT O
T AP R
RE S EN TAN
AQU
E

NE IOT
L P DO
RU

, RE

CT
ON

DEL 9
EN

S 0%

DE
Á
ER

AD
FU

LAS ACTIVID
LOS

AS
TOD AD
ES
E

AS
D

LOS DISPOSITIVOS IOT SUFREN UN PROMEDIO DE 5.200 ATAQUES POR MES

PRINCIPALES PAÍSES DE ORIGEN PARA ATAQUES A IoT (AÑO) PRINCIPALES CONTRASEÑAS UTILIZADAS
EN ATAQUES A IoT (AÑO)
El famoso gusano de denegación de
servicio (DDoS) de Mirai continuó
PAÍS PORCENTAJE

China 24,0 CONTRASEÑA PORCENTAJE

Estados Unidos 10,1 123456

[BLANK]
24,6
17,0
siendo una amenaza activa y, con el
16 % de los ataques, fue la tercera
Brasil 9,8
Rusia 5,7 system 4,3

México 4,0 sh 4,0

amenaza más común de IoT en
2018.
Japón 3,7 shell 1,9

Vietnam 3,5 admin 1,3

Corea del Sur 3,2 1234 1,0

Perú 2,6 password 1,0

Italia 1,9 enable 1,0

12345 0,9

PRINCIPALES NOMBRES DE USUARIO

UTILIZADOS EN ATAQUES A IoT (AÑO) PRINCIPALES AMENAZAS A IoT (AÑO)

NOMBRES DE USUARIO PORCENTAJE NOMBRE DE LA AMENAZA PORCENTAJE

root 38,1 Linux.Lightaidra 31,3

admin 22,8 Linux.Kaiten 31,0
enable 4,5 Linux.Mirai 15,9
shell 4,2 Trojan.Gen.2 8,5
sh 1,9 Downloader.Trojan 3,2
[BLANK] 1,7 Trojan.Gen.NPE 2,8
system 1,1 Linux.Mirai!g1 1,9
enable 0,9 Linux.Gafgyt 1,7
>/var/tmp/.ptmx && cd /var/tmp/ 0,9 Linux.Amnesiark 1,1
>/var/.ptmx && cd /var/ 0,9 Trojan.Gen.NPE.2 0,8

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  54

 PRINCIPALES PROTOCOLOS ATACADOS PRINCIPALES TIPOS DE DISPOSITIVOS UTILIZADOS
POR AMENAZAS DE IoT (AÑO) EN ATAQUES DE IoT (AÑO)
Los enrutadores y las cámaras
conectadas fueron los dispositivos SERVICIO ESTABLECIDO COMO OBJETIVO PORCENTAJE TIPO DE DISPOSITIVO PORCENTAJE

más infectados y representaron telnet

http
90,9
6,6
Enrutador
Cámara conectada
75,2
15,2
el 75% y el 15% de los ataques, https 1,0 Dispositivo multimedia 5,4

respectivamente. smb 0,8 Firewall 2,1

ssh 0,6 Sistema telefónico PBX 0,6
ftp <0,1 NAS (Network Attached Storage) 0,6
snmp <0,1 Teléfono VoIP 0,2
cwmp <0,1 Impresora 0,2
upnp <0,1 Sistema de Alarma 0,2
modbus <0,1 Adaptador VoIP 0,1

PRINCIPALES PUERTOS ATACADOS ATAQUES CONTRA DISPOSITIVOS DE IoT (AÑO)

POR AMENAZAS DE IoT (AÑO)
AÑO TOTAL DE ATAQUES VARIACIÓN PORCENTUAL
NÚMERO DEL PUERTO TCP SERVICIO PORCENTAJE 2017 57.691
23 Telnet 85,0 2018 57.553 -0,2
80 World Wide Web HTTP 6,5
2323 Telnet (alternativo) 5,8
443 HTTP sobre TLS/SSL 1,0 PROMEDIO DE ATAQUES CONTRA DISPOSITIVOS DE IoT (MES)
445 Servicios de Directorio Microsoft 0,8
22 Protocolo Secure Shell (SSH) 0,6 POR MES
8080 HTTP (alternativo) 0,1 5.233
2223 Rockwell CSP2 <0,1
2222 Protocolo Secure Shell (SSH) (alternativo) <0,1
Protocolo de transferencia
21 <0,1
de archivos [control]

Índice ISTR 24 | Febrero 2019 Hechos y Cifras  55

 ECONOMÍA CLANDESTINA
CUENTAS
Tarjetas de regalo de restaurante 15–40% del valor
Tarjetas de regalo de minoristas online 15–50% del valor
Cuentas bancarias online (dependiendo del valor y verificación) 0,5%–10% del valor
Cuenta de proxy Socks US$ 0,10–2
Cuentas de streaming de video y música US$ 0,10–10
Cuenta de servicios en la nube US$ 5–10
Cuenta de plataforma de juegos US$ 0,50–12
Cuentas de correos electrónicos hakeadas (2.500) US$ 1–15
Servicios de VPN US$ 1–20
Cuentas de programa de fidelidad (recompensa de hoteles con 100.000 puntos) US$ 10–20
Diversos servicios (más de 120 cuentas diferentes) US$ 0,50–25
Credenciales de usuario de RDP US$ 3–30
Cuenta de sitios web de compras US$ 0,50–99
Cuentas de pago online (dependiendo del valor y verificación) US$ 1–100

IDENTIDADES
Identidad robada o falsa (nombre, SSN/DNI, y fecha de nacimient) US$ 0,10–1,50
Anotaciones y prescripciones médica US$ 15–20
Cuenta online de teléfono celular US$ 15–25
Registros médicos robados US$ 0,10–35
Modelos o digitalizaciones de identidad/pasaporte US$ 1–35
Documentos digitalizados (cuenta de energía eléctrica, etc.) US$ 0,50–45
Paquetes completos de identidad US$ 30–100
(nombre,dirección, teléfono, SSN/DNI, correo electrónico, cuenta bancaria, etc.)

0 10 20 30 40 50 60 70 80 90 100 110 120

ECONOMÍA CLANDESTINA
IDENTIDADES (CONTINUACIÓN)
Tarjetas de identidad falsas de plan de salud US$ 50–220
Buzón de recolección de encomiendas para entrega US$ 70–240
Identidad, carnet de conducir, pasaporte falso, etc. US$ 25–5.000

SERVICIOS DE TRANSFERENCIA MONETARIA

Servicio de redireccionamiento de dinero para cuentas bancarias 0,1–15% del valor
Servicio de redireccionamiento de dinero hacia plataformas online 1–5% del valor
Pague US$ en Bitcoin y reciba una transferencia de US$ 1.000,00 US$ 100
Servicio de redireccionamiento de dinero hacia cuentas bancarias 5–20% del valor

MALWARE
Generador de descargador de macro de Office US$ 5–10
Software bot DDoS US$ 1–15
Spyware US$ 3–50
Malware de robo de criptomonedas US$ 4–60
Minería de criptomonedas (ej. Monero) US$ 10–200
Toolkit de Ransomware US$ 0–250
Toolkit común de Troyano bancario con soporte US$ 10–1.500

0 10 20 30 40 50 60 70 80 90 100 110 120

0 100 200 300 1000 1500 2000 2500 3000 3500 4000 4500 5000
 ECONOMÍA CLANDESTINA
SERVICIOS
Pasajes aéreos y reservas de hotel 10% del valor
Servicio de lavado de dinero (en efectivo o en criptomonedas) 4–40%
Servicio de saque (cuenta bancaria, tarjeta de cajero automático e identificación falsa) US$ 350
Contratação de hacker US$ 100+
Hacker de alquiler Servicio de phishing personalizado US$ 3–12
Servicio DDoS, corta duración <1 hora (objetivos protegidos medios) US$ 5–20
Servicio DDoS, duración >24 horas (objetivos protegidos medios y fuertes) US$ 10–1,000

TARJETAS DE PAGO
Tarjeta única de crédito US$ 0,50–20
Tarjeta única de crédito con detalles completos (fullz) US$ 1–45
Datos de la banda magnética 1/2 US$ 5–60
(ej.: a través de skimming)

REDES SOCIALES
100 me gusta en las plataformas de redes sociales US$ 0,10–3
500 seguidores en redes sociales US$ 2–6
100.000 visualizaciones de videos en las redes sociales US$ 200–250

0 10 20 30 40 50 60 70 80 90 100 110 120

0 100 200 300 1000 1500 2000 2500 3000 3500 4000 4500 5000
 TODOLOGÍA
ME
Symantec ha creado la red civil de recolección de amenazas más
grande del mundo y una de las recopilaciones más completas de
inteligencia de amenazas de ciberseguridad, a través de la Red
de Inteligencia Global de Symantec (GIN).
La Red de Inteligencia Global de Symantec comprende más
de 123 millones de sensores de ataque, registra miles de
eventos de amenazas por segundo y contiene más de 9
petabytes de datos de amenazas de seguridad. Esta red
también supervisa las actividades de amenazas para más de
300,000 empresas y organizaciones en todo el mundo que
dependen de Symantec para su protección. La telemetría de
toda la cartera de protección contra amenazas de Symantec
ayuda a nuestros 3.800 investigadores e ingenieros de
ciberseguridad a identificar las principales tendencias que
configuran el panorama de amenazas.
Los análisis de spam, phishing y tendencias de malware
de correo electrónico se recopilan de una variedad de
tecnologías de seguridad de correo electrónico de Symantec
que procesan más de 2.4 mil millones de correos electrónicos
cada día, que incluyen: Symantec Messaging Gateway for
Service Providers, Symantec Email Security.cloud, Symantec
Advanced Threat Protection for Email, Symantec CloudSOC™
y Symantec Probe Network. Symantec también recopila
información sobre suplantación de identidad a través de una
extensa comunidad antifraude de empresas, proveedores de
seguridad y partners.
Al filtrar más de 322 millones de correos electrónicos y
más de 1,5 mil millones de solicitudes web cada día, la
tecnología patentada Skeptic™ de Symantec respalda los
servicios de Symantec Email and Web Security. cloud™,
que utilizan el aprendizaje automático avanzado, el análisis
del tráfico de la red y el análisis del comportamiento para
detectar incluso las amenazas más sigilosas y persistentes.
Además, la solución Advanced Threat Protection for Email
identifica los ataques avanzaddos para correo electrónico al
agregar sandboxing basado en la nube, protección adicional
contra phishing y capacidades únicas de identificación de
ataques dirigidos.
Miles de millones de URL se procesan y analizan cada mes
con las soluciones de Secure Web Gateway de Symantec,
que incluyen ProxySG™, Advanced Secure Gateway (ASG)
y Web Security Solution (WSS), todas basadas en nuestra
tecnología y contenido de WebPulse Collaborative Defense
en tiempo real. Esas soluciones identifican y protegen
contra cargas útiles maliciosas y controlan el contenido
sensible basado en la web.
Índice
La inteligencia de amenazas móviles, proporcionada por
Symantec Endpoint Protection Mobile (SEPM), se utiliza para
predecir, detectar y proteger contra la gama más amplia de
amenazas existentes y desconocidas. La tecnología predictiva
de SEPM utiliza un enfoque en capas que aprovecha la
inteligencia masiva de amenazas de múltiples proveedores,
además del análisis basado en el dispositivo y en el servidor,
para proteger de forma proactiva los dispositivos móviles
del malware, las amenazas de red y las vulnerabilidades de
aplicaciones y sistemas operativos. Así mismo, la tecnología
móvil de Appthority, junto con SEPM, ofrece la capacidad
de analizar aplicaciones móviles tanto para capacidades
maliciosas como para comportamientos no seguros y no
deseados, como vulnerabilidades, riesgo de pérdida de datos
confidenciales y acciones invasivas de privacidad.
ISTR 24 | Febrero 2019
Estos recursos brindan a los analistas de Symantec fuentes
de datos inigualables con las cuales identificar, analizar
y proporcionar comentarios actualizados acerca de las
tendencias emergentes en los ataques cibernéticos, la
actividad de códigos maliciosos, phishing y el correo no
deseado. El resultado es el Informe sobre las Amenazas para
la Seguridad en Internet de Symantec™, que brinda a las
empresas, pequeños negocios y consumidores información
esencial para ayudar a proteger sus sistemas de manera
efectiva ahora y en el futuro.
Metodología 59
CRÉDITOS

Equipo Colaboradores
Brigid O’Gorman Alan Neville
Candid Wueest Alex Shehk
Dick O’Brien Brian Duckering
Gillian Cleary Chris Larsen
Hon Lau Christian Tripputi
John-Paul Power Dennis Tan
Mayee Corpin Gavin O’Gorman
Orla Cox Parveen Vashishtha
Paul Wood Pierre-Antoine Vervier
Scott Wallace Pravin Bange
Robert Keith
Sean Kiernan
Sebastian Zatorski
Seth Hardy
Shashank Srivastava
Shaun Aimoto
Siddhesh Chandrayan
Tor Skaar
Tyler Anderson
Yun Shen
 Copyright © 2019
Symantec Corporation. 02/19
Todos los derechos
Sede Mundial de Para escritorios regionales, reservados. Symantec, el
Symantec Corporation números de contacto logotipo de Symantec y el
350 Ellis Street específicos por favor visite logotipo de Checkmark son
Mountain View, CA 94043 nuestro sitio web. Para marcas comerciales o marcas
EE.UU. información acerca del comerciales registradas
producto en EE.UU. llame gratis de Symantec Corporation
+1 650 527– 8000 al 1 (800) 7456054. o sus afiliados en Estados
+1 800 721–3934 Unidos y otros países. Otros
nombres pueden ser marcas
Symantec.com registradas de sus respectivos
propietarios.