g data informe sobre software malicioso informe semestral ... · el número de tipos de malware...

Go safe. Go.safer. G Data.Mal

war

eRep

ort_

2_20

09_E

S

Ralf Benzmüller & Sabrina BerkenkopfG Data SecurityLabs

G DataInforme sobre software malicioso

Informe semestral de julio-diciembre de 2009

2Copyright © 2010 G Data Software AG

G Data Informe julio-diciembre de 2009 sobre software malicioso

Contenido

Resumen.............................................................................................................................................3

Programas.maliciosos:.Cifras.y.datos............................................................................................4

¿Crecimiento ilimitado? ................................................................................................................................................4

Categorías de malware .................................................................................................................................................5

Familias con numerosas variantes ............................................................................................................................6

Objetivo de ataque número 1: Windows ..............................................................................................................8

Perspectiva.2010.............................................................................................................................10

Pronósticos ......................................................................................................................................................................10

Web.2.0:.Redes.sociales................................................................................................................. 11

Problema.práctico:.Protección.de.datos.....................................................................................14

Eventos.y.tendencias.durante.el.segundo.semestre.de.2009................................................16

Julio de 2009 ...................................................................................................................................................................16

Agosto de 2009 ..............................................................................................................................................................16

Septiembre de 2009.....................................................................................................................................................17

Noviembre de 2009 .....................................................................................................................................................19



ResumenEn el segundo semestre de 2009 se detectaron 924.053 nuevos tipos de malware o programas ma-liciosos. Esta cantidad se traduce en un 39% más en comparación con las cifras del primer semes-tre y en un 60% más de los datos recabados el año anterior, por lo que se bate un nuevo récord.

En todo el año 2009 se detectaron 1.588.005 tipos de programas de malware, es decir, un 78% más que en 2008.

Los troyanos han aumentado su presencia en un 9,0%. Constituyen, con un 42,6%, el mayor por-centaje dentro de la invasión de programas de malware.

Han aumentado por encima de la media los programas maliciosos de las categorías de gusanos, exploit y virus.

El número de tipos de malware camuflados en forma de PDF prácticamente se ha triplicado.

Los nuevos programas de adware han descendido en un 25%.

A lo largo del año han aparecido 2.908 familias, mientras que en 2008 esta cantidad fue tan sólo 3.069. Es decir, este nuevo récord se debe a unas pocas familias de malware activas.

Las familias de malware más productivas son "Genome“ (3), "PcClient“ (nuevo) y "Hupigon“ (1)1.

El destino de ataque número 1 sigue siendo Windows en un 99,0% de los casos. El retroceso en un 0,3% al primer semestre de 2009 es compensado por .NET malware (0,3%). Los lenguajes de script de las aplicaciones de Internet mantienen su presencia en el 0,5%.

PanoramaLos programas de tipo downloader, backdoor y rootkit reafirman su presencia. Se han ganado un puesto fijo en la economía sumergida.

Los exploit también se propagarán como un reguero de pólvora durante el próximo año.

Las aplicaciones de Internet cobrarán una importancia creciente como diana de los ataques.

La importancia de las redes sociales, como MySpace, Facebook y Twitter, aumentará como plata-forma publicitaria (spam) y fuente de información para la preparación y ejecución de actuaciones criminales.

El robo de datos sigue y seguirá siendo en el futuro un negocio lucrativo. Los troyanos bancarios, programas espía y keylogger reafirmarán su presencia.

Eventos"Koobface" cumple un año y mantiene su actividad como nunca.

"Gumblar" es el programa malicioso que más páginas web infecta.

Numerosos fallos informáticos e infracciones en materia de protección de datos ponen a prueba la confianza de los consumidores en la credibilidad de las empresas de tarjetas de crédito y bancos.

1 Las cifras entre paréntesis se refieren al puesto obtenido en el primer semestre de 2009



Programas.maliciosos:.Cifras.y.datos¿Crecimiento.ilimitado?

El número de programas maliciosos crece constantemente desde hace años, como ilustra el diagrama 1. Asimismo, durante el segundo semestre de 2009, el número de tipos de malware bate un nuevo récord con 924.053 nuevos tipos de malware.

Diagrama 1: número de nuevos programas de malware al año desde 2004

El ritmo de crecimiento, el 39% durante el primer semestre de 2009 y el 60% en comparación con el año precedente, se encuentra por debajo de los niveles de los años anteriores. En todo 2009 se detectaron 1.588.005 tipos de malware: un 78% más que en 2008. El número de programas de malware detectados en todo el año 2004 se alcanza en la actualidad en tan sólo una semana.

0

50.000

100.000

150.000

200.000

250.000

0

50.000

100.000

150.000

200.000

250.000

Enero Feb Marzo Abril Mayo Junio Julio Agos Sep Oct Nov Dic

0

200.000

400.000

600.000

800.000

1.000.000

1.200.000

1.400.000

1.600.000

1.800.000

0

200.000

400.000

600.000

800.000

1.000.000

1.200.000

1.400.000

1.600.000

1.800.000

29.782 31.849 39.670133.253

894.250

1.588.005

2004 2005 2006 2007 2008 2009

Diagrama 2: Cifra de nuevos programas de malware al mes durante 2008 y 2009



Categorías.de.malwareLa cifra de troyanos ha aumentado notablemente durante la segunda mitad del año. Como indica la tabla 1, su presencia es de un 42,6%, es decir, ha crecido un 9,0% en comparación con el primer semestre. Esto lo convierte en la categoría de malware más frecuente, con diferencia. La cantidad de programas de tipo downloader, backdoor y herramienta aumenta igualmente. Las cifras se en-cuentran algo por debajo del aumento medio del 39% con respecto al primer semestre y del 60% en comparación con el año anterior. No obstante, estas categorías constituyen los componentes más importantes de la economía en la sombra del malware. Los programas downloader permiten la propagación, mientras que los de tipo backdoor permiten al atacante controlar el ordenador de la víctima por control remoto (botnets) y los programas tipo herramienta son necesarios para garantizar a los principiantes el acceso a las redes de malware y, a su vez, facilitar a los profesiona-les su trabajo diario.

También los gusanos han aumentado su presencia por encima de la media. Sus cifras se han du-plicado prácticamente en comparación con el primer semestre y casi se han triplicado en compa-ración con el mismo período del año anterior. A ello también han contribuido las familias "Basun", primer gusano que, desde hace años, vuelve a conquistar la Lista de los 10 primeros y "Autorun", el líder entre los gusanos durante el primer semestre.

Por encima de la media han aumentado también los programas de tipo exploit. Este hecho se con-trapone al notable descenso de los agujeros de seguridad notificados a CVE. En 2009 se produje-ron 4.594 vulnerabilidades notificadas, muy por debajo del récord de 2008, cuando se detectaron 7.250 puntos débiles. La cifra de agujeros de seguridad conocidos determina de forma insuficiente cuántas vulnerabilidades se utilizan también en los programas maliciosos. Además, esta cifra ha aumentado considerablemente. Los agujeros de seguridad en aplicaciones de software populares son aprovechados cada vez con mayor frecuencia para atacar a los ordenadores desde Internet. Los ordenadores que tienen software anticuado son presa fácil para los cibercriminales.

Este fortísimo crecimiento ha puesto de relevancia una categoría que ya se pensaba extinguida: los virus. Esta categoría abarca los clásicos elementos infectadores de archivos, los archivos ejecutables. Con el aumento del uso de lápicesUSB y otros soportes de datos para su intercambio, de nuevo vale la pena el uso de dichos procedimientos. Aunque, con una presencia del 0,1%, su expansión se mantiene a raya.



Categoría#.2009.H2 %

#.2009.H1 %

Diff..2009H2.2009H1

#.2008.H2 %

Diff..2009H2.2008H2

Caballos troyanos 393.421 42,6% 221.610 33,6% +78 155.167 26,9% +154 Downloader/ Dropper 187.958 20,3% 147.942 22,1% +27 115.358 20,0% +63

Backdoors 137.484 14,9% 104.224 15,7% +32 125.086 21,7% +10 Spyware 86.410 9,4% 97.011 14,6% -11 96.081 16,7% -10 Gusanos 51.965 5,6% 26.542 4,0% +96 17.504 3,0% +197 Adware 30.572 3,3% 34.813 5,3% -12 40.680 7,1% -25 Herramientas 14.516 1,6% 11.413 1,6% +27 7.727 1,3% +88 Rootkits 11.720 1,3% 12.229 1,9% -4 6.959 1,2% +68 Exploits 3.412 0,4% 2.279 0,3% +50 1.841 0,3% +85 Virus 637 0,1% 143 0,0% +345 167 0,0% +281 Dialer 415 0,0% 1.153 0,2% -64 1013 0,2% -59 Otros 5.543 0,5% 4.593 0,7% +21 8.419 1,5% -34 Total 924.053 100,0% 663.952 100,0% +39 576.002 100,0% +60

Tabla 1: Cantidad y porcentaje de nuevas categorías de programas maliciosos durante el primer y segundo semestre de 2009 y sus modificaciones

En contraste a estos datos, ha retrocedido la cantidad de nuevos programas de spyware. Su pre-sencia ha descendido hasta el 9,4%, lo que representa un 5,2% menos que en el primer semestre de 2009 y un 7,3% menos que un año antes. No obstante, esto no significa que se haya dejado de espiar datos. Muy al contrario, las funciones de espionaje van ahora integradas con frecuencia en paquetes más amplios, que se clasifican como troyanos.

Los programas de tipo rootkit son un componente importante para ocultar programas spyware o backdoor. Su presencia ha aumentado considerablemente durante el primer semestre de 2009 y su uso en programas de malware se ha afianzado con el tiempo. No obstante, los nuevos rootkit han descendido ligeramente.

Por contra, cabe destacar que los programas de adware han remitido. La presencia de nuevos programas publicitarios maliciosos es un 25% menor en comparación con el año anterior. Esto se debe principalmente a la disminución de "Monder". En el último semestre, "Monder" fue la familia de malware más productiva. En el segundo semestre su productividad ha descendido claramente.

Familias.con.numerosas.variantesLas funciones y características de un programa informático malicioso permiten asignarlo a familias. Si bien durante los últimos años los programas de malware han aumentado de forma constante, el número de familias ha descendido al mismo ritmo. Durante el primer semestre de 2008 aún había 2.395 y en el segundo, 2.094. Durante el primer semestre de 2009 se contabilizaron 1.948 representantes diferentes de familias de virus. En el segundo semestre de 2009, la presencia de las familias de malware volvió a aumentar por primera vez. En este período se detectaron programas maliciosos activos pertenecientes a 2.200 familias distintas. Durante todo el año 2009 había 2.908 familias, frente a las 3.069 de 2008, lo que indica que la tendencia a la concentración persiste. Al igual que antes, el número creciente de programas informáticos maliciosos sigue perteneciendo a un número de familias cada vez menor.



#.2009.H2 Familia.de.virus #.2009.H1 Familia.de.virus #.2008.H2 Familia.de.virus1 67.249 Genome 34.829 Monder 45.407 Hupigon2 38.854 PcClient 26.879 Hupigon 35.361 OnlineGames3 37.026 Hupigon 18.576 Genome 20.708 Monder4 35.115 Scar 16.719 Buzus 18.718 MonderB5 24.164 Buzus 16.675 OnlineGames 15.937 Cinmus6 20.581 Lipler 13.889 Fraudload 13.133 Buzus7 19.848 Magania 13.104 Bifrose 13.104 Magania8 18.645 Refroso 11.106 Inject 12.805 PcClient9 16.271 Sasfis 10.322 Poison 11.530 Zlob

10 16.225 Basun 10.312 Magania 10.412 Virtumonde

Tabla 2: Top 10 de las familias de virus más activas durante 2009 y el segundo semestre de 2008

En la tabla 2 se muestran las familias a las que se atribuye la mayoría de las variantes detectadas durante los últimos 18 meses. El líder actual, "Genome", aporta de media 184 variantes nuevas al día. También los backdoor "PcClient" y "Hupigon", en los puestos 2 y 3 respectivamente, producen de media más de 100 variantes al día.

GenomeLos troyanos de la familia "Genome" aúnan funciones tales como descargador, keylogger o cifrado de archivos.

PcClientEl "PcClient" es un programa de puerta trasera (backdoor) que permite controlar el ordenador de forma remota, con el fin de robar datos. Este programa malicioso oculta sus archivos y entradas de registro mediante técnicas de rootkit.

HupigonLa puerta trasera "Hupigon" permite al atacante, entre otras cosas, controlar el ordenador de forma remota, obtener la información ingresada a través del teclado, acceder al sistema de archivos y encender la cámara web.

ScarEste caballo troyano carga un archivo de texto mediante el que puede ejecutar posteriores descar-gas de programas maliciosos, tales como programas tipo downloader, spyware, bots, etc.

BuzusLos troyanos de la familia "Buzus" examinan los sistemas infectados de sus víctimas en busca de datos personales (tarjetas de crédito, banca online, accesos a correo electrónico y a servidores FTP, etc.), que son enviados al atacante. También se intenta desactivar la configuración de seguridad del ordenador, con lo que se hace el sistema de la víctima aún más vulnerable.

LiplerEl "Lipler" es un downloader que carga posteriormente otros programas maliciosos desde una página web. Además, también modifica la página de inicio del navegador.



MaganiaLos troyanos de la familia del oriente asiático "Magania" están especializados en el robo de datos de cuentas de juego del experto en software taiwanés Gamania. Generalmente, los ejemplares de "Magania" se distribuyen por correo electrónico que integra un archivo RAR incrustado y varias ve-ces comprimido. Al ejecutar el software malicioso se muestra primeramente una imagen a modo de distracción, mientras que en segundo plano se guardan otros archivos en el sistema. Además, "Magania" penetra en el Explorador de Internet vía DLL, con lo que puede obtener información de las páginas visitadas en Internet.

RefrosoEste troyano es nuevo en la lista de los 10 principales. Los primeros ejemplares fueron descubiertos a finales de junio de 2009. Posee funciones de backdoor y es capaz de atacar a otros ordenadores de la red.

SasfisEste caballo troyano instala un archivo en el ordenador e intenta cargar posteriormente otros archivos de Internet. Estas variantes se envían con frecuencia en forma de adjunto de correo electrónico.

BasunPor primera vez desde hace dos años un gusano ha conseguido acceder al Top 10 de las familias de malware más productivas.El "Basun“ se copia al PC bajo el nombre del usuario o administrador actual. A continuación, ataca a otros ordenadores de la red local, con el fin de propagarse.

Objetivo.de.ataque.número.1:.WindowsEn los últimos años destaca una concentración de autores de malware en la plataforma Windows. Aunque, en términos generales, cada vez surge un mayor número de programas de malware, la presencia de programas maliciosos para Windows también aumenta. Durante el último semestre, con el 99,0%, se encuentra un poco por debajo de los resultados obtenidos en los últimos dos semestres (véase tabla 3). Este ligero retroceso se relativiza por los programas de malware para la tercera plataforma más popular. Los programas maliciosos creados en el Microsoft Intermediate Language han aumentado notablemente su participación hasta un 0,3%. MSIL es el formato inter-medio en el que se representan las aplicaciones .NET en su forma independiente de plataforma y de lenguaje de programación. También los autores de malware utilizan ahora en gran medida los beneficios del entorno .NET. La mayoría de las aplicaciones .NET están pensadas para Windows.

Los scripts de páginas web (p.ej. JavaScript, PHP, HTML, ASP etc.) mantienen impasibles su par-ticipación de 0,5%. Las páginas web infectadas cobran cada vez una mayor relevancia como vía de infección. De los 4.371 scripts en Internet, 3.295 son programas maliciosos en JavaScript. Pero JavaScript no sólo se utiliza en páginas web. 1.624 programas maliciosos apuestan por el formato PDF como medio de propagación. Si en 2008 aún había 780 programas maliciosos basados en PDF, su presencia en 2009 ha aumentado hasta 2.394, es decir, su número casi se ha triplicado.



Plataforma #.2009.H2 Presencia #.2009.H1 %.2009.H1 #.2008.H2 %.2008.H21 Win32 915.197 99,0% 659.009 99,3% 571.568 99,2%2 WebScripts 4.371 0,5% 3.301 0,5% 2.961 0,5%3 MSIL 2.732 0,3% 365 0,1% 318 0,1%4 Scripts 1.124 0,1% 924 0,1% 1.062 0,2%5 NSIS 229 0,0% 48 0,0% 58 0,0%6 Móvil 120 0,0% 106 0,0% 70 0,0%

Tabla 3: Las 5 principales en plataformas durante 2008 y 2009. Los WebScripts agrupan los programas maliciosos basados en JavaScript, HTML, Flash/Shockwave, PHP o ASP y general-mente puntos débiles a través de navegador de Internet. Los "scripts" son scripts de tipo batch o shell o programas escritos en los lenguajes de programación VBS, Perl, Python o Ruby. MSIL es un programa malicioso escrito en el código temporal de los programas NET. NSIS es la plataforma de instalación también utilizada por Winamp. El concepto "móvil" abarca los programas maliciosos para J2ME, Symbian y Windows CE.

La plataforma NSIS, con un notable aumento de 120 programas dañinos, ha ascendido rápidamen-te hasta el Top 5 de los programas maliciosos para plataformas móviles. Aparte de incidentes ais-lados, los programas maliciosos móviles no logran imponerse. NSIS es la plataforma de instalación utilizada, entre otros fines, para instalar el reproductor Winamp. La predilección por NSIS como plataforma de instalación no solo aumenta entre los programadores de software legales.

En los sistemas basados en Unix aparecen 37 programas maliciosos (en comparación con 66 en el primer semestre de 2009) y para el sistema operativo Apple OSX se encontraron 8 nuevos progra-mas dañinos. En comparación con la cantidad de programas maliciosos para Windows, la presen-cia de otras plataformas carece casi de toda relevancia.



Perspectiva.2010El uso comercial del malware persiste. Los inmensos ingresos de la economía sumergida favorecen la creación de nuevas tecnologías para la propagación, uso y ocultación de programas de ma-lware. También permiten las inversiones en sectores emergentes, como las redes sociales, disposi-tivos móviles, consolas de videojuegos y sistemas operativos poco utilizados. Si se demuestra que estos intentos son lucrativos, los cibercriminales desplegarán sus actividades también en ese área. Pero actualmente no se detectan síntomas de que esto pueda estar sucediendo.

Por este motivo, no se prevé ningún receso de la invasión de malware, sino más bien todo lo contrario. Los programas de tipo downloader, backdoor, herramienta y rootkit conforman la base dura de esta economía en la sombra y llevarán a cabo su tarea por medios cada vez más refinados.

En el área de los programas de tipo exploit seguirán aprovechándose a mansalva las brechas de seguridad de las aplicaciones de sobremesa más populares. La menor cifra de vulnerabilidades notificadas y el aumento de la preocupación por la seguridad de los programadores de software podría provocar un regreso a las aplicaciones de Internet. Cuanto más popular se hace el alquiler de software y su comercialización en Internet, más lucrativo se hace para los cibercriminales la captura de la aplicación de Internet alquilada. Esto mismo se aplica en el caso de las ofertas de ordenadores de alquiler (palabra clave: Cloud Computing). Sólo queda esperar para ver si los pro-gramadores de aplicaciones de Internet demuestran el mismo perfeccionismo al implementar las especificaciones de seguridad, tal y como ya lo han establecido para el software de sobremesa.

Para el año próximo ya se ha anunciado el lanzamiento de nuevos sistemas operativos y platafor-mas de ordenador. Conviene observar la evolución de estos mercados. Podría aumentar el número de programas ma-liciosos para Appel, Unix y los ordenadores portátiles. También la lenta transmigración a versiones de 64 bit de Windows 7 requiere la adaptación por parte de los autores de programas de malware.

PronósticosCategoría TendenciaTroyanosBackdoorsDescargadores/DroppersSpywareAdwareVirus/gusanosHerramientasRootkitsExploitsWin32WebScriptsScriptsMSILMóvil



Web.2.0:.Redes.socialesInternet ha pasado con el tiempo de un medio con transfondo científico a un medio cotidiano de comunicación de masas. Una de cada cuatro personas utiliza la Red de redes.2 Esta cifra resulta ya impresionante de por sí. Aunque, si además se observan las estadísticas de usuarios de la mayor comunidad de red social, Facebook, queda clara la presencia actual de esta comunidad online en el uso de Internet: Basándose en datos proporcionados por el fundador de Facebook, Mark Zuckerberg, en diciembre de 2009 más de 350 millones de personas visitaron3 Facebook: esto nos lleva a deducir, desde el punto de vista estadístico, que 1 de cada 5 usuarios de Internet cuenta con un perfil en este proveedor americano de Web 2.0.

No obstante, las aplicaciones Web 2.0 no sólo cuentan con redes sociales: Google Docs, Google Maps, Picasa, Flickr, Identi.ca, Jaiku, etc. son tan sólo algunos ejemplos adicionales de la red inte-ractiva. Aunque esta amplia gama de aplicaciones Web 2.0 resulte tan útil y atractiva, todos los servicios albergan peligros intrínsecos. Estos surgen, por un lado, cuando los usuarios divulgan gran cantidad de información personal sobre sí mismos en las páginas de la comunidad y, por otro lado, el peligro generado por la estructura técnica de estas plataformas. Si las estructuras básicas están ya de por sí accesibles para los cibercriminales, como demuestran numerosos casos, las redes implementan además cada vez más aplicaciones que ofrecen, a su vez, un flanco de ataque más.

El ejemplo del líder del sector, FacebookTomando como ejemplo la comunidad de Facebook, numerosos ataques e incidentes para el usuario ilustran esta situación. Aparte de los frecuentemente criticados ajustes de privacidad de la red y del bajo nivel de protección de menores, el peligro acecha al usuario donde menos se lo espera:

A mediados de noviembre, más de 200 grupos de Facebook fueron adoptados y renombrados por una iniciativa llamada "Control Your Info". Con esta inofensiva actuación, este grupo deseaba llamar la atención sobre un agujero de seguridad que permitía modificar los contenidos de los grupos y, para ello, no necesitaba ni siquiera hackear Facebook. El grupo "Control Your Info" sólo tuvo que registrarse como administrador en los grupos en los que el administrador auténtico se

2 Según información facilitada en www.internetworldstats.com existen 1.733.933.741 usuarios de Internet, lo que equivale a aprox. el 25% de la población mundial.

3 Fuente: http://blog.facebook.com/blog.php?post=190423927130



había dado de baja. La modificación del nombre de grupo y de su contenido se realizó con el fin de causar alarma, aunque también hubiera podido dañar la reputación del usuario ignorante, si el atacante hubiera decidido publicar, p.ej. contenidos ilegales. Entre otras actuaciones, los adminis-tradores de grupos pueden enviar mensajes a todos los miembros del grupo, con el fin de difundir de manera selectiva correo basura.

Spam procedente del propio círculo de amistadesLos mensajes que llegan de parte de contactos de la libreta de direcciones de Facebook o de un grupo de Facebook reciben la consideración de fiables por la mayoría de los usuarios. Pero cuando un grupo secuestrado o una cuenta de Facebook secuestrada son fuente de correo basura o spam, es preferible dejar de lado la simple confianza y estar alerta: El usuario recibe un mensaje que contiene un vídeo gracioso, fotos chocantes o, simplemente, contenidos actuales e interesantes. El mensaje incluye un enlace y, al hacer clic sobre éste, el ordenador puede resultar infectado de varias formas. Los tejemanejes preferidos son un imperceptible drive-by-download o un códec falsificado e infectado para visualizar el vídeo gracioso. Lo que funcionó durante años como una trampa de e-mail se propaga ahora también a través de las redes sociales. Los usuarios de Facebo-ok se enfrentan con frecuencia a este engaño con visos de fiabilidad.

Todo sobre KoobfaceDesde hace más de un año, el gusano "Koobface" siembra la confusión en los portales Web 2.0 y, también en 2009, puso en aprietos a los fabricantes de antivirus. El ejemplo más reciente en relación al Facebook americano es la circulación del vídeo llamado "SantA". Al hacer clic sobre el vídeo se abre una página web con un códec que supuestamente se necesita. La instalación del códec fraudulento descarga "Koobface" en el ordenador de la víctima y, posteriormente, el gusano se propaga a todas las posibles redes sociales en las que participe la víctima.

"Koobface" ya había encontrado anteriormente, en el segundo semestre, muchas otras nuevas puertas de acceso al mundo de las redes sociales: La inhibición de la función Captcha al registrarse, el registro de un nuevo usuario con perfil completo, la propagación de códecs de vídeo fraudu-lentos en vídeos que se renuevan cada vez y muchas otras triquiñuelas, siempre a la caza de datos nuevos que el gusano sea capaz de leer, archivar y difundir. En cuanto el gusano se integra en el círculo de amistades de un miembro de la comunidad, empieza su oscuro trabajo de zapador recopilando datos y se propaga.

Una variante fue descubierta en Skype. El troyano se difundía a través de páginas web infectadas, robaba los datos de registro del usuario de Skype y leía los datos de su libreta de direcciones de Skype. Aunque también los usuarios de otras grandes redes sociales (p.ej. MySpace, Hi5) se han visto afectados.

También Twitter ofrece potencial de ataqueEl servicio de micro-blogging Twitter es una de las aplicaciones de Internet preferidas para man-tener al día al prójimo. Con el deseo de poder enviar pequeños mensajes a cualquier lugar y en cualquier momento, surgen también nuevas vulnerabilidades: por ejemplo, en agosto se utilizó una cuenta de Twitter para controlar una red de bots mediante mensajes cortos codificados en Base64. Twitter bloqueó la cuenta de inmediato.



Otro riesgo de infecciones surge sobre todo en los servicios de blog de tipo "short message" de direcciones URL abreviadas. Los usuarios no pueden ver el enlace verdadero que subyace tras las abreviaturas, por lo que enseguida caen en páginas infectadas. Los servicios de abreviatura de URL más conocidos son TinyURL, bit.ly, is.gd, tr.im o, también, twi.bz. No se debe confiar en el enlace abreviado y, además, la confianza en la persona que lo ha publica-do puede hacer caer al usuario en la trampa si, p.ej. se secuestran cuentas de Twitter. Los usuarios deberían poner en práctica las medidas de seguridad que proporcionan los propios servicios de abreviaturas, antes de hacer clic en una URL abreviada, con el fin de detectar un posible peligro. Para ello es posible acceder a las páginas de información sobre cada URL abreviado del propio servicio de abreviaturas.

A continuación se proporcionan algunos conocidos servicios y sus direcciones a modo de ejemplo:

http://www.gdata.de/virenforschung/news.html

Short URL Acción Opción de previsualización de URL

TinyURL http://tinyurl.com/yzuwcwd previsualización antes del URL

http://preview.tinyurl.com/yzuwcwd

bit.ly http://bit.ly/7jH8xP /info hinter bit.ly http://bit.ly/info/7jH8xP

is.gd http://is.gd/5yGtz - después del URL http://is.gd/5yGtz-

twi.bz http://gdata.de.twi.bz/b/e

después de la URL

http://gdata.de.twi.bz/b/e

tr.im http://tr.im/Iqpj - -

Tabla 4: Un ejemplo de URL abreviada y sus opciones de previsualización

Conclusión

El número de ataques a aplicaciones Web 2.0 seguirá aumentando. Los grupos de datos siguen siendo un producto muy interesante y rentable para los traficantes del mercado negro y ladrones de identidad. Las nuevas variantes de programas maliciosos que aparecieron durante 2009 segui-rán propagándose y los autores de malware las refinarán para aprovechar los puntos débiles que van surgiendo en portales y API.



Problema.práctico:.Protección.de.datosDurante el segundo semestre de 2009 se han producido numerosas incidencias, que superan la media, en el área de protección de datos. La horquilla de dichas incidencias es amplia: abarca desde el robo de datos, pasando por la venta de datos o el uso indebido de los mismos, hasta la vigilancia ilegal.

En cuanto al robo de datos, es necesario distinguir si los datos se pierden debido a un agujero de seguridad en un sistema informático o electrónico de otro tipo, aprovechado por atacantes exter-nos, o si la sustracción de datos tiene lugar con ayuda de personas infiltradas en la propia empresa.

El mayor problema en relación a los agujeros de datos es que los datos, una vez en circulación, pueden ser difundidos de forma incontrolada, de forma que ya no podrán recuperarse. Los afecta-dos apenas tienen la oportunidad de defenderse frente a esta difusión de su información.

Otro tema candente en noviembre de 2009 fue una fuga de datos producida en una empresa española de tarjetas de crédito. Al parecer, este proveedor de tarjetas de crédito español tenía una brecha en su sistema. A consecuencia de dicho agujero se intercambiaron más de 100.000 tarjetas de crédito pertenecientes, principalmente, a clientes alema-nes y británicos. Incluso cuando el número de tarjetas intercambiadas representó tan sólo un pequeño porcen-taje del total de tarjetas de la empresa, quedó patente su vulnerabilidad. Los datos pertenecientes a tarjetas de créditos pueden perderse por muchas vías:

- Al realizar cualquier pago en terminales de cobro por tarjeta, se copian los datos de la tarjeta

- Los datos almacenados en el PC son capturados por programas de tipo keylogger o espías, por ejemplo, al realizar compras por Internet.

- En páginas web falsificadas (phishing) o tiendas online fraudulentas con ofertas determina-das, se solicita a la víctima la introducción de los datos en un formulario.

- Las bases de datos de tiendas online, servicios de pago y bancos, insuficientemente pro-tegidas, contienen datos de las transacciones realizadas. Estas son siempre el objetivo de intentos de ataque

Los propietarios de las tarjetas de crédito no tienen capacidad de actuación sobre todos los aspectos de la cadena de procesamiento de datos. Cada vez se escucha con mayor frecuencia que alguien ha sido víctima de un timo a través de su tarjeta de crédito. Por este motivo, muchos consumidores desconfían de este medio y deciden renunciar a su tarjeta de crédito, pero es una alternativa poco práctica.



Los usuarios de tarjetas de crédito pueden protegerse activamente frente al peligro de este tipo de ataques:

- Mantener el sistema operativo y el navegador de Internet actualizados

- Instalar un sistema de protección antivirus fiable y de alta capacidad y mantenerlo actuali-zado

- Al introducir datos en formularios siempre se debe preguntar siempre si el operador de la página web necesita realmente la información solicitada. Los códigos PIN, TAN, contrase-ñas o códigos de seguridad de tarjetas de crédito (CCV) únicamente proporcionar se deben proporcionar cuando se vaya a realizar un pago.

- Enviar la información sensible o confidencial sólo vía https, es decir, encriptada



Eventos.y.tendencias.durante.el.segundo.semestre.de.2009También el segundo semestre de 2009 estuvo ensombrecido por los ataques a redes sociales. Ya sea Twitter, MySpace, Facebook u otras redes sociales, estas plataformas siguen atrayendo a delincuentes de phishing y difusores de malware.

Julio.de.20091. 7 El "Month.of.Twitter.Bugs“ comienza. Aviv Raff, que participa ya desde 2006 en proyectos

"Month of Bugs“ desea sensibilizar a usuarios y programadores sobre los puntos débiles del medio Web 2.0. Actualmente presta una especial atención a las vulnerabilidades de Twitter Browser APIs, los servicios Tiny-URL y las imágenes preparadas con códigos maliciosos que contienen gusanos.

4. 7. Ordenadores americanos y surcoreanos bombardeados durante el Independence.Day. Ataques.DDoS.dirigidos ocupan a los expertos en seguridad de estos dos países. Una botnet de varias decenas de miles de PC zombis ataca las páginas web del gobierno y otras instituciones de relevancia económica, p.ej. la bolsa de Nueva York o los bancos surcoreanos. Los servicios secretos sospecharon de Corea del Norte como iniciador de estos ataques.

8. 7. El portal.de.exploit.Milw0rm anuncia su cierre. Esta puede ser evitada tras intensos de-bates. Aunque las razones no se nombran explícitamente, los expertos asumen que se ha excedido la capacidad de los operadores para mantener tal cantidad de exploits. El portal es el punto de partida para investigadores de seguridad informática, tanto para los que traba-jan en el lado de los buenos como en el de los malos.

9. 7. Curiosidad: Un banco.sudafricano comienza a tomar me-didas.anti-skimming en cajeros automáticos. Durante una inspección de rutina realizada por un técnico, el sistema de seguridad activa la alarma y, a consecuencia de ello, se inicia un ataque.con.gas.pimienta. Tres técnicos necesitaron asistencia hospitalaria.

23. 7. Un agujero.de.seguridad.desconocido. hasta el momento en el componente authplay.dll de Adobe.Acrobat.o Adobe.Flashplayer es utilizado en archivos PDF infectados y páginas web mani-puladas mediante la técnica drive-by-download.

Agosto.de.2009"Koobface” cumple un año y no remite su agresividad.

4. 8. El BSI se distancia de un supuesto correo electrónico enviado por él, que envía a los usuarios a una página web de tipo scareware. En esta página se engaña a los usuarios despreveni-dos para que se abonen a un contrato bianual y abonen 192 EUR de gastos.



6. 8. El servicio de micro-blogging Twitter permanece fuera.de.servicio durante horas. Tanto la aplicación principal como los clientes API se ven afectados. Esto se debe a una combinación de ataques.de.sobrecarga.repartidos (DDoS) y a una ofensiva aparentemente dirigida contra el blogger llamado "Cyxymu“ mediante "extra clics" que dirigían mediante correos electrónicos basura a determinadas páginas de Twitter.

13.8. Se hace público que Microsoft sabía de la existencia de un agujero crítico Zero.Day desde hacía años y sólo en julio de 2007 decidió ponerle solución en el "patchday".

14.8. Twitter posiblemente manipulado para que actúe de comunica-dor.de.botnet: Un Arbor Security Researcher descubre entradas encriptadas de Twitter en una cuenta, que posiblemente contenían órdenes para botnet.

24.8. Los Juzgados de Estocolmo condenan al Proveedor de Servicios de Internet "Black.Inter-net“ a detener el tráfico de la página web "The.Pirate.Bay“ o abonar 500.000 coronas sue-cas (aprox. 48.000 EUR). Poco tiempo después, "The Pirate Bay" encuentra otro proveedor.

27.8. Un antiguo empleado de la firma de seguridad distribuye un código de programación para integrar un virus.de.software.en.Skype. Este virus es capaz de pinchar conversaciones de forma subrepticia y enviarlos en forma de MP3 a una dirección predefinida.

29.8. En China se condena a cuatro.piratas.de.software a cumplir penas de prisión y abonar aprox. 1,6 millones de dólares USA . Se les atribuía la realización de copias ilegales de Windows XP, así como la distribución de otros programas de software.

Septiembre.de.20094.9. Los clientes.de.T-Online se ven obligados a esperar días para recibir sus e-mails. Algunos PC

de clientes se infectaron y funcionaban conectados a una botnet, como propagadores de correo basura (spam). La ralentización del servicio de e-mail se reparó desconectando los ordenadores zombi de Internet.

8.9. Curiosidad: Un astuto ciudadano austriaco capturó y guardó el flujo.de.datos.no.encripta-dos entre la central y las estaciones de bomberos, servicios de emergencia y ambulancias. De este modo obtuvo información sobre los lugares de trabajo, datos de pacientes y otros detalles sobre cada caso atendido.

14.9. Los visitantes de la página web de The.New.York.Times son víctimas de ataques de un ataque.de.ingeniería.social: Los hackers habían colgado banners de scareware en la página web y dirigido a los incautos visitantes a una página de descarga de software antivirus no gratuito y falsificado.

15.9. Najat M‘jid Maalla, la informadora las Naciones Unidas, advierte del drástico aumento.de.páginas.web.de.pornografía.infantil. Afirma que la presencia de páginas con situaciones de explotación masiva se ha multiplicado por cuatro durante el período de 2003 a 2007. Según estimaciones de UNICEF, en Internet pululan más de cuatro millones de este tipo de páginas web.



16.9. Curiosidad: En los Estados Unidos, un hombre recuperó sus.dos.ordenadores.portátiles.sustraídos mediante un programa de acceso.remoto. Este hombre fue capaz de observar a los ladrones por control remoto, mientras estos navegaban, chateaban, escribían e-mails, entablaban videoconferencias y visitaban páginas web para adultos y filmarlo todo a través de su videocámara. Gracias a ello, la policía lo tuvo muy fácil para atraparlos.

18.9. Microsoft culpa a empresas de llevar a cabo campañas de "malvertising" (malas prácticas publicitarias). En el que podría ser el primer proceso de este tipo, Microsoft desea presentar una denuncia contra la difusión de banners publicitarios poco fiables que contienen códi-gos maliciosos.

21.9. Mediante los sistemas infectados por el troyano "Trojan.FakeAlert.BFW” se redirige todo el tráfico de la URL a una advertencia de seguridad fraudulenta. Esta advertencia imita al navegador Firefox y engaña al usuario para que instale el scareware "Personal Antivirus".

Octubre.de.20091.10. Los crackers han hackeado la pregunta de seguridad Captcha de Facebook y ahora pue-

den crear perfiles automáticamente. Los perfiles creados engañan a los usuarios dirigién-dolos a un enlace que conduce a un supuesto video y convencen al usuario para que instale un software antivirus falso (Rogueware).

2.10. Google retira de los resultados de búsqueda la página web de la plataforma de intercambio ilegal "The.Pirate.Bay“, además de otras siete páginas web que pertenecen a la página web tracker BitTorrent.

6.10. Aparece en la red una lista con diez mil nombres de usuario y sus correspondientes con-traseñas de cuentas de Microsoft Live Hotmail. Estos datos fueron capturados mediante ataques.de..phishing y recopilados en esta lista. Poco tiempo después se descubre que también hay cuentas de Yahoo, Gmail, Comcast y Earthlink afectadas.

7.10. Curiosidad: El Director.del.FBI.Robert Mueller casi se convierte en víctima de une-mail.de.phishing de un banco. Según declaraciones propias, el correo electrónico presentaba una gran similitud con el original y venía a continuación de la petición de "Verificación de sus datos" hasta que se hacía clic sobre él. Su mujer le "castigó" en ese momento prohibiéndole la banca por Internet.

8.10. La operación.del.FBI."Phish.Fry“ llevó ante los tribunales a 100 personas relacionadas con ataques de phishing. Este es el sistema utilizado por los criminales de phishing: Los hackers egipcios detectan datos.personales.y.bancarios de las víctimas, los redirigen a sus "compa-ñeros" americanos y éstos manipulan estos datos para llevar a cabo operaciones ilegales.

Captura de pantalla 1: La advertencia de seguridad fraudulenta del scareware "Personal Antivirus“



8.10. Inicio del proyecto.piloto.De-Mail de seis meses de duración en Berlín. El proyecto De-Mail tiene como objetivo permitir en Alemania el intercambio de documentos con autenticidad legal en formato electrónico.

9.10. Ordenadores.zombi conectados a la botnet.Bahama envían peticiones de navegación dirigidas a miles de clones de apariencia veraz, en lugar de acceder a la página auténtica. Especialmente afectadas resultaron las páginas de búsqueda de Google, Bing y Yahoo. Objetivo: ganar dinero mediante el timo a través del clic.

17.10. La página netzpolitik.org recibe un grupo de datos con información personal de varios cientos de miles de usuarios del portal alemán schülerVZ. Estos datos son capturados con ayuda de un programa de recopilación de datos (crawler).

19.10 Un tribunal sueco difiere el proceso entre participantes de la página web de P2P "The.Pirate.Bay“ y la industria del espectáculo al verano de 2010. Dos jueces del proceso bajo sospecha de parcialidad. El comienzo del proceso está previsto para el 13/11/2009.

23.10. La firma Click Forensics publica un informe que revela que en el tercer trimestre de 2009 un 42,6% de los "fraudes.del.clic".(delitos.por.estafa.mediante.enlaces.fraudulentos) proce-dentes de ordenadores pertenecientes a botnets presenta un incremento del 5,7%.

31.10. El veinteañero apresado hace dos semanas, que se dedicaba a capturar datos de usuario de la comunidad de Internet alemana schülerVZ comete suicidio en su celda.

Noviembre.de.20091.11. El gusano.Conficker ha infectado esta semana a unos siete.millones.de.víctimas. Su

combinación de mecanismos de propagación, ocultación y protección lo convierten en el programa malicioso más exitoso del año.

3.11. En Manchester una pareja de veinteañeros es detenida por la policía. Estas dos personas son los presuntos difusores del programa de spyware.Zbot. Este programa roba información bancaria de Internet, datos de tarjetas de crédito y contraseñas. Es el primer arresto de este tipo llevado a cabo en Europa.

5.11. Curiosidad: Ordenador Macintosh víctima de un "programa malicioso". El programa malicioso creado a imitación del juego Space Invaders borra un archivo de la carpeta "Documentos" en cuanto alguien dispara a un alienígena del juego "Lose/Lose". No obstante, el programador avisa al jugador expresamente de ello antes de iniciar el juego.

Captura de pantalla 2: Escena del juego "Lose/Lose"

10.11. Los autores de "Koobface” consiguen por primera vez programar una variante que se com-porta como un ser humano en la red social "Facebook": Este programa malicioso registra cuentas, crea un perfil de apariencia normal, envía invitaciones para hacer amistades e incluso publica mensajes en los tablones de anuncios de otros usuarios.



17.11. La filial británica T-Mobile es objeto de un escándalo de sustracción de datos. Varios em-pleados venden datos de miles de clientes a intermediarios.

20.11. Microsoft forzado a moverse. Los crackers publican un exploit.Zero-Day para los navega-dores de Internet Explorer 5, 6 y 7. Ciertamente, el código no es peligroso en todos los casos ni en todos los ordenadores, aunque los crackers trabajan a toda mecha para mejorar el código.

24.11. Golpe a la criminalidad.en.Internet. Más de 200 policías de Alemania y Austria llevan a cabo redadas en 50 viviendas y apresan a cuatro personas. Las personas investigadas son sospechosas de comercio e intercambio de datos de tarjetas de crédito sustraídas, datos de acceso, datos de cuentas y software malicioso. La "Elite Crew" es además sospechosa de controlar una botnet de más de 100.000 ordenadores.

24.11. En los Estados Unidos, el llamado a sí mismo "Godfather.of.Spam“, cuyo nombre real es Alan Ralsky, de 64 años de edad, fue condenado a 51 meses de prisión, cinco años de liber-tad provisional y a pagar una multa de 250.00 dólares USA. Había comercializado junto con sus compinches, que tuvieron que enfrentarse igualmente a penas considerables, correo basura a gran escala.

25.11. Curiosidad: Corea del Sur limita el envío de SMS. La lucha de Corea.del.Sur contra el Spam tiene consecuencias en el sector de telefonía móvil. Está permitido enviar un máximo de 500 SMS diarios a través del teléfono móvil. Aunque en la República existen penas conside-rables por la difusión de mensajes basura, el flujo de este tipo de correo basura es extrema-damente alto. Según las estadísticas, en octubre, un 98% de la población surcoreana poseía un teléfono móvil, lo que equivale a 47,7 millones de dispositivos.

27.11. Una nueva ola.de.correo.basura afecta en particular a los jugadores.del.World.of.Warcraft. Un correo electrónico con fotos de jóvenes asiáticas engaña a los destinatarios para que hagan clic sobre los vídeos adjuntos, que esconden realmente un troyano y espían determi-nados datos de cuentas WoW.

29.11. Curiosidad: La "Palabra.del.año.del.2009“ en lengua inglesa es "Twitter“, según los propie-tarios de la página web Global Language Monitor. "Twitter" relega las palabras "Obama", "H1N1", "Stimulus" y "Vampiro" a los puestos dos a cinco. Las palabras de la década fueron "calentamiento global", "9/11" y "Obama".

Diciembre.de.20094.12. Los usuarios de la cadena.de.hoteles.virtual.

"Habbo” se enfrentan a una ola de ataques.de.phishing que afecta a varios países. Los criminales informáticos intentan ac-ceder a los datos de acceso y datos de tarjetas de crédito de los jugadores mediante páginas web de phishing. También es frecuente encon-trar publicaciones fraudulentas en blogs. Llama

Captura de pantalla 3: los usuarios del hotel virtual Habbo son engañados por cibercriminales



la atención en particular que: el juego online está principalmente dirigido a niños y jóvenes.

6.12. El portal.infantil alemán haefft.de está, según Chaos.Computer.Club, totalmente despro-tegido ante los ladrones de datos. El CCC informa que es posible moverse como parte de la comunidad sin necesidad de conocer ninguna contraseña ni realizar ninguna manipulación técnica y acceder a los datos de este modo. La página se retira de la red.

8.12. Servicios "hackear encriptación de WLAN": Una empresa americana ofrece el servicio de anular en 20 minutos la encriptación.WPA de una red de telefonía móvil mediante 400 "cloud CPU" y un "ataque.por.diccionario". Precio: 34 dólares americanos.

15.12. En los programas Adobe Reader y Adobe Acrobat 9.2 y anteriores se descubre un punto.dé-bil.desconocido.hasta.el.momento en la función "Doc.media.newPlayer“. Este agujero de seguridad permite a los atacantes, en el peor de los casos, hacerse con el control del sistema atacado. Adobe anuncia el parche para solucionar este fallo para el 12 de enero de 2010.

16.12. El responsable.de.la.copia.fraudulenta de la película "X-Men Origins: Wolverine“ es captu-rado tras nueve meses de pesquisas en Nueva York. El hombre, de 47 años de edad, había difundido la película no terminada antes del estreno en las salas de cine a través de redes de intercambio de archivos, aunque resultó no ser la fuente original. Aún no se dispone de información sobre la persona que robó originalmente la película.

17.12. Un ataque a Twitter pone la página web fuera de servicio mediante entradas.DNS.mani-puladas y muestra una página del "Ciberejército Iraní" Los responsables de Twitter sospe-chan que tras este incidente se oculta un ataque a Twitter como proveedor, en lugar de un ataque a los usuarios. No se conoce la existencia de otros daños.

g data informe sobre software malicioso informe semestral ... · el número de tipos de malware...

Documents