informe sobre las amenazas para la … · para proteger las bibliotecas de protocolos ssl/tls como...
TRANSCRIPT
INFORME COMPLETO
INFORME SOBRE LAS AMENAZAS PARA
LA SEGURIDAD DE LOS SITIOS WEB 2016
Symantec WSTR 2016 2
ÍNDICE
Symantec™ Global Intelligence Network 03
Introducción del WSTR (informe sobre amenazas para la seguridad de los sitios web) Los sitios web aún corren el riesgo de infectarse con malware y sufrir fugas de datos 04Seguridad completa para los sitios web 04Acontecimientos destacados del año 2015 05Principales conclusiones 05Transición a una autenticación más rigurosa 06Motivos para la esperanza 07
El año 2015 en cifras La situación actual 08Las lagunas de seguridad 09Las amenazas internas 10El dinero lo es todo 10 La economía sumergida y las fuerzas de seguridad 14 • Empresas en la sombra 14 • Un negocio viento en popa 14 • Pueden intentar escapar, pero no esconderse 14 • Reducción del riesgo 15
La víctima no es solo el dispositivo o la red, sino también el individuo que está detrás del equipoNo hay que fiarse de nadie 16Secretos y mentiras 17Identidades engañosas 18Apueste por el comercio electrónico 18 La confianza de los consumidores se tambalea 19 • La bolsa o la vida 19 • Pero ¿por qué los delincuentes privilegian
este tipo de ataques? 19 • Consecuencias de Dyre 20 • El idioma y la ubicación no constituyen obstáculos 20Leyes de privacidad 21Evitemos la catástrofe cibernética 22
La víctima no es solo el dispositivo o la red, sino también la entidad que está detrás de la redAtaques persistentes 23Diversidad en las vulnerabilidades de día cero 24Grupos de ataque activos en 2015 24Terror global, ataques locales 25El efecto mariposa 25Ciberseguridad, cibersabotaje y cisnes negros 27La escasa visibilidad no es la solución 27
Vectores de ataque Ataques web, kits de herramientas y explotación de vulnerabilidades online 28Linux en la línea de ataque 28Complementos problemáticos 29 • Se acerca el fin para Flash 29 • Explotación de complementos
para servidores web 29Infección por inyección 29Kits de herramientas de ataque web 30Las estafas mediante servicios de asistencia técnica recurren al kit Nuclear para difundir ransomware 31Denegación de servicio distribuida 32 • El peligro de los ataques DDoS 32 • Sencillo pero eficaz 34 • Las aplicaciones web cada
vez corren más peligro 36
¿Qué dispositivos pueden acabar en una botnet? 37Publicidad dañina 38En el cliente 39Smartphones y otros dispositivos móviles 39 • Un teléfono por persona 39 • Amenazas transversales 39 • Los ataques a dispositivos Android
se han vuelto más furtivos 42 • Los usuarios de Android, víctimas
del phishing y el ransomware 42 • Ahora los usuarios de Apple iOS
corren más riesgo que nunca 42Protección de los dispositivos móviles 42¿Qué nos depara el futuro? 43Amenazas por correo electrónico y otros sistemas de comunicación 43 • Ataques por correo electrónico 43 • Spam 44 • Phishing 44 • Propagación de malware por
correo electrónico 44 • El cifrado del correo electrónico 46 • Ataques que eluden el cifrado 46 • Consejos para garantizar la seguridad
al usar el correo electrónico 46¿Qué nos depara el futuro? 46
Los ordenadores, la informática en la nube y lainfraestructura de TI 47 • Sistemas virtualizados y en la nube 48 • Vulnerabilidades en la nube 48 • Protección de la infraestructura de TI 48Proteja la información esté donde esté 49
La respuesta del sector La evolución del cifrado 50Las cifras de la solidez 50Control y equilibrio 51El salto a la tecnología SSL Always-On 51Mayor sensación de seguridad 52
¿Qué nos depara el futuro? Tendencias al alza 53 • Aumento del phishing 53 • HTTPS en todas partes y para todos 53 • Amenazas híbridas: ataques a sistemas móviles 53 • Cada vez es más necesario contar con las
competencias adecuadas en materia de seguridad 53Temas candentes • La autenticación ante todo 54 • El Internet de las cosas desprotegidas 54 • «Hacktivismo», terrorismo, responsabilidad
gubernamental y derecho a la confidencialidads 54Ivan Ristic nos habla de la tecnología TLS 1.3 55
Consejos y prácticas recomendadas Adopte los estándares del sector 56Utilice la tecnología SSL/TLS correctamente 56Adopte una solución completa para la seguridadde los sitios web 56Conciencie a sus empleados 57Proteja los dispositivos móviles 57La seguridad es responsabilidad de todos 57
Symantec WSTR 2016 3
Symantec™ Global Intelligence Network
Symantec cuenta con la fuente de datos más completa que existe sobre las amenazas en Internet: Symantec ™ Global Intelligence Network, un sistema formado por más de 63,8 millones de sensores de ataque que registra miles de incidencias por segundo.
Esta red supervisa las amenazas existentes en más de
157 países y regiones mediante una combinación de
productos y servicios de Symantec, como los siguientes:
• Symantec DeepSight™ Intelligence,
• Symantec™ Managed Security Services,
• productos de consumo Norton™,
• Symantec Website Security
• y otras fuentes de datos externas.
Symantec también mantiene una de las bases de datos
sobre vulnerabilidades más completas del mundo. En este
momento, hay registradas más de 74 180 vulnerabilidades
(a lo largo de dos décadas) que afectan a más de 71 470
productos de más de 23 980 proveedores.
Los datos de spam, phishing o malware se registran con recursos como los siguientes: • Symantec Probe Network, un sistema que abarca más de
cinco millones de cuentas señuelo;
• Symantec.cloud;
• Symantec Website Security;
• y otras tecnologías de seguridad de Symantec.
La tecnología heurística patentada de Symantec.cloud, de-
nominada Skeptic™, detecta los ataques dirigidos más nuevos
y avanzados antes de que lleguen a la red del cliente. En 13
centros de datos, se procesan más de 9000 millones de
mensajes de correo electrónico al mes y se filtran más
de 1800 millones de solicitudes por Internet al día.
Symantec también recopila información sobre phishing a
través de una amplia comunidad antifraude de empresas,
proveedores de seguridad y más de 50 millones de consu-
midores.
Symantec Website Security protege más de un millón de
servidores web y garantiza una disponibilidad ininterrum-
pida desde el año 2004. Esta infraestructura de validación
permite comprobar si un certificado digital X.509 se ha
revocado o no mediante el protocolo de estado de certifica-
dos en línea (OCSP) y procesa a diario más de 6000 millones
de consultas de este tipo en todo el mundo. El sello Norton™
Secured aparece casi mil millones de veces al día en sitios
web de 170 países, así como en los resultados de las
búsquedas si se utilizan navegadores compatibles.
Gracias a estos recursos, los analistas de Symantec cuentan
con fuentes de información insuperables para detectar,
analizar e interpretar las nuevas tendencias en materia de
ataques, malware, phishing y spam. Con todos estos datos,
elaboran el informe anual sobre las amenazas para la segu-
ridad de los sitios web, que ofrece a las empresas de todos
los tamaños y a los consumidores información esencial para
proteger sus sistemas de forma eficaz tanto ahora como en
el futuro.
Symantec mantiene una de las bases de datos sobre vulnerabili-dades más completas del mundo.
Skeptic™, la tecnología heurística patentada de Symantec.cloud
23 980 proveedores
13 centros de datos
71 470 productos
1.8 millones de solicitudes
74 180 vulnerabilidades
9 millones de mensajes de correo electrónico
países
Symantec WSTR 2016 4
Introducción del WSTR (informe sobre amenazas para la seguridad de los sitios web)
Independientemente de que se trate de hacer compras, trabajar o pagar una factura, hoy en día es imprescindible que los servicios online inspiren confianza. Por suerte, la forma de utilizar y proteger Internet está cambiando para que los internautas se sientan seguros en todo momento, hagan transacciones con plena tranquilidad y no teman por la confidencialidad de sus datos. La seguridad de los sitios web abarca mucho más que los datos que se transfieren entre el servidor y los internautas. Si quieren seguir inspirando confianza, las empresas tienen que considerar su sitio web como parte de un ecosistema que hay que cuidar con atención y constancia.
Ahora que la presencia del comercio electrónico en nuestra vida diaria no deja de aumentar, hay mucho en juego. Cada vez son más las actividades que realizamos en Internet, desde hacer la compra hasta reservar unas vacaciones. De hecho, según Ecommerce Europe, la facturación global del comercio electrónico de la empresa al consumidor aumentó un 24 % para llegar a los 1,943 billones de dólares en el año 2014, mientras que se prevé que el comercio electrónico entre empresas alcance los 6,7 billones de aquí a 2020. En consecuencia, hoy en día, la seguridad de los sitios web es más importante y pertinente que nunca.
Si una empresa no logra reforzar la protección de su sitio web, no será la única afectada; la confianza de los consumi-dores también se verá perjudicada y podría haber enormes repercusiones económicas de gran alcance.
Los sitios web aún corren el riesgo de infectarse con malware y sufrir fugas de datosLos sitios web constituyen un elemento crucial en los ataques de gran envergadura, ya que permiten acceder a la red y a los datos de las empresas, así como a sus clientes y socios.
Por ejemplo, el hecho de que haya aumentado el uso de malware contra servidores web Linux (incluidos aquellos que alojan sitios web) demuestra que los delincuentes se han dado cuenta de que la infraestructura que hay detrás de los sitios web es tan valiosa como los datos cifrados con certificados SSL/TLS o incluso más.
Bastaría llevar a cabo un mantenimiento periódico para evitar muchos de los ataques de este tipo, pero las cifras observadas parecen indicar que los propietarios de sitios web no logran estar siempre al día.
Las tres cuartas partes de los sitios web analizados por Symantec en 2015 presentaban vulnerabilidades: un dato que lleva años sin cambiar.
En lugar de pensar solo en la protección, los administra-dores de los sitios web deberían tener en cuenta también la detección y la respuesta a los ataques. Necesitan herramien- tas de automatización que permitan supervisar los sitios web de forma constante para detectar indicios de vulnera- bilidades o ataques, bloquear los ataques en cuestión y, a continuación, elaborar informes e instalar las actualizacio- nes y revisiones pertinentes.
Seguridad completa para los sitios webEn el año 2015 los delincuentes siguieron encontrando vul-nerabilidades en la infraestructura subyacente de la segu-ridad de los sitios web, como «FREAK», que permitía forzar el uso de un protocolo más fácil de descifrar a los atacantes que interceptaran la configuración de una conexión segura.
Si bien es cierto que periódicamente salen actualizaciones para proteger las bibliotecas de protocolos SSL/TLS como OpenSSL, los propietarios de los sitios web tienen que insta-larlas si quieren evitar las vulnerabilidades. Asimismo, se está acelerando la transición de SHA-1 a SHA-2, un sistema mucho más eficaz, pero para que el cambio sirva de algo las empresas tienen que implantar correctamente los nuevos certificados. En 2015 los ataques distribuidos de denegación de servicio (Distributed Denial of Service o DDoS) han seguido causando estragos en las empresas. Los ataques de gran enverga-dura, como el que sufrió la BBC a finales de 2015, suelen tener mucho eco, pero en realidad en el punto de mira de los delincuentes están las empresas de todos los tamaños y muchas veces las de pequeñas dimensiones sufren daños colaterales cuando un servidor tiene que cerrar y deja fuera de combate numerosos sitios web solo porque uno de sus clientes ha sido atacado.
www.ecommerce-europe.eu/news/2015/global-e-commerce-turnover-
grew-by-24.0-to-reach-1943bn-in-2014
www.frost.com/sublib/display-report.do?id=MA4E-01-00-00-00
www.bbc.co.uk/news/technology-35204915
Symantec WSTR 2016 5
La conclusión es evidente: las empresas tienen que adoptar una actitud más proactiva en lo que se refiere a la implanta- ción de los certificados SSL/TLS. No basta con instalarlos una vez y olvidarse del asunto, así que es imprescindible contar con herramientas que automaticen y agilicen el proceso.
Acontecimientos destacados del año 2015 • Se redujo el precio de los datos robados, como las direc-
ciones de correo electrónico o los números de tarjeta de crédito, lo que parece indicar un aumento en la oferta.
• China fue el origen del 46 % de las actividades realiza-das con bots maliciosas en 2015 (el año anterior la cifra solo llegaba al 16 %), mientras que Estados Unidos pasó del 16 % al 8 % en ese mismo período.
• Se difundieron las indemnizaciones de los seguros contra ataques cibernéticos, lo que provocó un aumento de las primas y del coste global de las fugas de datos. Según el estudio anual de NetDiligence, las indemniza-ciones por ataques cibernéticos llegaron a alcanzar los 15 millones de dólares, mientras que las más habituales oscilaron entre los 30 000 y los 263 000 dólares.
• La media de las identidades afectadas por cada fuga se redujo aproximadamente en un tercio para situarse en 4885. Sin embargo, aumentó en un 85 % el número de fugas registradas sobre las cuales no se reveló cuántas identidades quedaron al descubierto.
• Una víctima especialmente destacada de una incidencia de seguridad fue Hacking Team, empresa italiana que proporciona software de espionaje y vigilancia encu-bierta a varios clientes gubernamentales. Varias de las vulnerabilidades creadas por estos expertos para usarlas como armas se publicaron en Internet y acabaron en kits de herramientas de ataque web.
• La publicidad dañina sigue invadiendo los sitios web, junto con los servidores Linux en que estos se alojan: el número de infecciones volvió a aumentar en 2015.
• Aumentaron los ataques contra el sector sanitario y las compañías de seguros: por ejemplo, Anthem sufrió una grave fuga de datos en la que se perdieron los historiales médicos de casi 80 millones de pacientes. En 2015, la sa-nidad fue el subsector que padeció más fugas de datos.
• Ya se habían producido otras veces ataques avanzados provocados por organizaciones dotadas de abundantes recursos y medios económicos, y hace mucho tiempo que sospechamos que cuentan con apoyo gubernamen-tal, pero en 2015 se descubrió el grupo Butterfly, que utilizaba técnicas con un nivel de complejidad similar para enriquecerse.
• La seguridad del Internet de las cosas adquirió prota- gonismo, pues se empezó a atacar a coches, electro-domésticos inteligentes y dispositivos sanitarios, por no hablar de los sistemas de control industrial.
• Se generalizaron los ataques a teléfonos, ya que aumen-taron drásticamente las vulnerabilidades de los sistemas móviles y el número de aplicaciones Android maliciosas. Los ataques se volvieron más furtivos y avanzados y, por primera vez, los dispositivos Apple iOS empezaron a caer en las redes de los delincuentes aunque no hubieran sido objeto de jailbreak (proceso que modifica el sistema operativo para permitir la instalación de aplicaciones no autorizadas por el fabricante), como ocurría en los años anteriores.
• El fenómeno del ransomware perdió fuerza en 2015, y los atacantes se centraron más en el crypto-ransomware. También sufrieron ataques los servidores Linux de alo-jamiento de sitios web. Asimismo, se detectaron infec-ciones de smartphones y ataques de prueba de concepto a televisiones inteligentes y relojes inteligentes.
• El sitio web de citas Ashley Madison sufrió un ataque que sacó a la luz los datos de numerosas personas dispuestas a engañar a sus parejas. Este caso tan sonado, junto con la difusión de las sextorsiones en Asia, demuestra que el valor de los datos personales ha adquirido una nueva dimensión que permite sacar más provecho económico a costa de las víctimas.
Existen instrumentos y tácticas eficaces para defenderse de los ataques DDoS, pero es necesario que los adminis-tradores de los sitios web dediquen tiempo a conocerlos e implantarlos.
Principales conclusionesEste año las vulnerabilidades de día cero han alcanzado niveles sin precedentes. Aunque siguen en el punto de mira las víctimas de siempre, como los complementos web y los sistemas operativos, cada vez son más habituales los ataques contra objetivos como el software de código abier- to. Lo más preocupante es que en 2015 se descubrieron graves vulnerabilidades de día cero que se utilizaron para atacar sistemas ICS.
En los ataques dirigidos, siguen siendo fundamentales las maniobras de reconocimiento, que permiten a los atacantes recopilar información discretamente sobre los sistemas que les interesan antes de lanzar el ataque propiamente dicho. Las tácticas de este tipo han tenido mucho peso en ciertos casos de cibersabotaje de gran repercusión, como los ataques lanzados con los troyanos Trojan.Laziok y BlackEnergy contra centrales eléctricas de Oriente Medio y Ucrania respectivamente.
http://netdiligence.com/downloads/NetDiligence_2015_Cyber_Claims_Study_093015.pdf
http://www.symantec.com/connect/blogs/how-my-tv-got-infected-ransomware-and-what-you-can-learn-it
Symantec WSTR 2016 6
En 2015 aumentaron prácticamente todos los indicadores
relacionados con las fugas de datos; en particular, se
batie-ron récords en la cantidad de ataques, identidades
robadas y «megafugas». En cuanto a las fugas de alto ries-
go, resulta sorprendente el puesto destacado que ocupan
sectores como el de las aseguradoras y el de la hostelería,
que despiertan el interés de los delincuentes porque son
una fuente de datos privados, como números de tarjeta
de crédito o información sanitaria. Es probable que los
atacantes aprovechen con más frecuencia estos datos que los
de otros sectores.
Transición a una autenticación más rigurosa No todo son malas noticias. En 2015 se ha avanzado tanto
en lo que se refiere a la eficacia como a la adopción de los
certificados SSL/TLS, y las autoridades de certificación han
tomado medidas para que el proceso de emisión sea más
transparente.
Según un estudio de Sandvine, hoy se cifra casi el 40 %
del tráfico de Internet descendente en Estados Unidos, y
se prevé que a lo largo del próximo año este dato aumente
para superar el 70 % del tráfico mundial.
Por desgracia, según las palabras de Robert Hoblit, vicepre-
sidente de productos emergentes e ingresos de Symantec:
«Ahora que se cifra todo, los consumidores tienen una falsa
sensación de seguridad y creen que siempre que ven la indi-
cación HTTPS se encuentran en un sitio web de una empre-
sa auténtica que ha superado un proceso de validación».
En realidad, la inmensa mayoría de los fraudes siempre han
tenido lugar en sitios web con validación de dominio, es de-
cir, sin que la empresa en cuestión haya superado validación
alguna. «Creo que la exigencia de cumplir la normativa
relativa a los pagos con tarjeta de crédito va a llevar a las
empresas a intensificar los requisitos de la autenticación»,
comenta Hoblit.
Cuando emite certificados con validación de dominio (DV),
la autoridad de certificación comprueba que el contacto del
dominio en cuestión apruebe la solicitud del certificado (por
lo general, por correo electrónico o por teléfono), algo que
suele ser automático. En consecuencia, estas soluciones sue-
len ser más baratas que los certificados SSL con Extended
Validation (EV), los cuales exigen un proceso de validación y
autenticación más riguroso.
Es cierto que, cuando se utilizan certificados con DV, se
comprueba que el propietario del dominio dé su consenti-
miento, pero no se verifica quién es realmente dicho
propietario, con lo que se deja la pista libre para los delin-
cuentes que quieran lanzar ataques de interposición Man-
in-the-Middle y de phishing. Symantec prevé que las em-
presas, en especial las que tienen que cumplir la normativa
relativa a los pagos con tarjeta de crédito, intensifiquen los
requisitos de autenticación y empiecen a adoptar certifica-
dos SSL con EV, que garantizan un nivel de seguridad más
alto.
Por otro lado, el cifrado SSL/TLS será más eficaz gracias a la
transición del algoritmo SHA-1 a SHA-2. Con la función hash
SHA 1, que se ha utilizado con mucha frecuencia, cada hash
generado por una fuente debería ser único. En teoría, nunca
debería ocurrir que dos fuentes diferentes generaran el mis-
mo hash, pero ya en 2005 se detectaron los primeros puntos
débiles de este sistema. La situación llegó a un punto crítico
en 2014, cuando Google anunció que dejaría de admitir los
sitios web que utilizasen el algoritmo SHA 1 y que mostraría
avisos de seguridad a los internautas que intentasen acce-
der a sitios web con certificados de este tipo que caducaran
después del 1 de enero de 2017. Pronto otros proveedores
de navegadores siguieron el ejemplo, con lo que quedó claro
que el algoritmo SHA 1 estaba destinado a desaparecer.
En el sector de la seguridad se está avanzando mucho y
existe la posibilidad concreta de reducir de forma consi de-
rable el número de ataques que se salen con la suya, pero
solo se conseguirá si también los propietarios de los sitios
web dan un paso al frente y toman medidas.
https://www.sandvine.com/pr/2016/2/11/sandvine-70-of-global-internet-traffic-will-be-encrypted-in-2016.html
http://www.symantec.com/connect/blogs/dangers-domain-validated-ssl-certificates
https://googleonlinesecurity.blogspot.co.uk/2014/09/gradually-sunsetting-sha-1.html
Symantec WSTR 2016 7
Motivos para la esperanzaA pesar de que abundan las malas noticias, si las empresas
están bien gestionadas y los usuarios actúan con prudencia,
solo las amenazas más implacables se saldrán con la suya.
Y hay más motivos para la esperanza. Por ejemplo, hoy
se cifra casi el 40 % del tráfico de Internet descendente
en Estados Unidos, y se prevé que este dato aumente a lo
largo del año. Los estándares más recientes en materia de
navegadores y sitios web ponen de relieve la importancia
del cifrado y la seguridad.
Asimismo, los desarrolladores de software, teléfonos y
sistemas del Internet de las cosas están mejorando la
seguridad de sus productos (si bien en ciertos casos partían
de un nivel muy bajo). Y, por supuesto, empresas como
Symantec están luchando con todos sus medios contra los
ciberdelincuentes, espías y malhechores.
AHORA QUE SE CIFRA TODO, LOS CONSUMIDORES TIENEN UNA FALSA SENSACIÓN DE SEGURIDAD Y CREEN QUE SIEMPRE QUE VEN LA INDICACIÓN HTTPS SE ENCUENTRAN EN UN SITIO WEB DE UNA EMPRESA AUTÉNTICA QUE HA SUPERADO UN PROCESO DE VALIDACIÓN.Robert Hoblit, vicepresidente de productos emergentes e ingresos de Symantec
«
»
Symantec WSTR 2016 8
El año 2015 en cifras
En 2015 las fugas de datos, originadas internamente o provocadas por estafadores, siguieron causando estragos tanto en los sitios web como en los dispositivos de los puntos de venta, y salieron más caras que nunca a las víctimas.
En consecuencia, se están difundiendo las indemnizaciones
de los seguros contra ataques cibernéticos y, según el
estudio de NetDiligence, estas han llegado a alcanzar los
15 millones de dólares, mientras que las más habituales
se encuentran entre los 30 000 y los 263 000 dólares. Al
mismo tiempo, cada vez sale más caro asegurar los activos
digitales, lo cual contribuye a que crezca aún más el coste
global de las fugas de datos.
En el primer semestre de 2015, aumentó en un 32 % el
valor medio de las primas para comerciantes, mientras que
en el sector sanitario algunas de ellas incluso se triplicaron.
Además, según Reuters, ahora los deducibles tienden a
ser más altos e incluso las mayores aseguradoras no dan
pólizas de más de 100 millones de dólares a los clientes en
situaciones de riesgo.
La situación actualEl coste medio total de cada fuga de datos ha aumentado un 23 % en los últimos dos años, hasta alcanzar los 3,79 millones
de dólares, tal como revela el este estudio sobre el coste de las fugas de datos de 2015. Como hemos observado una ligera
caída en el número total de fugas y la mediana de las identidades afectadas por cada fuga se ha reducido aproximadamente
en un tercio para situarse en 4885, podemos concluir que los datos robados en cada ocasión son más valiosos o más
confidenciales y las consecuencias para las empresas son más graves que en el pasado.
http://www-01.ibm.com/common/ssi/cgi-bin/ssialias?subtype=WH&infotype=SA&htmlfid=SEW03053WWEN&attachment=SEW03053WWEN.PDF
http://www.symantec.com/cyber-insurance/http://netdiligence.com/downloads/NetDiligence_2015_Cyber_Claims_Study_093015.pdfhttp://www.reuters.com/article/2015/10/12/us-cybersecurity-insurance-insight-idUSKCN0S609M20151012
2015 Diferencia 2014 Diferencia 2013
305 -2 % 312 +23 % 253
FUGAS EN TOTALFuente: Symantec | CCI
2015 Diferencia 2014 Diferencia 2013
429 millones +23 % 348 millones -37 % 552 millones
IDENTIDADES AFECTADAS EN TOTALFuente: Symantec | CCI
Symantec WSTR 2016 9
Las lagunas de seguridadA pesar de que los sistemas de cifrado cada vez son más
eficaces, este año muchos de los ataques contra certificados
SSL/TLS han aprovechado puntos débiles del ecosistema
SSL/TLS general.
«Durante el último año se ha prestado mucha más atención
a las bibliotecas de código con relación a las implantaciones
de certificados SSL/TLS», comenta Michael Klieman,
director general y ejecutivo de gestión de productos en
Symantec. «En consecuencia, se han facilitado con una
frecuencia razonable actualizaciones y soluciones contra
vulnerabilidades».
Eso es lo bueno, pero la otra cara de la moneda es que
los propietarios de sitios web no siempre mantienen
al día sus sistemas de seguridad, tal como revelan las
vulnerabilidades sin resolver más habituales que se han
observado en los servidores web durante el último año. Es
imprescindible que los responsables de gestionar los sitios
web mantengan la integridad de las implantaciones SSL/
TLS: no basta con instalar los certificados y luego olvidarse
del asunto.
Aunque no hemos detectado vulnerabilidades tan peligrosas
como Heartbleed, que tanto protagonismo tuvo en 2014,
a lo largo de 2015 OpenSSL proporcionó varias actualiza-
ciones y revisiones. Se utiliza OpenSSL en dos tercios de los
servidores web, lo que la convierte en una de las implanta-
ciones más difundidas de los protocolos de cifrado SSL y
TLS. El objetivo de las actualizaciones mencionadas era re-
solver vulnerabilidades con distintos niveles de riesgo, que
permitían a los delincuentes llevar a cabo ataques de inter-
posición Man-in-the-Middle o de denegación de servicio, así
como interceptar comunicaciones en teoría seguras.
Puesto Nombre
1 Vulnerabilidad POODLE (protocolos SSL y TLS)
2 Ausencia del encabezado de opciones X-Content-Type
3 Ausencia del encabezado de opciones X-Frame
4 Certificado SSL firmado con un algoritmo hash débil
5 Vulnerabilidad frente a ataques de secuencias de comandos entre sitios
6 Ausencia del encabezado Strict-Transport-Security
7 Compatibilidad con SSL v2
8 Cookie de sesión SSL cifrada sin el atributo «Secure»
9 Compatibilidad con conjuntos de cifrado SSL poco seguros
10 Vulnerabilidad en el proceso de renegociación de los protocolos SSL y TLS
PRINCIPALES VULNERABILIDADES SIN RESOLVER DETECTADAS EN LOS SERVIDORES WEB ANALIZADOSFuente: Symantec | Trusted Services
http://www.symantec.com/connect/blogs/critical-openssl-vulnerability-could-allow-attackers-intercept-secure-communications
http://www.symantec.com/connect/blogs/new-openssl-vulnerability-could-facilitate-dos-attacks
Symantec WSTR 2016 10
Las amenazas internasSi bien solo en torno al 10 % de las fugas de datos de 2015
se debieron a causas internas, el estudio de NetDiligence
revela que, en el 32 % de las indemnizaciones de los seguros
contra ataques cibernéticos, intervino algún factor interno. Por
ejemplo, la fuga de datos sufrida en Ashley Madison, una de las más sonadas del año, al parecer fue provocada por alguien descontento que se encontraba dentro de la propia empresa, según afirma su director ejecutivo. Si bien no se ha
confirmado qué ocurrió exactamente, si la hipótesis mencio-
nada es cierta, este caso destaca el daño que se puede llegar a
infligir desde dentro de una empresa.
Las amenazas internas siempre han sido un tema candente en
el campo de la seguridad informática, pero en 2015 los orga-
nismos gubernamentales, además de percatarse del problema,
empezaron a tomar medidas.
• Más de tres cuartos de los organismos gubernamentales
estadounidenses encuestados en el informe federal sobre amenazas internas de MeriTalk aseguran que ahora se esfuer-
zan más que hace un año por combatir las amenazas internas.
• El Centre for Defence Enterprise del Reino Unido en 2015
patrocinó varios proyectos destinados a supervisar el com-portamiento digital de los empleados para prevenir y detec -tar amenazas internas en tiempo real, así como simuladores de aprendizaje para enseñar a reconocer los riesgos.
El dinero lo es todo
El principal motivo que impulsa las fugas de datos sigue
siendo económico: cuantos más datos tenga alguien sobre un
individuo, más fácil le resultará robar su identidad, así que las
aseguradoras, los organismos gubernamentales y las entidades
sanitarias están en el punto de mira de los delincuentes, que
aspiran a conseguir perfiles personales más completos.
El tipo de información que interesa a los delincuentes no cam-
bió en 2015; únicamente se produjeron pequeños cambios en la
clasificación. Los nombres de personas siguen siendo el tipo de
dato que sale a la luz con más frecuencia: está presente en más
del 78 % de las fugas de datos. Los domicilios, las fechas de
nacimiento, los números de identificación de carácter adminis-
trativo (por ejemplo, de la seguridad social), los historiales mé-
dicos y la información financiera se encuentran entre el 30 y el
40 %, igual que en 2014, aunque el puesto que ocupa cada tipo
de dato ha variado ligeramente. Completan la lista de los 10
principales tipos de datos afectados las direcciones de correo
electrónico, los números de teléfono, la información relacionada
con planes de seguros y los nombres de usuario y contraseñas.
Todos ellos vuelven a situarse entre el 10 y el 20 %.
Esto no significa que los datos de las tarjetas de crédito hayan
dejado de interesar a los atacantes. Sin embargo, su valor en
el mercado negro no es especialmente alto, pues las empresas
que emiten las tarjetas, al igual que los propietarios de estas,
detectan muy pronto los gastos anómalos, y los datos robados
tienen una vida útil limitada. En cualquier caso, el mercado de
los datos de tarjetas de crédito no desaparece.
http://netdiligence.com/downloads/NetDiligence_2015_Cyber_Claims_Study_093015.pdf
http://uk.businessinsider.com/ashley-madison-ceo-says-hack-was-an-inside-job-2015-7
http://cdn2.hubspot.net/hubfs/407136/PDFs/Symantec/MeriTalk_-_Symantec_-_Inside_
Job_Report_-_FINAL.pdf?t=1445970735623
https://www.gov.uk/government/news/protecting-information-from-an-insider-threat
https://www.gov.uk/government/news/identifying-cyber-insider-threats-in-real-time
https://www.gov.uk/government/news/securing-against-the-insider-threat
MOTIVOS PRINCIPALES DE FUGAS DE DATOS POR TIPO DE INCIDENTES, 2013–2015 Fuente: Symantec | CCI
100 %
90 %
80 %
70 %
60 %
50 %
40 %
30 %
20 %
10 %
0 %Atacantes Divulgación
accidentalRobo o pérdida de un ordenador o unidad
Apropiación por parte del personal interno
34 %
49 %46 %
29 %22 % 22 %
27 %21 % 21 %
6 % 8 % 10 %
2013
2014
2015
Symantec WSTR 2016 11
Puesto Sector Número de identidades afectadas
Porcentaje de identidades afectadas
1 Servicios sociales 191 035 533 44,5 %
2 Aseguradoras 100 436 696 23,4 %
3 Servicios personales 40 500 000 9,4 %
4 Gestión de recursos humanos 21 501 622 5,0 %
5 Agentes, corredores y servicios de seguros
19 600 000 4,6 %
6 Servicios empresariales 18 519 941 4,3 %
7 Venta al por mayor - Bienes duraderos 11 787 795 2,7 %
8 Servicios ejecutivos, legislativos y generales
6 017 518 1,4 %
9 Servicios de enseñanza 5 012 300 1,2 %
10 Servicios sanitarios 4 154 226 1,0 %
SECTORES EN LOS QUE SE DEJARON AL DESCUBIERTO MÁS IDENTIDADES (2 CIFRAS)Fuente: Symantec | CCI
Puesto Tipo (2015) 2015 % Tipo (2014) 2014 %
1 Nombres de personas 78,3 % Nombres de personas 68,9 %
2 Domicilios 43,7 %Números de identificación de carácter ad-ministrativo (p. ej., de la seguridad social)
44,9 %
3 Fechas de nacimiento 41,2 % Domicilios 42,9 %
4Números de identificación de carácter administrativo (p. ej., de la seguridad social)
38,4 % Información financiera 35,5 %
5 Historiales médicos 36,2 % Fechas de nacimiento 34,9 %
6 Información financiera 33,3 % Historiales médicos 33,7 %
7 Direcciones de correo electrónico 20,8 % Números de teléfono 21,2 %
8 Números de teléfono 18,6 % Direcciones de correo electrónico 19,6 %
9Información relacionada con planes de seguros
13,2 % Nombres de usuario y contraseñas 12,8 %
10 Nombres de usuario y contraseñas 11,0 %Información relacionada con planes de seguros
11,2 %
PRINCIPALES TIPOS DE DATOS AFECTADOSFuente: Symantec | CCI
Symantec WSTR 2016 12
En cuanto a los sectores más afectados, las empresas de
servicios fueron las que sufrieron más fugas de datos,
tanto si se tiene en cuenta el número de incidencias como
si nos basamos en la cantidad de identidades que salieron
a la luz. Sin embargo, dentro de esta clasificación general,
el motivo del ataque es diferente en cada subsector.
El número de incidencias más alto se registró en el
subsector de los servicios sanitarios, donde se produjeron
el 39 % de las fugas del año. Esto entra dentro de lo
esperado, dado el rigor de las normas que exigen a las
entidades sanitarias informar de las fugas de datos
sufridas. Sin embargo, la cantidad de identidades
afectadas es relativamente baja en este sector. El hecho
de que se produzcan tantas fugas en las que salen a la luz
pocas identidades parece indicar que los datos robados
son muy valiosos.
El subsector en el que se robaron más identidades fue el
de los servicios sociales, pero esto se debe en gran parte a
una sola fuga que batió récords al afectar a 191 millones
de identidades. Si excluimos este caso concreto, el sector
de los servicios sociales pasa al último puesto de la lista.
(Por cierto, este es el puesto que ocupa en la clasificación
según el número de fugas).
El sector de la venta al detalle sigue siendo muy lucrativo
para los delincuentes, aunque ahora que en Estados
Unidos se ha adoptado el estándar EMV (es decir, se han
empezado a usar tarjetas de pago con chip y PIN), ha
perdido valor la información que se puede sacar de los
dispositivos de los puntos de venta.
La tecnología EMV es un estándar global para las
tarjetas con microchip, utilizado en varios países desde
los años noventa y principios del siglo XXI, que permite
autenticar las transacciones mediante una combinación
de chip y PIN. Tras las numerosas fugas de datos de gran
envergadura que han tenido lugar en los últimos años
y la proliferación de estafas con tarjetas de crédito, las
entidades que emiten dichas tarjetas en EE. UU. están
adoptando este sistema para tratar de paliar los efectos
de este tipo de fraudes.
Antes los delincuentes podían hacerse con los datos
llamados «Track 2», es decir, la información almacenada en
las bandas magnéticas de las tarjetas, para luego clonarlas
y usarlas en tiendas o incluso en cajeros automáticos, si
conseguían el PIN. Los datos «Track 1» contienen más
información que los «Track 2», como el nombre del titular,
el número de cuenta y otros datos discrecionales, que a
veces utilizan las aerolíneas al hacer reservas con tarjeta
de crédito. El valor de estos datos se refleja en los precios
de venta que alcanzan en el mercado negro de Internet,
donde llegan a costar 100 $ por tarjeta.
Desde octubre de 2015, el 40 % de los consumidores
estadounidenses disponen de tarjetas EMV, y se calcula
que el 25 % de los comerciantes cumplen el estándar EMV.
Sin embargo, con el estándar EMV resulta mucho más difícil
clonar tarjetas. Si bien es cierto que tendrán que pasar
unos años antes de que concluya la transición, hay que
señalar que el nuevo sistema, junto con otras mejoras de la
seguridad de los puntos de venta, debería hacer que este
tipo de robos de gran envergadura resultaran más difíciles y
sin duda menos rentables para los delincuentes.
Esto nos lleva a cuestionarnos la forma de valorar el nivel
de riesgo de una fuga de datos. Es posible que en un sector
concreto se produzca una gran cantidad de robos o queden
al descubierto numerosas identidades, pero ¿significa eso
que los datos se estén utilizando para fines delictivos?
Por ejemplo, cabe señalar que el 48 % de las fugas de
datos se debieron a descuidos. En estos casos, los datos
personales salieron a la luz, bien porque la empresa
los compartió con quien no debía o bien porque los
registros privados pasaron a ser públicos por un error de
configuración del sitio web. Pero ¿llegó la información
a manos de personas con intenciones maliciosas? En
muchos casos, probablemente no. Si una anciana jubilada
recibe por error el historial médico de otra persona en su
dirección de correo electrónico, no es fácil que aproveche
esta información para robar una identidad. Esto no
significa que nunca ocurra, sino que la inmensa mayoría
de estas fugas de datos implican un riesgo reducido.
Lo que sí supone un riesgo mucho más alto son los casos
en que la fuga de datos se debe a un ataque llevado a
cabo por hackers o desde dentro de la propia empresa.
Con toda probabilidad, en estas situaciones el objetivo es
robar identidades.
http://www.symantec.com/connect/blogs/demystifying-point-sale-malware-and-attacks
http://www.usatoday.com/story/money/personalfinance/2015/09/30/chip-credit-card-deadline/73043464/
http://arstechnica.com/business/2015/10/today-all-stores-in-the-us-should-accept-chip-and-pin-cards-yeah-right/
Symantec WSTR 2016 13
Fuera de lo común
En 2015 el ataque de Hacking Team llamó especialmente la atención porque los delincuentes no buscaban dinero ni identidades, sino armas cibernéticas. También dio mucho que hablar porque fue un ataque de hacking contra hackers.
Hacking Team es un equipo italiano que vende software de espionaje y vigilancia encubierta a usuarios gubernamentales.
En el ataque, salieron a la luz vulnerabilidades de día cero desconocidas hasta entonces.
En cuestión de días, se publicaron en una serie de foros los datos de varias vulnerabilidades del día
cero y numerosos troyanos utilizados como armas por el grupo, mientras que bastaron unas horas para que acabaran entrando en varios kits de herramientas de ataque.
http://www.symantec.com/connect/blogs/hacking-team-woes-adds-dangers-faced-internet-using-public
Symantec WSTR 2016 14
La economía sumergida y las fuerzas de seguridad
La economía sumergida prospera y la ciberdelincuencia crece a un ritmo vertiginoso, pero tal como hemos visto, en 2015 también aumentaron las detenciones y los desmantelamientos de gran relevancia. En definitiva, estén donde estén los malhechores, ahora las fuerzas de seguridad los encuentran con más rapidez. Es cierto que los ataques de ransomware han disminuido, pero también se han diversificado y ahora afectan también a los servidores web Linux.Empresas en la sombra
Hoy los ciberdelincuentes son más profesionales y mucho
más audaces tanto a la hora de elegir a sus víctimas como
en lo que se refiere a las cantidades de dinero que aspiran
a amasar. Estas empresas delictivas se consideran negocios
propiamente dichos que abarcan una gran variedad de
áreas, cada una con sus propios campos de especialización,
y que cuentan con colaboradores, socios, distribuidores,
proveedores, etc., tal como ocurre en el mercado legal.
Un negocio viento en popa
Así como durante los últimos años los precios de las direc-
ciones de correo electrónico se han reducido de forma con-
siderable, los de las tarjetas de crédito se han mantenido
relativamente bajos pero estables. De todos modos, estos
mismos datos alcanzan un precio muy alto si contienen
información «de lujo» (por ejemplo, si se comprueba que
las cuentas del vendedor siguen activas o que la tarjeta de
crédito no se ha bloqueado).
Por ejemplo, basta pagar entre 100 y 700 dólares estadouni-
denses a la semana para alquilar un kit de herramientas
web que infecte a las víctimas con descargas no autoriza-
das, con derecho a actualizaciones y asistencia ininterrum-
pida, mientras que los ataques distribuidos de denegación
de servicio (DDoS) cuestan entre 10 y 1000 dólares al día.
Por otro lado, en la gama más alta del mercado se encuen-
tran las vulnerabilidades de día cero, que pueden llegar a
venderse por cientos de miles de dólares. Cabe señalar que
estas cifras han cambiado muy poco desde el año 2014.
Pueden intentar escapar, pero no esconderse
«Durante el último año, los cuerpos de seguridad se han vuelto más eficaces en la lucha contra este tipo de delincuencia ―declara
Dick O’Brien, desarrollador informático sénior de Symantec―. Las operaciones de este tipo exigen actuar de forma coordinada
en el ámbito internacional, porque rara vez el grupo de delincuentes pertenece a un solo país, pero cuando salen bien suponen un
duro golpe para los atacantes y hacen que las actividades ilegales se vuelvan más arriesgadas y potencialmente costosas».
Puesto País o región (2015) Porcentaje de bots (2015) Puesto País o región (2014) Porcentaje de
bots (2014)
1 China 46,1 % 1 China 16,5 %
2 Estados Unidos 8,0 % 2 Estados Unidos 16,1 %
3 Taiwán 5,8 % 3 Taiwán 8.5 %
4 Turquía 4,5 % 4 Italia 5,5 %
5 Italia 2,4 % 5 Hungría 4,9 %
6 Hungría 2,2 % 6 Brasil 4,3 %
7 Alemania 2.0 % 7 Japón 3,4 %
8 Brasil 2,0 % 8 Alemania 3,1 %
9 Francia 1,7 % 9 Canadá 3,0 %
10 España 1,7 % 10 Polonia 2,8 %
PRINCIPALES FUENTES DE ACTIVIDAD DELICTIVA: BOTS, 2014–2015Fuente: Symantec | GIN
http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services
Symantec WSTR 2016 15
Reducción del riesgo
Hay que recordar que gran parte de las fugas de datos se
podrían haber evitado con una serie de medidas básicas de
sentido común, como las siguientes:
• Aplicar revisiones para resolver vulnerabilidades
• Mantener el software en buen estado
• Implantar filtros de correo electrónico eficaces
• Utilizar software de detección y prevención de las
intrusiones
• Limitar el acceso a los datos empresariales por parte de
terceros
• Cifrar los datos confidenciales para protegerlos
• Instalar una tecnología de prevención de pérdidas de
datos (o DLP)
Obviamente, estas medidas sirven para prevenir los ataques
procedentes del exterior. Cuando se trata de evitar las
amenazas internas, tanto malintencionadas como involun-
tarias, las empresas tienen que centrarse en formar debida-
mente a los empleados e impedir las pérdidas de datos.
Del mismo modo que nos dicen que tenemos que taparnos
la boca al toser o lavarnos bien las manos en los hospitales,
habría que concienciar a los empleados sobre la impor-
tancia de las medidas de seguridad básicas. Además, las
empresas deberían contar con herramientas de prevención
de pérdidas de datos que permitan localizar, supervisar y
proteger su información independientemente de dónde se
encuentre, para saber en todo momento quién está utilizan-
do cuáles datos y qué está haciendo con ellos.
La seguridad se debería considerar una parte esencial de las
operaciones y del comportamiento de los empleados, y
no un mero complemento que sirve para complacer a los
auditores. No parece probable que las fugas de datos de-
saparezcan a corto plazo, pero sin duda podría reducirse
su gravedad y los daños que provocan si las empresas
comprendieran que la seguridad no es solo responsabi-
lidad del director de sistemas y el gestor de TI, sino que
está en manos de todos los empleados.
http://www.symantec.com/connect/blogs/dridex-takedown-sinks-botnet-infections
http://www.symantec.com/connect/blogs/ramnit-cybercrime-group-hit-major-law-enforcement-operation
Entre los éxitos logrados en 2015, cabe
destacar los siguientes:
• El desmantelamiento de la botnet Dridex.
En el marco de una operación de seguridad
internacional realizada en octubre, se detuvo
a un hombre y se actuó de forma coordinada
para arrebatar de las manos de la botnet
Dridex miles de ordenadores atacados.
• El desmantelamiento de Simda. En abril
los cuerpos de seguridad confiscaron la
infraestructura en manos de los controladores
de la botnet Simda, que abarcaba una serie de
servidores de control.
• La incautación de Ramnit. En el marco de una
operación de seguridad realizada en febrero
bajo la batuta de Europol y con la asistencia
de Symantec y Microsoft entre otros, las
autoridades se incautaron de una serie de
servidores y otra infraestructura que estaba en
manos del grupo de ciberdelincuentes autores
de la botnet Ramnit.
• La acusación de ataques de hacking
contra JP Morgan Chase. Con relación a
varios ataques en los que se robaron más
de 100 millones de registros de clientes, las
autoridades federales acusaron al menos
a cuatro hombres de infiltración en varias
instituciones financieras y de manipulación
bursátil.
Symantec WSTR 2016 16
La víctima no es solo el dispositivo o la red, sino también el individuo que está detrás del equipo
Algunos de los ataques y tácticas de los ciberdelincuentes en 2015 han sido tan complejos e implacables que han puesto de manifiesto lo vulnerables que son los internautas y, en consecuencia, han hecho que la confianza de los consumidores se tambalee.
En 2015 las fugas de datos, la vigilancia gubernamental y las estafas de toda la vida se aliaron en contra de nuestra privacidad. Ya se trate de fotografías personales, datos de acceso a cuentas bancarias o historiales médicos, podemos tener la certeza de que nuestros datos no tienen nada de privados.
No hay que fiarse de nadie En 2015 tuvieron lugar numerosos ataques con malware
y estafas tradicionales cuyo objetivo era conseguir datos
personales. Por ejemplo, uno de los engaños consistía
en prometer grandes cantidades de seguidores gratis en
Instagram para conseguir que los usuarios revelaran su
contraseña o hacerse pasar por Hacienda en un mensaje de
correo electrónico para que los destinatarios descargaran
archivos adjuntos infectados.
Las estafas más sencillas siguen aprovechando la escasa
prudencia que suele tener la gente, pero también hay casos
en que los datos de los clientes salen a la luz porque el sitio
web en cuestión carece de un buen sistema de seguridad.
En este último supuesto, se pueden producir fugas de datos
independientemente de lo segura que sea la contraseña que
elija el usuario.
De todos modos, quizá sean más preocupantes los
ataques producidos en 2015 que recurrieron a técnicas
avanzadas de ingeniería social para sortear los sistemas de
autenticación de dos factores concebidos para proteger a
los usuarios.
Sin embargo, también hubo una estafa que aprovechó
precisamente la confianza del público en ciertas entidades:
el atacante se hizo pasar por Google en un mensaje de
texto imitando el proceso legítimo de recuperación de la
contraseña para acceder a la cuenta de correo electrónico
de la víctima sin despertar sospechas. (Más información en
la columna de la derecha).
http://www.symantec.com/connect/blogs/free-instagram-followers-compromised-accounts-phishing-sites-and-survey-scamshttp://www.symantec.com/connect/blogs/australians-beware-scammers-are-impersonating-australian-taxation-officehttp://www.symantec.com/connect/blogs/password-recovery-scam-tricks-users-handing-over-email-account-access
Cómo funciona la estafa de Gmail
1. Un atacante consigue la dirección de correo electrónico y el número de teléfono de la víctima (ambos suelen ser públicos).
2. El atacante se hace pasar por la víctima y pide a Google que le envíe su contraseña.
3. A continuación, el atacante envía a la víctima el siguiente mensaje de texto (o uno similar): «Google ha detectado actividad inusual no autorizada en su cuenta. Para impedirla, responda con el código que hemos enviado a su dispositivo móvil».
4. Así, la víctima se espera recibir el código para restablecer la contraseña que envía Google y se lo pasa al atacante.
5. El atacante restablece la contraseña y, cuando ha conseguido lo que buscaba o ha configurado el reenvío, comunica la nueva contraseña temporal (de nuevo, haciéndose pasar por Google) a la víctima, que no se dará cuenta de lo que ha ocurrido.
Symantec WSTR 2016 17
Secretos y mentirasEn 2015 las estafas tradicionales siguieron al orden del día,
pero además aparecieron amenazas a la privacidad más
maliciosas.
Por ejemplo, las sextorsiones, especialmente habituales
en Asia, consisten en usar un alias atractivo para que la
víctima acceda a enviar vídeos sexualmente explícitos. A
continuación, los delincuentes piden al internauta que
descargue una aplicación para continuar con la relación
y, de este modo, consiguen los datos telefónicos y los
contactos de la víctima.
Por último, el malhechor amenaza con enviar el contenido
sexual a toda la lista de contactos de la víctima a menos
que pague una cantidad de dinero. Debido a la naturaleza
tan delicada del contenido afectado, a las víctimas les suele
costar denunciar el ataque y acaban enviando al hacker
cientos de dólares, si no miles.
En la misma línea, el ataque a Ashley Madison provocó
un pico de mensajes no deseados con asuntos como
los siguientes: «¿Cómo comprobar si el ataque a Ashley
Madison te ha afectado?» o «Ashley Madison, víctima
de un ataque: ¿quieres saber si tu cónyuge te engaña?».
Este ataque fue inusual, pues sus repercusiones llegaron
mucho más allá de la esfera económica para afectar a las
relaciones personales y la reputación de la gente.
http://www.symantec.com/connect/blogs/online-criminal-group-uses-android-app-sextortionhttp://www.nytimes.com/2015/07/21/technology/hacker-attack-reported-on-ashley-madison-a-dating-service.html?_r=0http://www.symantec.com/connect/blogs/scammers-quick-capitalize-ashley-madison-breach
ESTAFAS EN LAS REDES SOCIALES, 2013–2015Fuente: Symantec | Safe Web
100 %
90 %
80 %
70 %
60 %
50 %
40 %
30 %
20 %
10 %
0 %Incitación a compartir conteni-
dos dañinos de forma manualOfertas falsas Secuestro del botón
«Me gusta»Aplicaciones
falsas
2 %
70 %76 %
81 %
23 %17 %
7 % 5 % 5 % 2 % 1 % 2 %
2013
2014
2015
Symantec WSTR 2016 18
Identidades engañosasLas redes sociales siguieron siendo un terreno fértil para los
delincuentes en 2015, pues estos lograron difundir estafas,
enlaces falsos y ataques de phishing aprovechando la
confianza que tiene la gente en sus contactos.
Ahora los atacantes utilizan tácticas más ingeniosas y
avanzadas y, para salirse con la suya, tienen que recurrir a
una ingeniería social convincente.
Hubo una estafa en concreto que llegó a crear toda una
red de cientos de miles de cuentas de Twitter falsas, en la
que cada nivel reforzaba la credibilidad del nivel superior,
para conseguir seguidores y retuiteos entre los usuarios
de Twitter auténticos. En la cumbre de dicha red había
cuentas falsas que se hacían pasar por cabeceras de prensa
y personajes famosos, y los delincuentes incluso llegaron a
imitar las publicaciones de las cuentas auténticas para que
los tuiteos resultaran más creíbles.
Para decidir quién es digno de confianza
en las redes sociales, tenga en cuenta los
siguientes consejos:
• Busque el
símbolo azul de verificación. Antes de empezar a seguir
a un personaje famoso o una marca, los usuarios de
Twitter deberían siempre ver si aparece el símbolo azul
de verificación, que indica que Twitter ha comprobado la
autenticidad del propietario de la cuenta en cuestión.
• No se fíe de los nuevos seguidores. Si una persona
cualquiera se suma a sus seguidores, no corresponda
automáticamente siguiéndola a ella. Antes, observe
sus publicaciones. ¿Retuitea contenido de aspecto
sospechoso? Si es así, lo más probable es que se trate de
un bot.
• A veces los números engañan. Aunque los usuarios que
empiecen a seguir su cuenta tengan a su vez miles de
seguidores, no se base en este dato para decidir si son
de fiar, pues es muy fácil falsificar estas cifras.
Apueste por el comercio electrónicoEn el fin de semana de Acción de Gracias de 2015, el
número de consumidores que compraron por Internet
superó al de quienes acudieron a las tiendas, según los
cálculos de la National Retail Foundation (fundación
nacional de venta al detalle).
Según Ecommerce Europe, la facturación global del
comercio electrónico de la empresa al consumidor aumentó
un 24 % para llegar a los 1943 millones de dólares en
2014, pero eso no es gran cosa en comparación con los
6,7 billones que, según los cálculos de Frost and Sullivan,
alcanzará de aquí al año 2020 el comercio electrónico
entre empresas. Esta última previsión abarca todo tipo
de comercio electrónico, incluido el uso de sistemas de
intercambio de datos electrónicos y de Internet.
Incluso los gobiernos cada vez recurren más a los servicios
digitales para cuadrar las cuentas. Por ejemplo, el gobierno
británico ha revelado recientemente que en 2014 se
ahorró 1700 millones de libras esterlinas gracias a la
transformación digital y tecnológica.
Si bien es cierto que los certificados SSL/TLS, los distintivos
de confianza y la protección de los sitios web contribuyen
a mantener la economía online, todo este negocio podría
correr peligro si la gente deja de fiarse de los sistemas de
seguridad en que se basa el sector.
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/uncovering-a-persistent-diet-spam-operation-on-twitter.pdf
https://nrf.com/media/press-releases/thanksgiving-weekend-shopping-brings-big-store-and-online-crowds-according-nrf
http://www.ecommerce-europe.eu/news/2015/global-e-commerce-turnover-grew-by-24.0-to-reach-1943bn-in-2014
http://www.frost.com/sublib/display-report.do?id=MA4E-01-00-00-00&src=PR
https://gds.blog.gov.uk/2015/10/23/how-digital-and-technology-transformation-saved-1-7bn-last-year/
Symantec WSTR 2016 19
La confianza de los consumidores se tambaleaOtros ataques perpetrados en 2015 también demuestran el
grado de maldad y complejidad al que se puede llegar para
hacer dinero.
La bolsa o la vida
El ransomware se ha difundido cada vez más en los
últimos años y en 2015 muchos preveían que la tendencia
continuase. Sin embargo, los ataques de este tipo se han
diversificado, pero su volumen no ha aumentado. Ahora
los ciberdelincuentes cifran archivos almacenados en
dispositivos móviles y cualquier recurso por el que la
víctima esté dispuesta a pagar. De hecho, un estudio de
Symantec ha llegado a demostrar que también la televisión
inteligente puede ser víctima de este tipo de ataques.
Ahora también hay ransomware que amenaza con publicar
los archivos de la víctima en Internet a menos que pague
una suma de dinero: se trata de una interesante y siniestra
novedad que con toda probabilidad está destinada a
generalizarse, ya que en estos casos no sirve de nada el
típico consejo de hacer copias de seguridad.
«En la historia de la humanidad, nunca hasta ahora se ha
sometido a la gente a una extorsión a tan enorme escala».
Pero ¿por qué los delincuentes privilegian este tipo de
ataques?
• Ante el exceso de oferta de datos robados en el mercado
negro y la aparición en Estados Unidos del estándar
EMV, que mejora la seguridad de los pagos con tarjeta,
se han reducido las ganancias que se pueden conseguir
mediante el robo de datos de tarjetas de crédito.
• Los fraudes con tarjetas de crédito implican la
intervención de muchas personas y la legislación al
respecto garantiza que la pérdida económica de la
víctima sea mínima. En cambio, es muy fácil conseguir en
el mercado negro un kit de herramientas de ransomware
para atacar a las víctimas, que con toda probabilidad
acabarán pagando. El delincuente no tendrá que gastar
en los servicios de ningún intermediario y no hay ningún
sistema que limite las pérdidas de la víctima, con lo que
la ganancia será máxima.
http://www.symantec.com/connect/blogs/how-my-tv-got-infected-ransomware-and-what-you-can-learn-it
http://www.computerworld.com/article/3002120/security/new-ransomware-program-threatens-to-publish-user-files.html
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-evolution-of-ransomware.pdf
GROWING DOMINANCE OF RANSOMWARESource: Symantec
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
Percentage of new families of misleading apps, fake AV, locker ransomware and crypto ransomware identified between 2005 and 2015
Misleading Apps FakeAV Lockers Cryptoransomware
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
[ FIGURES TBC ]
CRECIENTE DOMINIO DEL CRYPTORANSOMWAREFuente: Symantec
100 %
90 %
80 %
70 %
60 %
50 %
40 %
30 %
20 %
10 %
0 %
Porcentaje de nuevas gamas de aplicaciones engañosas, antivirus falsos, ransomware de bloqueo y ransomware de cifrado detectadas entre 2005 y 2015
Aplicaciones
engañosasAntivirus
falsosCryptoransomware
de bloqueoCryptoransomware
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
Symantec WSTR 2016 20
Consecuencias de Dyre
Después de que la policía cerrara varias botnets financieras muy importantes, Dyre ha ocupado su lugar.
Además de secuestrar navegadores web de uso habitual e
interceptar sesiones de banca online para robar datos, Dyre
también consiguió instalar malware en el ordenador de la
víctima y, muchas veces, añadir el equipo en cuestión a la
botnet del atacante.
En un principio, Dyre surgió como una de las operaciones
de fraude financiero más peligrosas de todos los tiempos,
ideada para estafar a los clientes de más de 1000 bancos y
otras empresas de todo el mundo.
Sin embargo, los ciberdelincuentes que controlaban el
troyano Dyre sufrieron un duro golpe tras una operación de
seguridad rusa que tuvo lugar en noviembre. Tal como se
destaca en el blog Security Response, según la telemetría
de Symantec el grupo prácticamente ha dejado de actuar.
Dyre (detectado por Symantec como Infostealer.Dyre) se
difundió mediante campañas por correo electrónico y, desde
el 18 de noviembre de 2015, no se han observado mensajes
de correo electrónico relacionados con Dyre. Poco después,
se redujo drásticamente la cantidad de detecciones del
troyano Dyre y otro malware relacionado. Anteriormente,
a principios de 2015, se calculaba que el número de
infecciones al mes superaba las 9000, mientras que en
noviembre del mismo año no llegaba a las 600.
El idioma y la ubicación no constituyen obstáculos
Otros ataques perpetrados en 2015 también demuestran
el grado de maldad y complejidad al que se puede llegar
para hacer dinero. Independientemente de dónde viva y
del idioma que hable, corre peligro de sufrir un ataque
cibernético. Por ejemplo, baste pensar en Boleto, un sistema
de pago que se utiliza solo en Brasil. A pesar de lo específico
que es, este año han aparecido tres tipos de malware
creados en especial para atacarlo.
En todo el mundo se están llevando a cabo ataques localiza-
dos similares, lo que demuestra que los ciberdelincuentes
hacen todo lo posible por manipular a las víctimas estén
donde estén y sea cual sea su idioma.
http://www.symantec.com/connect/blogs/dyre-emerges-main-financial-trojan-threat
http://www.symantec.com/connect/blogs/dyre-operations-bank-fraud-group-grind-halt-following-takedown
http://www.symantec.com/security_response/writeup.jsp?docid=2014-061713-0826-99
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/boleto-malware.pdf
DETECCIONES DE DYRE, 2014–2015 Fuente: Symantec
35
30
25
20
15
10
5
0
Jun 14 Ago 14 Oct 14 Dic 14 Feb 15 Abr 15 Jun 15 Ago 15 Oct 15 Dic 15
Mill
ares
Symantec WSTR 2016 21
Con los kits de herramientas de phishing, es facilísimo llevar
a cabo una campaña en un país concreto y, a continuación,
cambiar de plantilla para atacar a otro objetivo. Muchas
veces el idioma utilizado en dichos ataques localizados se
traduce automáticamente mediante las plantillas y, para
un destinatario que no sea nativo, resulta suficientemente
convincente.
Leyes de privacidad«A la gente no solo le interesa quién puede atacar, sino
también quién puede filtrar información», explica Shankar
Somasundaram, director ejecutivo de gestión de productos
e ingeniería en Symantec.
En mayo de 2014 el eco la resolución del Tribunal de
Justicia Europeo sobre el «derecho al olvido» se propagó
entre quienes recopilan datos y, a finales de 2015, Google
ya había recibido 348 085 solicitudes de eliminación de
resultados de búsquedas.
Aunque muchos pensaban que esto solo resultaría venta-
joso para quienes quisieran ocultar escándalos o evitar
acusaciones, según las preguntas frecuentes de Google,
entre las solicitudes más habituales se encontraban las que
pedían eliminar datos de contacto, direcciones postales
o «contenido relativo únicamente a la salud, orientación
sexual, raza, etnia, religión, y afiliación política y sindical de
un individuo».
Además, este año el Tribunal de Justicia Europeo volvió
a hacer que aumentara el interés de la opinión pública
en la cuestión de la privacidad cuando declaró nulo el
acuerdo de «puerto seguro» del año 2000. Según explicó
Monique Goyens, directora general de la Organización
de Consumidores Europea, esta resolución confirma que
«un acuerdo que permite a las empresas estadounidenses
declarar que respetan las normas de protección de datos
de la Unión Europea sin que ninguna autoridad compruebe
que eso es cierto no vale ni siquiera el papel en el que está
escrito».
Tal como comentó en su momento el periódico The
Guardian, tal vez esto «contribuya a evitar que el gobierno
estadounidense acceda a datos de usuarios en manos de la
Unión Europea» y «abra las puertas a más investigaciones,
reclamaciones y juicios por parte de los usuarios y de las
autoridades encargadas de cuestiones relativas a los datos».
http://www.cio.com/article/3008661/google-receives-steady-stream-of-right-to-be-forgotten-requests.html#tk.rss_all
http://www.google.com/transparencyreport/removals/europeprivacy/faq/?hl=en#common_delisting_scenarios
http://www.beuc.eu/publications/beuc-pr-2015-020_historic_victory_for_europeans_personal_data_rights.pdf
http://www.theguardian.com/technology/2015/oct/06/safe-harbour-european-court-declare-invalid-data-protection
En la tabla se muestra el papel crucial que han desempeñado las redes sociales en los ataques de ingeniería social
del pasado. Durante los últimos años, estos sitios web han tomado medidas drásticas al respecto y ahora a los
ciberdelincuentes les resulta mucho más difícil atacarlos.
NÚMERO DE URL DE PHISHING EN LAS REDES SOCIALES, 2009-2015Fuente: Safe Web
60
50
40
30
20
10
0
2010 2011 2012 2013 2014 2015
Mile
s
Symantec WSTR 2016 22
MILLONES DE DÓLARES
A medida que proliferan las fugas de datos y que aumenta la
parte de nuestra vida personal que tiene lugar en Internet,
es probable que en 2016 aumente el interés judicial por la
protección de la privacidad individual, así como la cantidad
de normas sobre la cuestión.
En cuanto al mundo empresarial, hay que empezar a
abordar la seguridad desde el punto de vista de la formación
y la epidemiología. Todos los empleados tienen que
colaborar para garantizar el buen estado de las tecnologías
digitales, mientras que los directores informáticos y los
responsables de TI tienen que ser conscientes de los riesgos
que corren y supervisar los síntomas de forma proactiva
con el fin de diagnosticar las enfermedades digitales antes
de que pongan en peligro los datos y la tranquilidad de los
clientes.
Symantec cree firmemente en la confidencialidad y
la defiende con uñas y dientes en todo el mundo. No
deberíamos resignarnos a la idea errónea de que la
privacidad ya no existe: al contrario, se trata de algo muy
valioso que hay que proteger con atención.
http://us.norton.com/cyber-security-insights?inid=us_hho_nortoncom_clp_norton-hp-ribbon-award_nrpt
Evitemos la catástrofe cibernéticaSegún un informe de BofA Merrill Lynch Global, la ciberdelincuencia roba 575 000 millones de dólares al
año a la economía global y, en una hipotética catástrofe cibernética de alcance universal, en 2020 podría
llegar a llevarse un quinto del valor creado por Internet.
Nos corresponde a todos a hacer cuanto esté en nuestra mano por evitar que ocurra algo así.
En lo que se refiere a los consumidores, ha llegado el momento de abandonar las malas costumbres. Mucha
gente conoce las normas básicas para garantizar la ciberseguridad y, sin embargo, más de un tercio de los
estadounidenses que comparten contraseñas han revelado la que permite acceder a su cuenta bancaria
online. Si queremos reforzar la seguridad en Internet, es imprescindible que todo el mundo asuma su parte
de responsabilidad.
LA CIBERDELINCUENCIA TIENE UN COSTE DE HASTA 575 000 MILLONES DE DÓLARES AL AÑO PARA LA ECONOMÍA GLOBAL
Symantec WSTR 2016 23
La víctima no es solo el dispositivo o la red, sino también la entidad que está detrás de la red
En resumen, los ataques tan frecuentes, persistentes y avanzados contra organismos gubernamentales y empresas de todos los tamaños constituyen una amenaza más grave para la seguridad y la economía nacionales. El número de vulnerabilidades de día cero ha aumentado y se sabe que se han utilizado como armas. Las campañas de spear-phishing se han vuelto más difíciles de detectar, pues se utilizan para atacar a menos individuos dentro de una menor cantidad de entidades previamente seleccionadas.
Ataques persistentesLa importante fuga de datos que sufrió Anthem, el segundo proveedor de servicios sanitarios más grande de Estados Unidos, afectó a los historiales médicos de 78 millones de pacientes. El ataque salió a la luz en febrero de 2015 y, según averiguó Symantec, fue perpetrado por un grupo llamado Black Vine que cuenta con recursos económicos considerables y colabora con Topsec, una empresa de seguridad informática con sede en China. Black Vine utiliza malware avanzado hecho a medida para llevar a cabo campañas de ciberespionaje contra distintos sectores, como el aeroespacial y el de la energía.
Entre las víctimas de ciberespionaje del año 2015, también se encuentran la Casa Blanca, el Pentágono, el Bundestag alemán y la Oficina de Gestión del Personal del gobierno estadounidense, que perdió 21, 5 millones de archivos personales con datos confidenciales como historiales sanitarios y financieros, registros de detenciones e incluso huellas dactilares.
Todo esto se enmarca en una creciente oleada mundial de ataques de ciberespionaje avanzados, persistentes y dotados de importantes recursos. En el punto de mira de los espías se encuentran los secretos de Estado, la propiedad intelectual empresarial (como diseños, patentes y planos) y, tal como se ha observado en recientes fugas de datos, la información personal.
Las vulnerabilidades de día cero son especialmente valiosas para los atacantes. En el pasado hemos visto cómo han conseguido aprovecharlas para atacar un organismo gubernamental a través de un simple documento de Word infectado enviado por correo electrónico. Es más, son tan
interesantes para los delincuentes que estos hacen todo lo posible por evitar que salgan a la luz y mantener así su posición de ventaja. Por ejemplo, a veces los atacantes diseñan malware que se activa solo en un momento concreto o en ciertas zonas geográficas. De este modo, no lo descubren los expertos en seguridad que ejecuten el software en otro lugar o a otra hora.
Como las vulnerabilidades de día cero son una fuente de riqueza aparentemente tan difícil de conseguir, los delincuentes las protegen como oro en paño para poder usarlas más tiempo sin que nadie las detecte.
En los ataques watering hole avanzados, los sitios web afectados se activan solo cuando el visitante procede de una dirección IP en concreto. Al reducir así los daños colaterales, es menos probable que salga a la luz la vulnerabilidad. Es más, este sistema también dificulta la tarea de los expertos en seguridad que visiten el sitio web desde un lugar diferente. Cuando el proveedor interesado revela un ataque, con frecuencia estos sitios web infectados pasan a usar otra vulnerabilidad aún desconocida para seguir actuando sin que nadie se dé cuenta.
Symantec sigue investigando el troyano Regin y analiza las capacidades técnicas de los atacantes que cuentan con apoyo estatal. Así, se han detectado 49 nuevos módulos, cada uno de los cuales añade nuevas funciones como el registro de pulsaciones de teclas, el acceso a archivos y al correo electrónico, y una amplia infraestructura de control. Según nuestros analistas, el troyano Regin es tan avanzado y complejo que podría ser fruto de meses o incluso años de trabajo por parte de equipos de desarrolladores dotados de buenos recursos.
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-black-vine-cyberespionage-group.pdf
http://edition.cnn.com/2015/04/07/politics/how-russians-hacked-the-wh/
http://www.wsj.com/articles/nsa-chief-says-cyberattack-at-pentagon-was-sophisticated-persistent-1441761541
http://ca.reuters.com/article/technologyNews/idCAKBN0OQ2GA20150610
http://www.wired.com/2015/06/opm-breach-security-privacy-debacle/
http://www.symantec.com/connect/blogs/regin-further-unravelling-mysteries-cyberespionage-threat
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf
Symantec WSTR 2016 24
En la actualidad, los ataques de spear phishing y watering hole que utilizan sitios web infectados son los sistemas preferidos para llevar a cabo ataques dirigidos. De todos modos, a medida que una empresa añade capas de tec-nología, se amplía también su superficie de ataque. Ahora que cada vez se utilizan más sistemas en la nube y que se van imponiendo los dispositivos del Internet de las cosas, prevemos que durante los próximos dos años los ataques dirigidos traten de aprovechar las vulnerabilidades de estas tecnologías. Con toda probabilidad, se empezará por atacar a los servicios en la nube especialmente vulnerables a ataques como la inyección SQL. Los atacantes se saldrán con la suya fácilmente mediante campañas de spear phishing que explotarán la seguridad insuficiente y los errores de configuración debidos a los usuarios, más que a los proveedores de servicios en la nube.
Para evitar ser detectadas, ahora las campañas de spear phishing son más numerosas pero afectan a menos individuos cada una. Es posible que muy pronto cada una ataque solo a un objetivo o a varios individuos concretos de una misma empresa. Por otro lado, las campañas de spear phishing de mayor envergadura probablemente se lleven a cabo con ataques watering hole, mediante sitios web infecta-dos aprovechando codiciadas vulnerabilidades de día cero.
Diversidad en las vulnerabilidades de día ceroEn 2015 se detectaron 54 vulnerabilidades de día cero, una cifra sin precedentes que duplicaba la del año anterior. Es evidente que descubrir vulnerabilidades desconocidas y dar con la forma de aprovecharlas se ha convertido en una de las técnicas preferidas de los delincuentes más avanzados, y nada parece indicar que la tendencia vaya a cambiar.
La mayoría de las vulnerabilidades de día cero detectadas en 2015 se utilizaron contra tecnologías «de toda la vida» que sufren ataques desde hace años. A lo largo del año, los ciberdelincuentes acumularon diez vulnerabilidades de día cero contra Adobe Flash Player. También Microsoft despertó el interés de los malhechores, si bien las 10 vulnerabilidades de día cero que se estaban usando contra su software se distribuyeron mediante Microsoft Windows (6), Internet Explorer (2) y Microsoft Office (2). El sistema operativo Android también sufrió ataques con cuatro vulnerabilidades de día cero a lo largo de 2015.
Grupos de ataque activos en 2015Algunos de los grupos más destacados que llevaron a cabo ataques dirigidos en 2015 fueron los siguientes:• Black Vine: grupo con sede en China que ha atacado
principalmente a entidades de los sectores aeroespacial y sanitario, como Anthem y la Oficina de Administración de Personal (ambas estadounidenses), en busca de propiedad intelectual e identidades.
• Rocket Kitten: grupo iraní con apoyo estatal que lanza ataques de espionaje a periodistas, activistas defensores de los derechos humanos y científicos.
• Cadelle and Chafer: grupo iraní que ha atacado princi-palmente aerolíneas y empresas de los sectores de la energía y las telecomunicaciones en Oriente Medio, así como una empresa estadounidense.
• Duke y Seaduke: grupo con apoyo estatal que al parecer actúa desde 2010 y ataca principalmente a agencias gubernamentales europeas, individuos muy destacados, así como organizaciones de investigación privadas y de política internacional.
• Emissary Panda: grupo chino que ataca con el fin de ro-bar propiedad intelectual a entidades de varios sectores (financiero, aeroespacial, inteligencia, telecomunica-ciones, energía e ingeniería nuclear). Se lo conoce sobre todo por haber aprovechado la vulnerabilidad de día cero CVE-2015-5119, que salió a la luz en el ataque de Hacking Team.
• Waterbug y Turla: grupo ruso de espionaje que lanza ataques de spear phishing y watering hole contra emba-jadas e instituciones gubernamentales. Se cree que lleva activo desde el año 2005.
• Butterfly: ataques a grandes empresas multimillonarias de varios sectores (TI, farmacéutico y materias primas), como Facebook y Apple, con el objetivo de obtener in-formación privilegiada para aprovecharse en el mercado bursátil.
2013 Cambio 2014 Cambio 2015
23 +4 % 24 +125 % 54
VULNERABILIDADES DE DÍA CEROFuente: Symantec I SDAP, Wiki
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-black-vine-cyberespionage-group.pdf
http://www.symantec.com/connect/blogs/iran-based-attackers-use-back-door-threats-spy-middle-eastern-targets
http://www.symantec.com/connect/blogs/forkmeiamfamous-seaduke-latest-weapon-duke-armory
https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/waterbug-attack-group.pdf
http://www.symantec.com/connect/blogs/butterfly-profiting-high-level-corporate-attacks
http://www.symantec.com/connect/blogs/turla-spying-tool-targets-governments-and-diplomats
Las vulnerabilidades de día cero alcanzan precios
muy altos en el mercado negro. Por este motivo y
por su propia naturaleza, creemos que el número
de vulnerabilidades de día cero detectadas no
refleja la magnitud real del problema.
Symantec WSTR 2016 25
Terror global, ataques locales«Los ciberdelincuentes se están volviendo más profesio-
nales y más osados en cuanto a las víctimas que eligen y
las cantidades de dinero que manejan», comenta Stephen
Doherty, analista sénior de información sobre amenazas de
Symantec.
Ahora que se acercan las elecciones presidenciales
de Estados Unidos, han circulado mensajes de correo
no deseado que utilizan como cebo el tema de las
primarias para infectar al destinatario con malware. Los
ciberdelincuentes que recurren al spam saben jugar con las
emociones y las reacciones viscerales de los destinatarios
recurriendo a temas como los eventos globales, la crisis de
los refugiados de Oriente Medio, la inmigración, la política
exterior, la economía e incluso el terrorismo.
En una campaña reciente de correo no deseado llevada
a cabo en Oriente Medio y Canadá, los malhechores se
hacían pasar por agentes de policía y recomendaban a los
destinatarios que descargaran supuestas soluciones de
seguridad, que en realidad no eran más que malware. Todos
los nombres utilizados correspondían a funcionarios reales
en activo y, en muchos casos, en el asunto del mensaje
aparecía el nombre de un empleado de la empresa atacada.
Para que un ataque de este tipo resulte convincente, es
necesario investigar previamente, como hizo este grupo
antes de enviar los mensajes de phishing. Además, como no
tenían los datos de los empleados, en primer lugar enviaron
mensajes a otras personas de la empresa, como el personal
informático o de atención al cliente.
Este nivel tan avanzado de investigación y localización,
que podría exigir la intervención de cientos de personas,
se está volviendo cada vez más habitual en las estafas con
botnets. La economía sumergida no consiste solo en vender
bienes robados, sino que constituye todo un sector con
organizaciones y profesionales tan preparados como los que
cabe esperarse de las empresas legítimas. Y como ocurre en
otros muchos sectores, las economías con más futuro, como
la china, llegan pisando fuerte.
El efecto mariposaButterfly (literalmente, mariposa) es un grupo de hackers
muy bien organizados y con una excelente preparación
que se dedican a espiar a las empresas con el objetivo de
aprovecharse en el mercado bursátil, ya sea vendiendo
datos confidenciales o realizando ellos mismos operaciones
con información privilegiada. Los primeros ataques de este
tipo que se conocen tuvieron lugar en 2013 y afectaron a
empresas tan famosas como Apple, Microsoft y Facebook.
De todos modos, los delincuentes suelen tomar medidas
estratégicas para no dejar rastro, como el uso de servidores
de control virtuales cifrados. El hecho de que estos hackers
aprovechen vulnerabilidades de día cero revela un nivel
de complejidad nunca visto hasta ahora en los ataques
realizados con fines comerciales.
http://www.symantec.com/connect/blogs/terror-alert-spam-targets-middle-east-canada-spread-malware
Symantec WSTR 2016 26
2014FabricaciónServicios no tradicionalesFinanzas, seguros y bienes raícesServicios profesionalesVenta al por mayorTransporte y servicios públicosAdministración pública (gob.)Venta al detalleMineríaConstrucción
2015Finanzas, seguros y bienes raíces ServiciosFabricaciónTransporte y servicios públicosVenta al por mayorVenta al detalleAdministración públicaEstablecimientos no clasificablesMineríaConstrucción
LOS 10 SECTORES MÁS ATACADOS CON SPEAR PHISHING (2014-2015) Fuente: Symantec I cloud
0 % 10 % 20 % 30 % 40 %
20 %20 %
18 %11 %
10 %7 %
5 %3 %
1 %1 %
35 %22 %
14 %13 %
9 %3 %
2 %2 %
1 % 1 %
ATAQUES DE SPEAR PHISHING SEGÚN EL TAMAÑO DE LA EMPRESA ATACADA (2011-2015) Fuente: Symantec I cloud
2011 2012 2013 2014 2015
50 % 50 % 39 % 41 % 35 %
32 % 19 %
31 % 25 %22 %
18 %
31 % 30 %34 %
43 %
Grandes empresas (más de 2500 empleados)
Medianas empresas (251 2500 empleados)
Pequeñas empresas (1- 250 empleados)
0 %
100 %
Symantec WSTR 2016 27
Ciberseguridad, cibersabotaje y cisnes negros
Si el ciberespionaje avanzado está tan extendido, resulta
curioso que no lo esté el cibersabotaje. Lo que se necesita
para infligir daños físicos es similar a lo que se usa en el
ciberespionaje, y la cantidad de potenciales victimas está
aumentando gracias a la proliferación de dispositivos
con conexión a Internet, incluidos los sistemas de control
industrial.
En su análisis de seguridad y defensa de 2015, el gobierno
británico resume con claridad los desafíos actuales:
«La gama de ciberdelincuentes que amenazan al Reino
Unido se ha ampliado. El peligro es cada vez más
asimétrico y global. Por lo general, para defenderse de
forma constante y fiable, se necesitan competencias
avanzadas y una inversión considerable. Pero cada vez
más países están desarrollando, con recursos estatales,
capacidades avanzadas que se podrían utilizar en conflictos,
incluso contra la infraestructura nacional crítica y las
instituciones gubernamentales. Por otro lado, los actores
no estatales, como los terroristas y los ciberdelincuentes,
pueden conseguir con facilidad tecnología e instrumentos
cibernéticos y utilizarlos con fines destructivos».
El uso de Stuxnet contra el programa nuclear iraní es el
ejemplo más conocido de ataque cibernético contra una
infraestructura física. Es posible que ya se hayan llevado a
cabo con éxito más ataques que aún no han salido a la luz o
que haya más infecciones en curso por ahora inactivas. En
cualquier caso, parece improbable que la infraestructura
crítica mundial sea inmune a estas amenazas. De hecho, a
finales de 2014, una planta siderúrgica alemana fue víctima
de lo que parece un aviso de futuros ataques que podrían
ser más graves.
La escasa visibilidad no es la soluciónLa forma más eficaz de protegerse del ciberespionaje
es, sencillamente, ser consciente del peligro. Cualquier
empresa podría ser víctima de un ataque dirigido que
recurra a técnicas de watering hole o abrevadero y spear
phishing. El hecho de ser pequeña o poco conocida no
reduce su vulnerabilidad.
Así es, pues en 2015 las pequeñas empresas sufrieron un
mayor porcentaje (43 %) de ataques de spear phishing, pero
disminuyó su probabilidad de ser atacadas. Es decir, se
produjeron más ataques contra ese tipo de víctimas, pero se
centraron en un número de empresas menor (3 %).
En cambio, el 35 % de los ataques de spear phishing
fueron contra grandes empresas, y 1 de cada 2,7 (el 38 %)
estuvieron en el punto de mira de los delincuentes al menos
una vez. Estos datos parecen indicar que se lanzaron
campañas más masivas a una escala mucho mayor.
Una vez reconocido el riesgo, las empresas pueden tomar
medidas para protegerse: revisar sus planes de seguridad
y de respuesta a las incidencias, pedir consejo y ayuda si
fuera necesario, actualizar sus defensas técnicas, implantar
programas de formación y políticas de personal eficaces, y
estar siempre al día de las novedades.
https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/478933/52309_Cm_9161_NSS_SD_Review_web_only.pdf
http://www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99
http://www.bbc.co.uk/news/technology-30575104
https://www.symantec.com/content/en/us/about/media/pdfs/b-istr_18_watering_hole_edits.en-us.pdf
https://www.symantec.com/content/en/us/enterprise/images/mktg/Symantec/Email/13927/WSTR_SYM_Spear_Phishing.pdf
Symantec WSTR 2016 28
Vectores de ataque
Ataques web, kits de herramientas y explotación de vulnerabilidades online
Si los servidores web están desprotegidos, también lo están los sitios web que se alojan en ellos y las personas que los visitan. Los delincuentes aprovechan cualquier vulnerabilidad para atacar los sitios web y hacerse con el control de sus servidores host.
Una vulnerabilidad crítica es aquella que, en caso de ser explotada, podría hacer que se ejecutara código malicioso sin necesidad de la interacción de un usuario, lo cual podría desembocar en una fuga de datos y poner en peligro a los internautas que visiten los sitios web afectados.
Como siempre, las cifras confirman que los propietarios de los sitios web no instalan las revisiones y actualizaciones en sus sitios web y servidores con la frecuencia que deberían.
Linux en la línea de ataqueEn 2015 hemos observado una oleada de uso de malware contra Linux, el sistema operativo más habitual en los ser-vidores de los sitios web, entre otros servicios de Internet esenciales
Con frecuencia los ciberdelincuentes contaminan los servidores web afectados con código que lleva a kits de herramientas de ataque, o bien envían mensajes de correo electrónico no deseados y roban nombres de usuario y con-traseñas. Además, muchas veces utilizan dichos servidores web como trampolín para seguir causando estragos: por ejemplo, mediante ataques DDoS de gran envergadura, aprovechando que el ancho de banda de un proveedor de
alojamiento es mucho mayor que el de un usuario domésti-co con una conexión de banda ancha.
Últimamente están proliferando los kits de herramientas de ataque automatizadas y especializadas, que buscan sistemas de gestión de contenidos desprotegidos y otras aplicaciones web en peligro. De este modo, ayudan a los ciberdelincuentes a detectar servidores potencialmente vulnerables y facilitan los ataques a sistemas Linux.
2015 Diferencia 2014 Diferencia 2013
78 % +2 % pts. 76 % -1 % pts. 77 %
Sitios web analizados que presentaban vulnerabilidadesFonte: Symantec | Trusted Services
2015 Diferencia 2014 Diferencia 2013
15 % -5 % pts. 20 % +4 % pts. 16 %
Porcentaje de vulnerabilidades críticas
http://www.symantec.com/connect/tr/blogs/phishing-economy-how-phishing-kits-make-scams-easier-operate
Cómo proteger el servidor• Manténgalo al día con las actualizaciones y revisiones
necesarias.
• Utilice varias capas de seguridad, de forma que si una falla
queden otras para proteger distintas áreas del sistema.
• Implante sistemas de detección y prevención de
intrusiones en la red y supervise los servicios de correo
electrónico que se ejecutan en el servidor.
• Utilice un buen firewall y revise periódicamente los
registros de acceso para detectar actividades sospe-
chosas.
• Instale un software antivirus, que bloqueará el malware
que detecte.
• Haga copias de seguridad fuera de las instalaciones.
Symantec WSTR 2016 29
En 2015 también se detectó ransomware utilizado contra Linux, en concreto en ciertos archivos con extensiones asociadas a aplicaciones web. Además, el programa cifraba los archivos y directorios que contenían la palabra «backup», con lo que causaba estragos en especial si la víctima no había hecho copias de seguridad fuera de las instalaciones.
Complementos problemáticosDe todos modos, los sistemas operativos no son los únicos que ponen en peligro los servidores web. Si bien durante los últimos años los principales proveedores de sistemas de gestión de contenidos han mejorado sus defensas y han implantado las actualizaciones automáticas, sus complementos siguen constituyendo un grave problema para la seguridad.
Se acerca el fin para Flash
En 2015 aumentó el número de vulnerabilidades de los complementos de Adobe, lo que indica que los atacantes están intentando explotar complementos que se utilicen no solo en varias plataformas, sino prácticamente en todas. La mayoría de las vulnerabilidades de Adobe guardaban relación con Adobe Flash Player (también conocido como Shockwave Flash).
Adobe Flash Player ha sufrido ataques constantemente a lo largo de los años y en 2015 dio origen a 10 vulnerabilidades de día cero (17 %), mientras que en 2014 fueron doce (50 %) y en 2013, cinco (22 %). Como ofrece ganancias tan suculentas, es evidente por qué a los ciberdelincuentes les gusta tanto atacar la tecnología Flash. Apple, Google y Mozilla han expresado su preocupación con respecto al complemento Flash, y tanto Google como Mozilla han anunciado recientemente que Chrome y Firefox dejarán de admitir Flash de forma nativa.
Desde el punto de vista de la seguridad, prevemos que durante el próximo año paulatinamente se vaya dejando de usar Adobe Flash.
Explotación de complementos para servidores web
No solo los complementos para navegadores son vulnera-bles y sufren ataques. Por ejemplo, baste pensar en Word-Press, que hoy se utiliza en la cuarta parte de los sitios web de todo el mundo.
Cualquiera puede crear un complemento de WordPress, con lo que hoy existen complementos de todo tipo, desde los
más útiles hasta los más ridículos, como Logout Roulette: «cada vez que se carga una página de administración, existe una posibilidad entre diez de que se cierre la sesión».
El problema es que ciertos complementos presentan un nivel de inseguridad sorprendente. Windows es un blanco de ataque frecuente porque cuenta con muchos usuarios, y lo mismo ocurre con WordPress: sus complementos son posibles objetivos y los delincuentes no dejarán escapar esta oportunidad.
Infección por inyecciónEn 2015 regresó Team GhostShell, que reivindica el ataque de una cantidad considerable de sitios web. En un informe reciente de este mismo año, el equipo de intervenciones de seguridad de Symantec comenta:
«Según las primeras impresiones, la lista de sitios web ata-cados que se ha publicado recientemente parece aleatoria, los delincuentes no se concentran en un país o sector en especial. Con toda probabilidad, el grupo elige los sitios web que atacar según su vulnerabilidad. Si ha mantenido su anterior modus operandi, seguramente haya infectado las bases de datos mediante la inyección de SQL y los scripts PHP mal configurados».
Una vez más, probablemente estos ataques se podrían haber evitado con una mejor gestión de los servidores y los sitios web. La inyección SQL es un método que se utiliza desde hace mucho tiempo y que sigue funcionando debido a la innecesaria debilidad de los parámetros que establecen los administradores para las consultas.
Hay que actualizar periódicamente los complementos, independientemente de que sean para navegadores o para servidores, ya que son proclives a los fallos de seguridad, y las versiones obsoletas se deberían evitar en la medida de lo posible.
Cómo reducir los riesgos que suponen los
complementos
• Actualice los complementos periódicamente.
• Consulte las noticias y las listas de seguridad
para tener en cuenta las advertencias.
• Para reducir la superficie de ataque, instale
solo los complementos realmente útiles.
https://www.symantec.com/security_response/writeup.jsp?docid=2015-110911-5027-99
http://w3techs.com/blog/entry/wordpress-powers-25-percent-of-all-websites
https://wordpress.org/plugins/logout-roulette/
http://www.symantec.com/connect/blogs/team-ghostshell-hacking-group-back-bang
Symantec WSTR 2016 30
Kits de herramientas de ataque webEs difícil defenderse de las vulnerabilidades nuevas y
desconocidas, en especial las de día cero, para las cuales
tal vez no existan revisiones de seguridad, y los atacantes
hacen todo lo posible por aprovecharlas antes de que los
proveedores implanten las revisiones.
Tras el ataque que sufrió en 2015 Hacking Team, una em-
presa con sede en Italia, salieron a la luz vulnerabilidades
de día cero desconocidas hasta entonces y, en cuestión de
horas, se integraron en kits de herramientas de ataque.
http://www.symantec.com/connect/blogs/hacking-team-woes-adds-dangers-faced-internet-using-public
PRINCIPALES CINCO KITS DE HERRAMIENTAS DE ATAQUE, 2014 Fuente: Symantec
CINCO KITS PRINCIPALES DE HERRAMIENTAS DE ATAQUE, 2015 Fuente: SDAP, Wiki
Sukura
Angler
Nuclear
Nuclear
Styx
Magnitude
Orange Kit
Rig
Blackhole
Neutrino
Otros
Otros
Otros50 %
Otros64 %
Sukura 23 %
Angler 23 %
Nuclear 10 %
Nuclear 6 %
Styx 7 %
Magnitude2%
Orange Kit 5 %
Rig 4 %
Neutrino 1 %
Blackhole5 %
Symantec WSTR 2016 31
El kit de ataque más activo en 2015 fue Angler, y Symantec
bloqueó a diario cientos de miles de ataques lanzados con
dicho kit, 19,5 millones de ataques en total. El mecanismo
de distribución favorito de Angler fue la publicidad
maliciosa, con cierta predilección por las vulnerabilidades
de Adobe Flash. En 2015 Windows fue la víctima preferida
de Angler: en concreto, Windows 7 fue el objetivo del 64 %
de los ataques de Angler; y Windows 8.1, del 24 %. Por
otro lado, en 2015 Mac OS X no parecía estar en la línea de
combate para los atacantes que utilizaban Angler, pero es
probable que esto cambie ahora que los ciberdelincuentes
tratan de atacar el ecosistema de Apple.
Las estafas mediante servicios de asistencia técnica recurren al kit Nuclear para difundir ransomwareEn 2015, Symantec registró un aumento del 200 % con
respecto al año anterior en el número de estafas mediante
servicios de asistencia técnica.
Este tipo de ataques no son nuevos, y cientos de miles
de personas en todo el mundo los sufren a diario. Las
primeras estafas de este tipo consistían en llamadas por
parte de teleoperadores en las que estos trataban de vender
paquetes de asistencia técnica a los usuarios para resolver
problemas (en realidad inexistentes) que supuestamente
había en los ordenadores de las potenciales víctimas.
Con el tiempo, estas estafas han evolucionado y
recientemente ha habido casos de mensajes de aviso
falsos prácticamente interminables en los que se insta
a las potenciales víctimas a llamar a un número gratuito
para obtener asistencia. Si llaman, responde una persona
aparentemente profesional que trata de convencer al
usuario para que instale un software que supuestamente
solucionará los problemas, pero en realidad se trata de
malware y otras aplicaciones indeseadas.
La última novedad ha sido el uso del kit de ataque Nuclear
para colocar ransomware en los equipos de las víctimas.
Los estafadores distraen al usuario mientras el ransomware
cifra los archivos del ordenador, tratando así de aumentar la
probabilidad de que la víctima pague un rescate.
http://www.symantec.com/connect/blogs/what-symantec-s-intrusion-prevention-system-did-you-2015
ESTAFAS MEDIANTE SERVICIOS DE ASISTENCIA TÉCNICA QUE DIFUNDIERON RANSOMWARE A TRAVÉS DEL KIT DE ATAQUE NUCLEAR
TRES PAÍSES MÁS AFECTADOS
1200
1000
800
600
400
200
0
ESTADOS UNIDOS
CANADÁ REINO UNIDO
Sep 15May 15 Jun 15 Jul 15 Ago 15 Oct 15 Nov 15
Mill
ares
Symantec WSTR 2016 32
Si bien no era la primera vez que se usaba ransomware en estafas mediante servicios de asistencia técnica, en los casos más recientes se ha añadido un iframe de HTML malicioso en el sitio web que redirigía a los internautas a un servidor en el que se alojaba el kit de ataque Nuclear. Se de-scubrió que este kit aprovechaba la reciente vulnerabilidad de ejecución de código remoto no especificada de Adobe Flash Player (CVE-2015-7645), entre otras. Si el ataque salía bien, se instalaba Trojan.Cryptowall (ransomware) o Trojan.Miuref.B (un troyano que roba información).
Esta ha sido la primera vez que Symantec ha detectado estafas mediante servicios de asistencia técnica combina-das con el kit de ataque Nuclear para distribuir ransomware y, si este sistema resulta ser eficaz, sin duda la tendencia continuará. Si bien es plausible que los estafadores de servicios de asistencia técnica y los atacantes que utilizan el kit hayan unido sus fuerzas, también puede ser que los servidores web de los estafadores hayan sido atacados por otro grupo que utilizara el kit de ataque Nuclear. En total, el año pasado Symantec bloqueó más de 100 millones de estafas realizadas mediante servicios de asistencia técnica. Los países más afectados por este tipo de estafas fueron Estados Unidos, Reino Unido, Francia, Australia y Alemania.
Denegación de servicio distribuidaLos ataques de denegación de servicio distribuida (DDoS) se están volviendo más graves y duraderos a medida que aumenta la popularidad de las botnets de alquiler y que el Internet de las cosas proporciona más carne de cañón a los ejércitos de dichas redes.
El peligro de los ataques DDoSCiertos ataques DDoS aún brindan a los delincuentes numero-sas oportunidades para enriquecerse, ya que permiten dañar el sitio web de una empresa con el objetivo de llevar a cabo extorsiones y chantajes. A veces, a la víctima no le queda más remedio que pagar el rescate. Sin embargo, la posibilidad de rastrear el dinero pone las cosas más difíciles a los atacantes, y las tecnologías de mitigación de DDoS hacen que necesiten un ancho de banda cada vez mayor para hacer mella en las víctimas. A pesar de todo, últimamente en algunos de los ataques más graves han intervenido grupos de «hacktivistas» y, a veces, personas que actúan en nombre de algún Estado.
Un ejemplo destacado es el reciente ataque a la BBC, que el 31 de diciembre dejó fuera de combate durante horas el sitio web y sus correspondientes servicios, incluido iPlayer. Según New World Hacking, se trata del ataque DDoS más grave de la historia. La organización anti-Estado Islámico reivindicó su responsabilidad porque el gran alcance de la BBC permitía poner a prueba sus capacidades y el grupo asegura que el ataque llegó a alcanzar los 602 Gbps.
De todos modos, los ataques DDoS también reportan benefi-cios, como la posibilidad de chantajear a la víctima pidiendo un rescate a cambio de interrumpir el ataque. En 2015 la DDoS también se ha utilizado a veces como herramienta de distracción combinada con ciertos tipos de ataques dirigi-dos: cuando el equipo de TI descubría que el sitio web de la empresa había sido invadido, pensaba que pronto llegaría la exigencia de pagar un rescate, pero en realidad en ese mismo momento se estaba llevando a cabo otro ataque más furtivo sin que nadie se diera cuenta.
http://www.symantec.com/connect/blogs/when-tech-support-scams-meet-ransomlockhttp://www.symantec.com/connect/blogs/tech-support-scams-redirect-nuclear-ek-spread-ransomwarehttps://www.symantec.com/security_response/vulnerability.jsp?bid=77081https://www.symantec.com/security_response/writeup.jsp?docid=2014-061923-2824-99https://www.symantec.com/security_response/writeup.jsp?docid=2015-032402-2413-99http://www.bbc.co.uk/news/technology-35204915http://www.techradar.com/news/internet/attack-against-bbc-website-was-the-biggest-volley-of-ddos-fire-ever-seen--1312864http://www.americanbanker.com/news/bank-technology/banks-lose-up-to-100khour-to-shorter-more-intense-ddos-attacks-1073966-1.html?pg=1https://www.symantec.com/security_response/writeup.jsp?docid=2014-061923-2824-99
18 000 000
16 000 000
14 000 000
12 000 000
10 000 000
8 000 000
6 000 000
4 000 000
2 000 000
0Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
EN TOTAL, SYMANTEC BLOQUEÓ MÁS DE 100 MILLONES DE ESTAFAS DE SOPORTE TÉCNICO EL AÑO PASADO
2015
Symantec WSTR 2016 33
En el gráfico se aprecia cómo aumentó la cantidad de ataques DDoS en el segundo semestre del año, antes de disminuir
drásticamente en noviembre y diciembre. En 2015 hubo más picos de actividad, conforme los ataques se volvieron más breves
y discretos.
La mayoría de los ataques DDoS consistieron en avalanchas de ICMP, por lo general mediante envíos masivos de solicitudes
de ping que sobrecargan el objetivo hasta impedirle gestionar el tráfico legítimo.
https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol
Puesto Ataques de 2015 Porcentaje en 2015 Ataques de 2015 Porcentaje
en 2014
1 Ataque ICMP Flood genérico 85,7 %Ataque de amplificacion de DNS
29,44 %
2 Ataque DDoS TCP Syn Flood genérico
6, 4 % Ataque CMP Flood genérico 17,20 %
3 Ataque DDos Pig Broadcast (Smurf) genérico
2,1 %Ataque DDos Pig Broadcast (Smurf) genérico
16,78 %
4 Ataque DDoS Teardrop/Land Denial genérico
2,0 %Ataque DDoS Teardrop/Land Denial genérico
7,17 %
5Ataque DDoS RFProwl genérico
0,6 %Ataque DDoS ICMP inaccesible genérico
5,71 %
CINCO ATAQUES PRINCIPALES DE DDOS DETECTADOS POR SYMANTEC GLOBAL INTELLIGENCE NETWORKFuente: Symantec | DeepSight
VOLUMEN DE ATAQUES DDOS DETECTADO POR SYMANTEC GLOBAL INTELLIGENCE NETWORK, 2015Fuente: Symantec | DeepSight
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
18 000
16 000
14 000
12 000
10 000
8000
6000
4000
2000
0
Symantec WSTR 2016 34
Sencillo pero eficaz
¿Por qué son tan frecuentes los ataques DDoS? La respuesta
hoy es la misma que en 2002, cuando hablamos de ellos por
primera vez: se configuran fácilmente, resulta difícil dete-
nerlos y causan estragos por naturaleza, sobre todo ahora
que proliferan las botnets de alquiler.
Según Incapsula, un socio de Symantec, en el segundo
trimestre de 2015 aproximadamente el 40 % de los ataques
DDoS llevados a cabo en la capa de la red se realizaron con
botnets de alquiler. A veces los delincuentes se toman la
molestia de infectar varios dispositivos vulnerables y crear
su propia botnet para luego lanzar el ataque DDoS, pero con
frecuencia resulta mucho más fácil alquilar para un periodo
de tiempo determinado botnets ya preparadas.
Los precios en el mercado negro no sufrieron grandes cam-
bios durante el año: el coste de un ataque DDoS oscila entre
los 10 y los 1000 dólares al día.
En cambio, el coste para la empresa atacada es mucho más
alto, tal vez hasta mil veces mayor, según la naturaleza del
negocio y la importancia del sitio web. En consecuencia, la
ganancia que puede conseguir un delincuente compensará
con creces el coste del ataque.
Esta difusión de los ataques relámpago parece indicar que
se está recurriendo con más frecuencia a los ataques DDoS
ofrecidos como servicio, consistentes en conceder a los
suscriptores un acceso limitado a los recursos de la botnet,
que se comparten con otros suscriptores. Por lo general,
de este modo se logra llevar a cabo unos cuantos ataques
breves de media envergadura. Además, con este sistema los
atacantes descubren hasta qué punto es eficaz la infraes-
tructura de su objetivo a la hora de mitigar los ataques y
si tienen que aumentar el volumen. Según los informes
de Incapsula, se han generalizado los ataques de más de
100 Gbps y se ha mitigado un ataque de estas característi-
cas un día sí y otro, no.
http://www.symantec.com/connect/articles/barbarians-gate-introduction-distributed-denial-service-attacks
https://www.incapsula.com/blog/ddos-global-threat-landscape-report-q2-2015.html
http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services
DISTRIBUCIÓN DE LOS ATAQUES DDOS A NIVEL DE RED POR DURACIÓNImagen cedida por Incapsula, segundo trimestre de 2015.
60 %
50 %
40 %
30 %
20 %
10 %
0 %
Menos de 30 min
30 min-1hora
1-3horas
3-6horas
6-12horas
12-24horas
24-48horas
48-72horas
72-96horas
96-120horas
120-240horas
240-480horas
480-720horas
58,1 %
6,7 % 6,4 %1,1 % 1,2 % 0.8 % 1,8 % 1,5 % 0,7 % 1,1 % 3,1 % 3,9 % 3,5 %
9,9 %
Más de 720
horas
En el gráfico se aprecia que, a finales del segundo trimestre de 2015, seguía habiendo una cantidad considerable de ataques
DDoS que duraban horas, días, semanas o incluso meses.
Symantec WSTR 2016 35
Como se aprecia en el siguiente gráfico, entre el segundo y
el tercer trimestre de 2015, el aumento de popularidad de
los ataques DDoS como servicio ha ido acompañado de una
reducción considerable en la duración de los ataques en la
capa de la red. Dado que lanzar un ataque DDoS es ilegal, en
ocasiones estos servicios de DDoS de alquiler se presentan
como herramientas para realizar pruebas de esfuerzo en el
servidor.
DISTRIBUCIÓN DE LOS ATAQUES DDOS A NIVEL DE RED POR DURACIÓNImagen cedida por Incapsula, tercer trimestre de 2015.
90 %
80 %
70 %
60 %
50 %
40 %
30 %
20 %
10 %
0 %
Menos de30 min.
76,9 %
11,3 %8,2 %
1,3 % 1,4 % 0,5 % 0,4 %
30 min -1 hora
1-3horas
3-6horas
6-12horas
12-24horas
Más de 24
horas
Tal como se aprecia en el gráfico, a finales del tercer trimestre prácticamente ya no se producían ataques DDoS que durasen
más de un día: no llegaban al 0,5 %.
Symantec WSTR 2016 36
Si bien los ataques cada vez duran menos porque se tiende
a preferir las ráfagas de ataques breves, su cantidad
cada vez es mayor, tal como ha observado Incapsula, que
ha registrado un increíble aumento del 138,8 % en la
frecuencia de los ataques a redes en el segundo semestre
de 2015.
Las aplicaciones web cada vez corren más peligro
De modo similar a lo que ha ocurrido con los ataques
realizados en las capas de la red, también los lanzados
contra aplicaciones se han vuelto más breves sin perder
ni un ápice de tenacidad. El mayor ataque a la capa de la
aplicación mitigado en el cuarto trimestre de 2015 fue
una ráfaga muy breve e intensa que alcanzó las 161 300
solicitudes por segundo.
Por un lado, este dato nos recuerda que los ataques DDoS
constituyen un problema general que afecta a todo el
ecosistema de Internet. Por el otro, demuestra lo fácil que
resulta lanzar un ataque de proporciones considerables
a la capa de la aplicación, pues bastan unos cuantos
dispositivos infectados para generar un tráfico capaz de
bloquear un sitio web de tamaño medio durante un largo
periodo de tiempo.
En consecuencia, en el cuarto trimestre de 2015 siguieron
siendo frecuentes los ataques repetidos en la capa de las
aplicaciones: el 44,7 % de los objetivos fueron atacados
más de una vez; y el 18 %, más de cinco veces.
FRECUENCIA DE LOS ATAQUES CONTRA UN OBJETIVO:Imagen cedida por Incapsula, cuarto trimestre de 2015.
44,7 %atacaron más
de una vez
55,3 %Ataques
individuales
26,7 %2-5ataques
7,3 %6-10 ataques
10,7 %Más de 10
veces
https://www.incapsula.com/blog/ddos-report-q4-2015.html
Symantec WSTR 2016 37
¿Qué dispositivos pueden acabar en una botnet?Las botnets desempeñan un papel clave en los ataques
DDoS, independientemente de que sean alquiladas o
creadas por los propios atacantes. Cuanto mayor sea su
tamaño, más solicitudes se podrán enviar al mismo tiempo y
más daños sufrirá la víctima.
Pero los ordenadores infectados no son los únicos que
ofrecen a los delincuentes un ejército de robots. En octubre
se utilizó malware contra una serie de servidores MySQL,
que ofrecen un ancho de banda mucho mayor que los
objetivos convencionales, lo que permite llevar a cabo
ataques DDoS contra otros sitios web. Este método no es
nuevo, pero demuestra que los delincuentes van a seguir
creando botnets cada vez más grandes y de mejor calidad.
Otro fenómeno observado en el año 2015 fue el aumento
en el uso del Internet de las cosas (o IoT, por sus siglas en
inglés) para fortalecer las botnets. En concreto, las cámaras
de circuito cerrado de televisión se utilizaron con especial
frecuencia, probablemente porque constituyen uno de los
dispositivos más habituales del Internet de las cosas: en
2014 había en todo el mundo 245 millones de cámaras de
videovigilancia operativas instaladas profesionalmente.
Es probable que en el futuro los delincuentes utilicen
cada vez más dispositivos vulnerables del Internet de las
cosas para lanzar ataques DDoS de gran alcance. Es cierto
que existen soluciones para defenderse de los ataques
DDoS, pero las empresas también se encuentran con
nuevas dificultades a la hora de garantizar la seguridad en
dispositivos que no son tradicionales, algo imprescindible si
quieren evitar que se conviertan en parte del problema.
Tal vez sea aún más preocupante el hecho de que, sin
los debidos sistemas de seguridad, será aún más difícil
descubrir que una impresora, frigorífico, termostato o
tostadora ha acabado en una botnet global tóxica.
http://www.symantec.com/connect/blogs/mysql-servers-hijacked-malware-perform-ddos-attackshttps://www.incapsula.com/blog/cctv-ddos-botnet-back-yard.htmlhttps://technology.ihs.com/532501/245-million-video-surveillance-cameras-installed-globally-in-2014http://www.imperva.com/Products/DDosProtection
SIN LOS DEBIDOS SISTEMAS DE SEGURIDAD, SERÁ AÚN MÁS DIFÍCIL DESCUBRIR QUE UNA IMPRESORA, FRIGORÍFICO, TERMOSTATO O TOSTADORA HA ACABADO EN UNA BOTNET GLOBAL TÓXICA.
Symantec WSTR 2016 38
Publicidad dañinaEn la parte central de 2015, prácticamente todos los
segmentos de Internet que se financian con publicidad se
han visto afectados por cuentas de publicidad dañina. Una
posible explicación es que la publicidad dañina permite in-
fectar a los visitantes de un sitio web con más facilidad que
el envío masivo de enlaces a sitios web infectados. Para un
delincuente resulta mucho más fácil intentar atacar un sitio
web famoso o colocar publicidad dañina en sitios web con
mucho tráfico, porque no necesitan tener en cuenta todos
los complejos matices de la ingeniería social y «los malos»
se ahorran un paso más.
Las empresas de publicidad no suelen pedir mucha
información a quienes envían anuncios, con lo que a los
delincuentes les resulta fácil hacerse pasar por empresas
legítimas y cargar anuncios dañinos, que podrán aparecer
en numerosos sitios web.
Además, gracias al uso de cookies, los creadores de malware
pueden adaptar su código malicioso o redireccionamientos
para atacar prácticamente al subconjunto de usuarios que
quieran, ya sea por ámbito geográfico, hora del día, empre-
sa, intereses o actividad reciente en Internet.
Como se sabe, por desgracia la publicidad dañina es difícil
de detectar y los delincuentes cada vez son más astutos,
hasta el punto de que, después de una o dos horas, eliminan
el código malicioso de los anuncios, que se vuelve casi invi-
sible. Como es tan eficaz y difícil de analizar, «es previsible
que el uso de la publicidad dañina siga aumentando. En
consecuencia, es posible que la mayor demanda de herra-
mientas de bloqueo de anuncios contribuya a reducir los
efectos negativos de la publicidad dañina».
http://www.symantec.com/connect/blogs/malvertising-campaign-targets-brazilian-users
Puesto Categorías más explotadas en 2015 Porcentaje Categorías más
explotadas en 2014 Porcentaje
1 Tecnología 23,2 % Tecnología 21,5 %
2 Negocios 8,1 % Alojamiento web 7,3 %
3 Búsquedas 7,5 % Blogs 7,1 %
4 Blogs 7,0 % Negocios 6,0 %
5 Dínamicas 6,4 % Anonimizador 5,0 %
6 Educativas 4.0 % Entretenimiento 2,6 %
7 Parking de dominios 3,2 % Compras 2,5 %
8 Entretenimiento 2,6 % Ilegal 2,4 %
9 Compras 2,4 % Parking de dominios 2.2 %
10 Ilegal 2,1 % Comunidad virtual 1.8 %
SITIOS WEB EXPLOTADOS CON MÁS FRECUENCIA, 2014-2015 Fuente: Symantec | SDAP, Safe Web, Rulespace
En 2015, la mayoría del contenido malicioso y de la publicidad dañina afectó a sitios web relacionados con tecnologías y
negocios.
Symantec WSTR 2016 39
Smartphones y otros dispositivos móvilesEn pocas palabras, los smartphones cada vez son un objetivo más atractivo para los ciberdelincuentes. En consecuencia, estos están invirtiendo en ataques más avanzados que sean más eficaces a la hora de robar datos personales valiosos y extorsionar a las víctimas. Aunque los usuarios de Android son el principal objetivo, en 2015 también hubo ataques contra dispositivos Apple, y los dispositivos iOS empezaron a caer en las redes de los delincuentes aunque no hubieran sido objeto de jailbreak (proceso que modifica el sistema operativo para permitir la instalación de aplicaciones no autorizadas por el fabricante).
Un teléfono por persona
Según el seguimiento realizado por IDC de las ventas mun-diales de teléfonos móviles por trimestre, «en 2015 se com-praron más de 1400 millones de smartphones en el mundo, lo que supone un aumento del 10 % con respecto al año anterior, cuando se vendieron 1300 millones» (27 de enero de 2016). Cinco de cada seis teléfonos nuevos funcionan con Android, y uno de cada siete utiliza el sistema opera-tivo iOS de Apple (IDC, cuotas de mercado de los sistemas operativos de los smartphones, segundo trimestre de 2015). Según el fabricante de móviles Ericsson, a finales del año 2020 el número de smartphones registrados podría llegar a los 6400 millones, lo que equivale a casi uno por persona.
Además, las tabletas y los teléfonos de alta gama cuentan con procesadores potentes y, gracias a la red 4G, disponen de conectividad de banda ancha. También contienen datos personales muy valiosos. Por ejemplo, en 2015 llegó al mer-cado Apple Pay, y pronto aparecerán otros sistemas de pago móviles del mismo tipo. Todos estos factores hacen que se trate de dispositivos muy atractivos para los delincuentes.
Amenazas transversales
Muchas tiendas de aplicaciones permiten a los usuarios navegar, comprar aplicaciones e instalarlas a distancia desde su equipo de sobremesa, lo que brinda a los delin-cuentes una oportunidad de oro. Por ejemplo, con Google Play, los clientes pueden navegar desde su ordenador con normalidad e instalar las aplicaciones directamente en el teléfono. Recientemente ha habido casos de malware en Windows que han aprovechado este sistema: una vez infec-tado el equipo de sobremesa, se han robado las cookies del navegador para sesiones de Google Play, que prácticamente son las credenciales de los usuarios, con lo que permiten a los ciberdelincuentes hacerse pasar por el usuario para ins- talar aplicaciones a distancia en los teléfonos y las tabletas
de las víctimas sin que estas lo sepan ni lo autoricen.
2015 2014 2013
Total de aplicaciones analizadas 10,8 millones 6,3 millones 6,1 millones
Total de aplicaciones clasificadas como malware 3,3 millones 1 millón 0,7 millones
Total de aplicaciones clasificadas como grayware 3 millones 2,3 millones 2,2 millones
Total de grayware clasificado como madware 2,3 millones 1,3 millones 1,2 millones
Definición de malware
Definición de grayware
Definición de madware
ANÁLISIS DE APLICACIONES DE SYMANTEC NORTON MOBILE INSIGHT Fuente: Symantec | SDAP
Programas y archivos creados para causar daños, como virus, gusanos y troyanos.
Programas que no contienen virus y no son claramente maliciosos pero pueden resultar molestos o incluso dañinos para el usuario [por ejemplo, herramientas de ataque, herramientas de acceso (accessware), programas espía (spyware), publicidad no deseada (adware), marcadores y programas de broma].
Técnicas agresivas para colocar publicidad en el calendario y los álbumes fotográficos de un dispositivo móvil y para insertar mensajes en la barra de noti-ficación. El madware puede llegar incluso a sustituir un tono por un anuncio.
http://www.idc.com/getdoc.jsp?containerId=prUS40980416
http://www.idc.com/prodserv/smartphone-os-market-share.jsp
http://www.ericsson.com/mobility-report
https://www.census.gov/population/international/data/idb/worldpopgraph.php
En el cliente
Symantec WSTR 2016 40
La cantidad de tipos de malware utilizados contra Android en 2015 aumentó un 6 %, mientras que el año anterior el
crecimiento había sido del 20 %.
Por otro lado, el volumen de variantes de Android aumentó un 40 % en 2015, mientras que el año anterior había crecido
un 29 %.
TOTAL DE FAMILIAS DE MALWARE DE MÓVILES ANDROID 2011–2015Fuente: Symantec
TOTAL DE MALWARE DE MÓVILES ANDROID, VARIANTES, 2011 – 2015,Fuente: Symantec
350
300
250
200
150
100
50
0
16 000
14 000
12 000
10 000
8 000
6 000
4 000
2 000
0
2011
2011
2013
2013
2015
2015
71
567
231
7612
295
13 783
174
4350
277
9839
2012
2012
2014
2014
Symantec WSTR 2016 41
Durante los últimos tres años, no ha dejado de aumentar
el número de vulnerabilidades de los sistemas móviles. A
diferencia de lo que ocurre con los dispositivos Android, las
vulnerabilidades de iOS han sido clave para acceder a los
teléfonos con iOS, en especial a los que se han sometido
a jailbreaking, proceso que permite a un usuario instalar
aplicaciones no autorizadas en el Apple Store, eludiendo el
sistema de seguridad de iOS. En cambio, resulta mucho más
difícil atacar un dispositivo en el que no se haya practicado
jailbreaking, pues en ese caso la aplicación que se quiera
instalar se tendrá que descargar del App Store. Los procesos
de control de Apple son conocidos por su rigor, motivo por
el que la cantidad de software malicioso utilizado contra
iOS es mucho menor que la del malware para Android.
En 2012, IOS.Finfish se convirtió en el primer caso de
aplicación iOS maliciosa detectada en el Apple Store.
Finfish permitía robar datos contenidos en el dispositivo
atacado. En 2014 apareció OSX.Wirelurker, que atacaba
aprovechando las conexiones USB a un equipo Mac o PC,
para luego instalar aplicaciones en dispositivos iOS que no
se hubieran sometido a jailbreaking.
Sin embargo, en 2015 se descubrió la posibilidad de
utilizar XcodeGhost y YiSpecter contra dispositivos iOS
sin necesidad de que el sistema atacado presentara
vulnerabilidades ni se hubiera sometido a jailbreaking.
Durante los últimos años, la mayor parte de las vulnerabilidades detectadas en sistemas móviles se han encontrado en la
plataforma iOS, y ha habido un gran interés por realizar jailbreaking en los dispositivos o instalar malware.
http://www.symantec.com/security_response/writeup.jsp?docid=2012-083015-4511-99&tabid=2
https://www.symantec.com/security_response/writeup.jsp?docid=2014-110618-0523-99
VULNERABILIDADES DE MÓVILES, POR SISTEMAS OPERATIVOS, 2013–2015Fuente: Symantec | DeepSight
100 %
90 %
80 %
70 %
60 %
50 %
40 %
30 %
20 %
10 %
0 %iOS Android BlackBerry OS Teléfonos
Windows
82,0 %
13,0 %
1,0 % 0,0 %
84,0 %
11,0 %
4,0 %1,0 %
83,5 %
16,3 %
0,0 % 0,2 %
Symantec WSTR 2016 42
Los ataques a dispositivos Android se han vuelto más furtivos
El malware usado contra Android cada vez es más difícil de detectar. Por ejemplo, los creadores de malware empezaron a camuflar el código para eludir el software de seguridad basado en firmas antes de lanzar sus ataques y actualmente existe malware que comprueba si se está ejecutando en teléfonos auténticos o en el tipo de emuladores que utilicen los expertos en seguridad.
Los usuarios de Android, víctimas del phishing y el ransomware
Además de los trucos de siempre como vender aplicaciones falsas que no son lo que prometen, ahora los atacantes recu- rren a técnicas más avanzadas para sacar dinero a sus vícti-mas. Por ejemplo, los expertos de Symantec han descubierto un nuevo troyano utilizado para lanzar ataques de phishing en Android que muestra una página de inicio de sesión falsa superpuesta a las aplicaciones de banca online legítimas, para conseguir así que los usuarios les revelen sus creden-ciales bancarias. Asimismo, el ransomware para Android más reciente imita el estilo de Google para parecer más legítimo e intimidatorio al mostrar falsos avisos del FBI en las pantallas de bloqueo. Otra novedad reciente es el uso de ransomware para cifrar archivos (por ejemplo, fotografías), en lugar de simplemente para cambiar el PIN de acceso al teléfono.
Ahora los usuarios de Apple iOS corren más riesgo que nunca
Gracias al rigor con el que Apple controla su sistema operativo y su tienda de aplicaciones, las amenazas contra los iPhones y iPads han sido poco frecuentes y de alcance limitado, pero en 2015 la situación cambió:
• En 2015 se detectaron nueve gamas nuevas de amena-zas para iOS, mientras que hasta entonces solo se conocían cuatro en total.
• El software para desarrolladores de contrabando deno- minado XcodeGhost infectó 4000 aplicaciones.
• El malware YiSpecter eludió la tienda de aplicaciones gra-cias al marco de distribución de aplicaciones empresarial.
• Los expertos en seguridad encontraron Youmi incrustado en 256 aplicaciones iOS. Se trata de un software utiliza-do para mostrar anuncios publicitarios, pero también envía datos personales a una ubicación remota sin el consentimiento de los usuarios.
• Las vulnerabilidades detectadas en AirDrop, el siste-ma inalámbrico de transferencia de archivos de Apple, podrían permitir a un atacante instalar malware en un dispositivo Apple.
Conforme aumenta la cantidad de iPads y iPhones que vende Apple, probablemente interesarán cada vez más a
los ciberdelincuentes, en parte porque sus propietarios dis-ponen (por término medio) de mayores ingresos. Tanto las empresas como los particulares deberían abandonar la idea de que los dispositivos Apple son inmunes a los ataques.
Protección de los dispositivos móvilesRecomendamos tanto a los particulares como a las empre-sas que traten los dispositivos móviles como lo que son: potentes ordenadores de pequeñas dimensiones. Para prote-gerlos como les corresponde, tome las siguientes medidas:• Controle el acceso, incluso con tecnología biométrica
cuando sea posible.• Adopte un sistema para evitar las pérdidas de datos (por
ejemplo, el cifrado en el dispositivo).• Haga copias de seguridad del dispositivo de forma
automatizada.• Implante un sistema que permita encontrar el dispositivo
y borrar sus datos a distancia, lo cual resultará muy útil en caso de extravío.
• Actualice el software periódicamente. Por ejemplo, la última versión de Android, lanzada en octubre con el nombre en clave de Marshmallow (versión 6.0), incluye una serie de funciones diseñadas especialmente para de-tener a los atacantes. Según Statista, en octubre de 2015 la versión de Android más difundida seguía siendo KitKat (la 4.4), utilizada en un 38,9 % de los casos, mientras que un 15,6 % de los dispositivos Android funcionaban con Lollipop (versión 5.0).
El ransomware llega a los dispositivos móviles
Imagínese la frustración de un usuario que, al
descargar una fantástica aplicación nueva para el
teléfono, se encuentra el dispositivo bloqueado y
un aviso del FBI en la página de inicio. Lo único que
puede hacer es pagar un rescate y esperar que los
atacantes desbloqueen el teléfono o despedirse para
siempre de sus fotografías, contactos y recuerdos.
http://www.symantec.com/connect/blogs/android-banking-trojan-delivers-customized-phishing-pages-straight-cloudhttp://www.symantec.com/connect/blogs/android-ransomware-uses-material-design-scare-users-paying-ransomhttp://www.symantec.com/security_response/landing/azlisting.jsp?azid=Ihttp://www.symantec.com/connect/tr/blogs/new-xcodeghost-malware-variant-discoveredhttp://www.bbc.co.uk/news/technology-34338362http://www.symantec.com/connect/blogs/yispecter-threat-shows-ios-now-firmly-attackers-agendahttp://www.symantec.com/connect/blogs/ad-library-behind-pulled-ios-apps-also-used-android-developmenthttp://www.symantec.com/connect/blogs/airdrop-vulnerability-poses-threat-iphone-and-mac-usershttp://www.statista.com/statistics/271774/share-of-android-platforms-on-mobile-devices-with-android-os/
Symantec WSTR 2016 43
• No descargue aplicaciones en sitios web desconocidos, instálelas solo desde fuentes de confianza y no recurra al jailbreaking.
• Preste especial atención a los permisos que solicita una aplicación.
• Actualice las aplicaciones con la mayor frecuencia posi-ble y, si detecta algo sospechoso, elimínela y espere a que salga una nueva versión.
• Si sospecha que su cuenta ha sufrido un ataque, cambie la ID de Apple o la contraseña de Google Play. Este consejo también se refiere a la protección de las cre-denciales para cualquier tienda de aplicaciones de otros fabricantes.
• Tenga mucho cuidado si recibe notificaciones o mensa-jes de correo electrónico sospechosos que le pidan sus credenciales o cualquier tipo de datos de identificación personal.
• Hasta que se aplique una revisión, sea prudente a la hora de acceder mediante el navegador móvil a archivos de vídeo o audio no solicitados.
• Si utiliza Android, instale las actualizaciones de seguri-dad en cuanto se las ofrezca su operador o el fabricante de su dispositivo.
• Existen más soluciones de seguridad para sistemas móviles que contribuyen a defenderse del software malicioso, y toda empresa debería plantearse implantar herramientas de gestión de la movilidad que ayuden a proteger y controlar los dispositivos móviles de sus empleados.
¿Qué nos depara el futuro?Según nuestras previsiones, las amenazas a dispositivos móviles seguirán proliferando en 2016. Tal vez pronto se vendan en el mercado negro kits de intrusión para teléfonos similares a los que se utilizan para atacar ordenadores.
Al mismo tiempo, Apple y Google están haciendo todo lo posible por proteger sus sistemas operativos y sus ecosiste-mas en general. En concreto, prevemos que mejoren tanto las técnicas utilizadas para validar y firmar las aplicaciones como la forma de distribuirlas. Los usuarios tendrán que acostumbrarse a que las aplicaciones y el sistema operativo de sus teléfonos se actualicen con frecuencia, automática-mente de forma predeterminada, y asumirán que los dispo- sitivos móviles necesitan software de seguridad.
Tal vez esto sea un indicio de avance más que un motivo de alarma: si los expertos en seguridad, los desarrolladores de sistemas operativos y los creadores de aplicaciones detectan y resuelven más problemas, es porque prestan más atención a la seguridad móvil. Aunque se prevé que durante el próximo año aumenten los ataques contra estos
dispositivos, también se espera que, si toman las medidas preventivas adecuadas y siguen invirtiendo en seguridad, los usuarios gocen de un buen nivel de protección.
Amenazas por correo electrónico y otros siste-mas de comunicaciónLos sistemas informáticos (ordenadores y redes) siguen siendo víctimas de un malware que evoluciona con rapidez. El correo electrónico sigue siendo el medio preferido de los ciberdelincuentes y la cantidad de mensajes que se envían no deja de aumentar. Al mismo tiempo, el phishing y el spam están disminuyendo, aunque más de la mitad de los mensa-jes que se reciben son no deseados. El número de mensajes de correo electrónico maliciosos ha aumentado desde el año 2014 y estos siguen constituyendo un sistema eficaz para los ciberdelincuentes, aunque el spam farmacéutico no lo sea.
Ataques por correo electrónico
El correo electrónico sigue dominando la comunicación digi-tal, al tiempo que aumenta la popularidad de las tecnologías de mensajería instantánea, tanto para usos empresariales como de consumo. Según los cálculos de Symantec, en 2015 se enviaron aproximadamente 190 000 millones de mensa-jes de correo electrónico al día, una cifra que prevemos que aumente en un 4 % de aquí a finales de 2016. Por término medio, cada usuario empresarial envió y recibió 42 mensa-jes de correo electrónico al día, y cada vez son más los indi-viduos que leen el correo en dispositivos móviles. Para los ciberdelincuentes que quieran contactar electrónicamente al mayor número posible de personas, este sigue siendo el mejor sistema.
No es de extrañar que los ciberdelincuentes sigan utilizán-dolo con tanta frecuencia para enviar mensajes no desea-dos, lanzar ataques de phishing y transmitir malware. Sin embargo, en 2015 disminuyeron las amenazas por correo electrónico, limitándose al 1 % del correo no deseado. Symantec cuenta con análisis más detallados sobre el mal-ware y el phishing, pues dado que estas amenazas tienen consecuencias dañinas que pueden llegar a ser considera-bles, resulta útil conocerlas mejor.
Symantec analiza una parte considerable del correo elec-trónico empresarial que se envía en el mundo, con lo que disponemos de información privilegiada sobre este medio y sobre las amenazas que supone para la seguridad. Muchos de los mensajes de correo electrónico empresariales nunca salen de la empresa, mientras que aproximadamente tres cuartas partes del tráfico de correo electrónico exterior son mensajes entrantes, más de la mitad de ellos no deseados.
https://support.apple.com/en-us/HT201355/https://support.google.com/accounts/answer/41078?hl=en
Symantec WSTR 2016 44
Spam
En 2015 más de la mitad de los mensajes de correo electró- nico empresariales recibidos eran no deseados, a pesar de que durante los últimos años la cantidad de spam ha ido dis-minuyendo paulatinamente y, de hecho, en 2015 llegó al nivel más bajo registrado desde el año 2003. De todos modos, el problema del spam sigue ahí: simplemente, se envía por otros canales, como las redes sociales y la mensajería instantánea, dos de los tipos de aplicaciones más difundidas en los dispo- sitivos móviles. Así, al aprovechar estos sistemas además del correo electrónico, los atacantes perfeccionan sus tácticas.
Phishing
Con el tiempo, gracias a la evolución del mercado de la ciber-delincuencia, las campañas de phishing se han simplificado mucho para los atacantes. Ahora estos colaboran entre sí: al-gunos se especializan en kits de phishing, mientras que otros los venden a quien quiera llevar a cabo ataques de este tipo.
Por lo general, estos kits se venden a un precio de entre 2 y 10 USD, y no se necesitan grandes competencias técnicas para utilizarlos ni para personalizar sus páginas web según las necesidades particulares de cada uno. A continuación, los estafadores pueden utilizar los datos robados con estos ataques para sus propios propósitos o bien venderlos en el mercado negro.
Propagación de malware por correo electrónico
Como ocurre con el phishing, cuando se distribuye malware por correo electrónico, se necesitan ciertos conocimientos de
ingeniería social para lograr que el destinatario abra un archi-vo adjunto o haga clic en un enlace. Los adjuntos pueden ser facturas falsas, documentos de trabajo u otro tipo de archi-vos y, por lo general, es necesario que el software utilizado para abrirlos presente alguna vulnerabilidad sin resolver. De forma similar, los enlaces maliciosos dirigen al usuario a un sitio web infectado mediante un kit de herramientas de ataque para instalar algún tipo de malware en su equipo.
Las amenazas como Dridex recurren exclusivamente a los ataques mediante correo electrónico no deseado y mues-tran nombres de empresas reales tanto en la dirección del remitente como en el cuerpo del mensaje. La inmensa ma- yoría del spam de Dridex se camufla en forma de mensaje con contenido financiero, como facturas, recibos y pedidos. Estos mensajes llevan adjuntos archivos de Word o Excel maliciosos, con una carga útil que instala el malware propia-mente dicho con el fin de robar datos de banca online.
El grupo de ciberdelincuentes responsables de este ataque en concreto ha utilizado todo tipo de spam y de vectores de difusión de malware: desde simples archivos adjuntos maliciosos hasta enlaces en el cuerpo del mensaje que llevan a la página de entrada de un kit de ataque, pasando por archivos PDF dañinos y macros.
La propagación de malware por correo electrónico no se ha reducido como el spam general y, dado su volumen relativa-mente bajo, es más proclive a las fluctuaciones. Se producen picos cuando se llevan a cabo campañas de gran envergadura.
http://www.symantec.com/connect/blogs/phishing-economy-how-phishing-kits-make-scams-easier-operatehttp://www.symantec.com/connect/blogs/dridex-and-how-overcome-ithttp://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/dridex-financial-trojan.pdf
No es de extraañar que siga siendo uno de los métodos preferidos de los cibercriminales para enviar spam, phishing y
malware. Sin embargo, en 2015 estas tres técnicas declinaron.
TASA GLOBAL DE SPAM, 2013–2015 Fuente: Symantec | Brightmail
E 2013 M M J S N E 2014
100 %
90 %
80 %
70 %
60 %
50 %
40 %
30 %
20 %
10 %
0 %
M M J S N E 2015 M M J S N
Symantec WSTR 2016 45
-200
0
200
400
600
800
1000
1200
1400
1600
1800
2000
2200
2400
2600
2800
3000
TASA DE PHISHING, 2013–2015 Fuente: Symantec | .cloud
1 de
cad
a
E 2013 M M J S N E 2014 M M J S N E 2015 M M J S N
0
50
100
150
200
250
300
350
400
PROPORCIÓN DE TRÁFICO DE CORREO ELECTRÓNICO EN EL QUE SE ENCONTRÓ UN VIRUS, 2013–2015Source: Symantec | .cloud
1 de
cad
a
E 2013 M M J S N E2014 M M J S N E2015 M M J S N
Symantec WSTR 2016 46
El cifrado del correo electrónico
Resulta muy útil cifrar el correo electrónico, porque de este
modo se protege la confidencialidad de los mensajes y se
facilita la autenticación de los emisores. Existen vulnerabi-
lidades en la tecnología subyacente (como se aprecia en los
datos expuestos), pero parte del problema de seguridad se
debe a que no se utiliza de forma generalizada.
Aunque los sistemas de correo electrónico en línea (como
Outlook.com, de Microsoft, y Google Mail) cifran los datos en
los clientes y casi todos los sistemas de correo electrónico
dan prioridad a la transmisión cifrada, todavía queda una
sorprendente cantidad de correo electrónico que se envía
mediante transferencias SMTP sin cifrar. Por ejemplo, según
datos de Google, en torno al 40 % de los mensajes entrantes
del año pasado no estaban cifrados.
Existen herramientas eficaces para cifrar el correo electróni-
co en los equipos de escritorio y en las pasarelas (por ejem-
plo, las de Symantec), pero las empresas tienen que aprender
a utilizar mejor la tecnología disponible para proteger el
correo electrónico tanto durante las transferencias como una
vez recibido.
Ataques que eluden el cifrado
Hemos observado una serie de ataques y vulnerabilidades en
el cifrado subyacente utilizado para proteger las transmisiones
por correo electrónico. Por ejemplo, el ataque Logjam aprove-
cha un defecto del mecanismo de intercambio de claves con
que inicia cualquier intercambio cifrado.
Con la herramienta SSL Toolbox de Symantec, nuestros
clientes pueden analizar sus dominios para comprobar la
presencia de Logjam y otras importantes vulnerabilidades.
Este recurso gratuito permite detectar problemas importantes
como POODLE o Heartbleed, así como errores que pueda haber
en la instalación de certificados SSL/TLS.
Consejos para garantizar la seguridad al usar el correo
electrónico
Aunque muchos particulares y empresas consideran que no
son un objetivo especialmente interesante para los ciberde-
lincuentes, tal vez se equivoquen.
La clave está en no bajar la guardia nunca. En el ámbito
personal, esto significa:
• No abrir mensajes de correo electrónico procedentes de
emisores desconocidos
• Buscar siempre el símbolo del candado y comprobar
el certificado SSL/TLS antes de escribir información
confidencial en un sitio web
• No utilizar redes desprotegidas para acceder a datos
confidenciales
En el ámbito empresarial, hay que hacer lo siguiente:
• Implantar software de detección y prevención de las
intrusiones
• Saber qué información valiosa posee la empresa y
utilizar tecnología de prevención de pérdidas de datos
• Controlar dónde están los datos y quién tiene acceso a
ellos
• Contar con un plan de respuesta a las incidencias para
cuando se detecte un ataque
¿Qué nos depara el futuro?Tras tres años de reducción constante del phishing,
prevemos que la cantidad de ataques de este tipo se
mantenga en el nivel actual o incluso siga bajando. Ahora
los ataques de phishing son más dirigidos y menos masivos.
Además, en muchos casos ya se ha empezado a utilizar
las redes sociales, lo que contribuye a la disminución del
número de mensajes de correo electrónico. De todos modos,
en ciertas partes del mundo los ataques de phishing por
correo electrónico son más frecuentes que en otras: así, la
disminución ha sido más acusada en numerosos países de
habla inglesa, en América del Norte y en ciertas zonas de la
Europa Occidental.
Continuará la tendencia de hacer cada vez más cosas
online (pagar facturas, pedir citas médicas, solicitar plaza
en la Universidad, gestionar cuentas de programas de
fidelización, contratar un seguro, etc.), lo cual proporciona
un terreno jugoso para el phishing. Además, como el acceso
a Internet y las transacciones electrónicas cada vez son más
habituales en los países en vías de desarrollo, incluso es
posible que en estas zonas aumente la cantidad de ataques
de este tipo.
http://www.google.com/transparencyreport/saferemail/
http://www.symantec.com/en/uk/desktop-email-encryption/
http://www.symantec.com/en/uk/gateway-email-encryption/
http://www.symantec.com/connect/blogs/logjam-latest-security-flaw-affect-secure-communication-protocols
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
http://www.symantec.com/connect/blogs/when-defenses-fail-case-incident-response
Symantec WSTR 2016 47
Los ordenadores, la informática en la nube y la infraestructura de TILos sistemas informáticos (ordenadores y redes) siguen
siendo víctimas de un malware que evoluciona con rapidez.
Los sistemas Linux y Mac OS X cada vez están más ame-
nazados por el malware: no hay ningún sistema operativo
que sea inmune automáticamente y, de hecho, incluso los
sistemas virtualizados y alojados en la nube son vulnera-
bles. Ahora el malware consigue detectar entornos virtua-
lizados e infectarlos.
La ciberseguridad afecta a todo el mundo. Las empresas
tienen que proteger sus equipos y su infraestructura de TI
para impedir los robos de datos, los fraudes y los ataques
con malware. Asimismo, tanto las empresas como los
consumidores deberían tener en cuenta las amenazas que
los acechan: los ciberdelincuentes podrían cifrar sus datos
y exigir el pago de un rescate para descifrarlos, robarles la
identidad o usar sus equipos como trampolín para atacar a
otros objetivos.
En general, la ciberseguridad consiste en proteger los
pilares de las TI: los ordenadores, los servidores y las redes.
El problema es que el malware está en todas partes. En
2015, han sufrido ataques una mayor cantidad de sistemas
diversos, como Linux, Mac, equipos virtualizados y sistemas
en la nube. Cada año aumenta el volumen de datos que se
gestionan en la nube, para fines asociados a la gestión de
las relaciones con los clientes, los servicios de facturación,
las redes sociales, el correo electrónico móvil y un largo
etcétera.
Una de las formas de atacar un sistema consiste en
aprovechar las vulnerabilidades que presenta, y son pocos
los que carecen de ellas. Estas vulnerabilidades, un aspecto
muy importante de la ciberseguridad, se encuentran tanto
en los sistemas operativos como en las aplicaciones que se
ejecutan en ellos. Si no se resuelven, dejan la pista libre a
todo el que quiera atacar un sistema, que podrá aprovechar-
las y utilizarlas con fines maliciosos. Cada año los expertos
descubren nuevas vulnerabilidades de distintos tipos: las
más codiciadas son las de día cero, es decir, aquellas para
las que todavía no existe una revisión de seguridad.
Tal como se aprecia en el gráfico, parece que desde el año 2013 se impuso una tendencia a la baja, que se ha acentuado
claramente en 2015.
NÚMERO TOTAL DE VULNERABILIDADES, 2006–2015Fuente: Symantec
7000
6000
5000
4000
3000
2000
1000
02006
4842
5562
6253
5291
6204
46444814 4989
6436
5685
2007 2008 2009 2010 2011 2012 2013 2014 2015
Symantec WSTR 2016 48
Sistemas virtualizados y en la nube
El término «cloud computing» o «informática en la nube» abarca una gran variedad de soluciones y entornos técnicos, como los modelos de software como servicio (SaaS), plata-forma como servicio (PaaS) o infraestructura como servicio (IaaS). Este último cada vez se utiliza más en las empresas y, a medida que se transfiere a la nube una mayor cantidad de datos y servicios, despierta más interés entre los ciber-delincuentes y los expertos en seguridad. Como ocurre con cualquier sistema, cada vez que se añade una capa nueva al conjunto de servicios, aumenta la superficie de ataque. Los entornos en la nube a veces presentan vulnerabilidades comunes, como la inyección SQL, pero también pueden verse afectados por otro tipo de problemas. Por ejemplo, en 2015 Symantec comprobó que, cuando los usuarios (no los proveedores de servicios) cometen errores de configuración y gestión, existe el riesgo de que accedan a los sistemas en la nube personas no autorizadas. Además, también se des-cubrieron 11 000 archivos accesibles públicamente, algunos de ellos con datos personales confidenciales. En el mercado negro, es habitual la compraventa de credenciales robadas para acceder a sistemas en la nube por un precio que no suele alcanzar los 10 $.
Vulnerabilidades en la nube
Los sistemas en la nube no tienen por qué ser menos se-guros que los servicios de TI tradicionales, pero en cualquier caso los administradores tienen que asegurarse de que los servicios en la nube estén bien configurados y de que todos los datos cuenten con la suficiente protección. Además, deberían controlar el acceso a los sistemas en la nube, a ser posible mediante autenticación de dos factores.
Hay vulnerabilidades, como VENOM, que permiten a un atacante salir de una máquina virtual huésped y acceder al sistema operativo anfitrión nativo, así como a otras máquinas virtuales que se ejecuten en la misma plataforma. Así, los atacantes que aprovechen VENOM podrían llegar a robar datos confidenciales presentes en cualquiera de las máquinas virtuales del sistema afectado, además de acceder a la red local del anfitrión y a sus sistemas. VENOM (CVE-2015-3456) existió desde el año 2004 en el hipervisor de código abierto QEMU, que suele estar instalado de forma predeterminada en numerosas infraestructuras virtualiza-das que utilizan Xen, QEMU y KVM. Hay que señalar que VENOM no afecta a los hipervisores de VMware, Microsoft Hyper-V y Bochs.
Hasta la fecha, no se ha tenido conocimiento de que la vulnerabilidad VENOM haya sido aprovechada y, desde que se sabe de su existencia, los desarrolladores de QEMU junto
con otros proveedores afectados han creado y distribuido revisiones de seguridad para VENOM.
Hoy uno de cada seis (el 16 %) tipos de malware es capaz de detectar la presencia de un entorno de máquinas virtuales, mientras que en 2014 lo lograba uno de cada cinco (el 20 %). Esta capacidad hace que sea más difícil detectar el malware, en especial en los sistemas de espacios aislados de seguridad que utilicen la virtualización. Pero es más preocupante el hecho de que el ciberdelincuente sepa cuándo puede atacar e infectar a otras máquinas virtuales del mismo sistema.
Aproximadamente, el 16 % del malware es capaz de detectar un entorno de máquinas virtuales, y en el cuarto trimestre la cifra llegó a rondar el 22 %. Hoy es más importante que nunca contar con un perfil de seguridad eficaz para los sistemas virtuales. Es necesario proteger las máquinas virtuales y los servicios en la nube tanto como otros servicios y dispositivos. Las políticas de seguridad deberían abarcar tanto la infraestructura virtual como la física y, si se implantan sistemas de protección inte-grados en todas las plataformas, será más fácil mitigar este tipo de problemas en el futuro.
Protección de la infraestructura de TI
Ante estas amenazas y otras muchas similares, siguen siendo válidos los consejos de siempre para cualquier tipo de servi-cio de infraestructura, como los servidores de archivos, los servidores web y otros dispositivos conectados a Internet:
• Manténgase al día acerca de las amenazas que van surgiendo.
• Instale siempre en los sistemas las últimas revisiones de seguridad y actualizaciones.
• Implante un software de seguridad integrado que incluya tecnología contra el malware.
• Adopte un firewall eficaz que permita solo el tráfico conocido y revise los registros de acceso periódicamente para detectar actividad que parezca sospechosa.
• Utilice varias capas de seguridad, de forma que si una falla queden otras para proteger distintas áreas del sistema.
• Aplique las políticas correctas y forme bien a los empleados.• Controle los accesos según un principio de privilegios
mínimos.• Implante sistemas de detección y prevención de in-
trusiones en la red y supervise los servicios de correo electrónico que se ejecutan en el servidor.
• Guarde siempre las copias de seguridad fuera de las instalaciones.
https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/mistakes-in-the-iaas-cloud-could-put-your-data-at-risk.pdf
http://www.symantec.com/connect/blogs/venom-vulnerability-could-expose-virtual-machines-unpatched-host-systems
Symantec WSTR 2016 49
A continuación añadimos una serie de consideraciones que
se deben tener en cuenta en lo que se refiere a los sistemas
en la nube:
• Proteja las credenciales utilizadas para acceder a las
funciones de administración en la nube y asegúrese que
solo acceda a los datos quien realmente lo necesite.
• Asegúrese de comprender bien la configuración de los
recursos en la nube y elija los parámetros idóneos.
• Habilite el registro de eventos para saber siempre quién
accede a los datos en la nube.
• Lea los acuerdos de nivel de servicio de los proveedores
de informática en la nube para saber cómo se protegen
los datos almacenados en la nube.
• Asegúrese de que las direcciones IP en la nube se
incluyan en los procesos de gestión de vulnerabilidades
y someta a auditorías cualquier servicio que se preste en
la nube.
Proteja la información esté donde estéCuando las empresas transfieren sus sistemas de TI a en-
tornos virtuales y en la nube, se encuentran con dificultades
nuevas en materia de seguridad. Además, como siempre, la
propia naturaleza humana es una amenaza en sí misma, y la
mala gestión de la seguridad lleva a la aparición de sistemas
de TI en la sombra, es decir, sistemas y soluciones que se
utilizan dentro de una empresa sin la aprobación explícita
de esta, o bien soluciones implantadas por personas que
no pertenecen al departamento de TI. A veces, resulta
facilísimo que un grupo de empleados recurra a productos
externos para resolver de inmediato una exigencia concreta.
Los responsables de la infraestructura de TI de la empresa
deberían tratar de entender por qué el personal actúa sin
consultar al departamento informático para que lo oriente
en este tipo de decisiones.
Es importante que el director de sistemas esté informado de
lo que se hace en la empresa y que sepa si ciertos equipos
buscan servicios o aplicaciones de los que carecen. A con-
tinuación, tendrá que decidir cómo satisfacer esa exigencia
y prestar el servicio necesario de forma segura. Contar con
los procesos adecuados es esencial para proteger la infor-
mación y los datos, incluso cuando no estén almacenados
en la empresa.
http://www.symantec.com/connect/blogs/monitoring-shadow-it
Symantec WSTR 2016 50
La respuesta del sector
La tecnología SSL/TLS sigue siendo crucial para el cifrado, la autenticación y la confidencialidad en Internet, pero en torno a ella hay una infraestructura de confianza que se debe mantener y vigilar para que siga siendo eficaz, y el sector tiene que aprender y adaptarse constantemente.
La evolución del cifradoEl 11 de agosto de 1994 Daniel Kohn vendió un CD a un ami-go de Filadelfia. Este pagó 12,48 $ más los gastos de envío con tarjeta de crédito, en la primera transacción de la historia protegida con tecnología de cifrado.
Al día siguiente, en el New York Times se publicaba lo siguiente: «Como cada vez se habla más de las incidencias de seguridad que tienen lugar en Internet, muchas personas y empresas son reticentes a enviar datos confidenciales, como números de tarjeta de crédito, información sobre ventas o mensajes de correo electrónico privados».
Veinte años después, las preocupaciones siguen siendo las mismas, pero parece que estamos dispuestos a asumir el riesgo, con la esperanza de que el banco venga en nuestro auxilio si algo sale mal. Sin embargo, sin una infraestructura SSL/TLS segura y sólida, esta frágil confianza se derrumbará y el comercio electrónico sencillamente dejará de funcionar.
Las cifras de la solidezLa eficacia de la tecnología SSL/TLS ha avanzado muchísimo desde 1994, y lo sigue haciendo: este mismo año el sector ha pasado del estándar SHA-1 al SHA-2.
Gracias al aumento de la potencia de procesamiento, ahora a los hackers les resulta más fácil descifrar algoritmos hash mediante ataques de fuerza bruta y, según numerosos exper-tos, los certificados basados en SHA-1 serán vulne- rables dentro de muy poco tiempo. Por eso, los principales navegadores han decidido dejar de admitir los certificados SHA 1 durante los próximos dos años, así que si un inter-nauta intenta acceder a un sitio web que los utilice, verá una advertencia de seguridad.
«Coincidimos con Microsoft y Google en que se debería dejar de emitir certificados SHA-1 a partir del 1 de enero de 2016, y que pasado el 1 de enero de 2017 ya no se deberían con-siderar fiables», comentan fuentes de Mozilla. Incluso se ha hablado de adelantar estas fechas para acelerar el cambio.
Symantec ofrece un servicio de actualización gratuito, pero las grandes empresas tienen que garantizar que cuentan con un plan de migración para poner al día todos los dispo- sitivos y aplicaciones que en este momento no reconozcan el algoritmo SHA 2.
- ¿Hay motivos para el pánico?
La vulnerabilidad denominada FREAK, descubierta
en marzo de 2015, permitía forzar el uso del cifrado
de exportación (mucho menos eficaz del que se suele
usar hoy) a los atacantes que interceptaran la confi-
guración de una conexión segura entre un cliente y un
servidor afectado. De este modo, resultaba fácil des-
cifrar el mensaje de la transacción con los recursos
informáticos disponibles en la actualidad.
SE CALCULA QUE INICIALMENTE ERAN VULNERABLES A ESTE ATAQUE LOS SERVIDORES DEL 9,6 % DEL MILLÓN DE DOMI- NIOS DE SITIOS WEB PRINCIPA- LES. NUEVE MESES DESPUÉS, LO SIGUE SIENDO EL 8,5 %.
http://www.fastcompany.com/3054025/fast-feed/youll-never-guess-what-the-first-thing-ever-sold-on-the-internet-was?partner=rss
http://www.nytimes.com/1994/08/12/business/attention-shoppers-internet-is-open.html
http://www.infoworld.com/article/2879073/security/all-you-need-to-know-about-the-move-to-sha-2-encryption.html
https://blog.mozilla.org/security/2014/09/23/phasing-out-certificates-with-sha-1-based-signature-algorithms/
http://www.symantec.com/connect/blogs/freak-vulnerability-can-leave-encrypted-communications-open-attack
https://freakattack.com
Symantec WSTR 2016 51
Control y equilibrioCon el objetivo de fortalecer el ecosistema SSL/TLS, Syman-tec también ha propugnado la adopción generalizada de la autorización de la autoridad de certificación (CAA) DNS, que permite a una empresa o propietario de DNS especificar la autoridad de certificación (CA) que debe emitir los certifi-cados que compre. Si una persona malintencionada o un empleado que no conozca la política empresarial intenta comprar un certificado de una CA que no esté presente en la lista de entidades aprobadas, dicha CA podrá comprobar la CAA y avisar de la solicitud al propietario de DNS.
De este modo, se reduce el riesgo de que se emitan certifi-cados de origen dudoso en nombre de una empresa legítima sin que esta lo sepa, lo cual a su vez contribuirá a evitar que los delincuentes consigan crear sitios web certificados para lanzar ataques de phishing.
Además, para mejorar la detección de los certificados de origen dudoso, Symantec cumple con la exigencia de Google de registrar todos los certificados EV emitidos en su registro Certificate Transparency y, desde marzo de 2016, registra también los certificados OV y DV. De este modo, junto con un software que supervisa y audita los certificados y el uso que se hace de ellos, este sistema crea «un marco abierto que permite a quien lo desee observar y verificar práctica-mente en tiempo real los certificados SSL/TLS existentes y recién emitidos», tal como dicen sus autores.
El salto a la tecnología SSL Always-OnSegún un estudio de Sandvine, hoy se cifra casi el 40 % del tráfico de Internet descendente en Estados Unidos, y se prevé que a lo largo del año este dato aumente para superar
el 70 % del tráfico mundial. Este aumento tan repentino se debe a una serie de factores:
• Adopción por parte de grandes empresas. Varios de los nombres con más peso en Internet (como Facebook, Twitter y, recientemente, Netflix) ya han adoptado el protocolo HTTPS.
• Preferencia por parte de los buscadores. En 2014 Google anunció que los sitios web que protegieran con el protocolo HTTPS todas sus páginas tendrían un mejor posicionamiento en los resultados de las búsquedas, lo cual ha animado a numerosos propietarios de sitios web a adoptar este sistema.
• Mejora de Internet. El Internet Engineering Task Force o IETF (grupo de trabajo de ingeniería de Internet), entidad encargada de crear estándares para Internet, publicó en 2015 una nueva versión del protocolo de transferen-cia de hipertexto conocido como HTTP/2, que con toda probabilidad a corto plazo se convertirá en el estándar del sector. Tal como especifica el borrador, el protocolo HTTP/2 hace posible «un uso más eficiente de los recur-sos de la red», lo que significa que está diseñado para garantizar un rendimiento más alto y una capacidad de respuesta más rápida para los sitios web. Además, todos los principales navegadores solo admitirán el protocolo HTTP/2 con tecnología SSL/TLS. En la práctica, esto obliga a los sitios web que adopten el nuevo estándar a cifrar toda la información.
Se espera que dentro de unos pocos años todas las páginas de Internet cuenten con un certificado SSL/TLS. Symantec incluso está colaborando con los proveedores de alojamien-to web para ayudarlos a incluir el cifrado en el servicio que
prestan a los propietarios de sitios web.
https://casecurity.org/2013/09/25/what-is-certification-authority-authorization/
https://knowledge.symantec.com/support/ssl-certificates-support/index?page=content&id=AR2177
https://www.certificate-transparency.org
https://www.sandvine.com/pr/2016/2/11/sandvine-70-of-global-internet-traffic-will-be-encrypted-in-2016.html
http://fortune.com/2015/04/30/netflix-internet-traffic-encrypted/
http://googlewebmastercentral.blogspot.co.uk/2014/08/https-as-ranking-signal.html
http://tools.ietf.org/pdf/draft-ietf-httpbis-http2-17.pdf
https://www.mnot.net/blog/2015/06/15/http2_implementation_status
https://www.hostpoint.ch/en/ssl/freessl.html
Tipo de certi-ficado
Validación del dominio
Cifrado «https»
Validación de la identidad
Validación de la dirección
Símbolo del candado en
la interfaz de usuario del navegador
Barra de direcciones
verde*
DV Sí Sí Ninguna No Sí No
OV Sí Sí Buena Sí Sí No
EV Sí Sí Muy buena Sí Sí Sí
*O un candado verde o algún signo verde en la barra de direcciones.
Symantec WSTR 2016 52
Mayor sensación de seguridadVarios de los principales navegadores también están
mejorando sus indicadores de seguridad (los colores y
símbolos utilizados en la barra de direcciones para indicar a
los internautas el nivel de seguridad del sitio web), para que
resulte claro cuándo una página protegida con tecnología
SSL/TLS incluye contenido desprotegido vulnerable a los
ataques de interposición «Man-in-the-Middle». Dicho de
otro modo, resultarán más evidentes los casos en que el
sitio web no garantiza la seguridad de la conexión y el
peligro que esto implica.
Se trata solo de un ejemplo de la tendencia a tranquilizar a
los internautas y a las personas que compran por Internet
mediante indicadores de seguridad. Así, los distintivos
de confianza y las garantías de compra contribuyen a
disipar los temores que tienen numerosos consumidores
cuando compran por Internet y no ven al propietario de la
tienda en persona ni pueden tocar los productos que están
adquiriendo.
https://blog.mozilla.org/security https://blog.mozilla.org/security
Mozilla Foundation (US) https://mozilla.org/en-U Mozilla Foundation (US) https://mozilla.org/en-U
Mozilla Foundation (US) https://people.mozilla. Mozilla Foundation (US) I https://people.mozilla.or
https://people.mozilla.org/domainnametogohere https://people.mozilla.org/domainnametogohere.htr
https://people.mozilla.org/domainnametogohere.html https://people.mozilla.org/domainnametogohere.ht
VERSIÓN ANTERIOR NUEVA VERSIÓN
Sitios con certificados DV
Sitios con certificados EV
Sitios con contenido mixto activo bloqueado
Sitios con contenido mixto activo permitido
Sitios con contenido mixto activo cargado
https://blog.mozilla.org/security/2015/11/03/updated-firefox-security-indicators-2/
https://www.nortonshoppingguarantee.com/
Los nuevos indicadores de seguridad de Mozilla Extraído de Mozilla’s Security Blog
Symantec WSTR 2016 53
¿Qué nos depara el futuro?
En esta sección, abordamos lo que nos espera a partir de 2016, desde las tendencias emergentes hasta los temas de debate nuevos y actuales. Hemos recopilado los asuntos relacionados con la seguridad de los sitios web que sin duda darán que hablar y que conviene tener presentes. Si quiere consultar periódicamente las últimas novedades en materia de seguridad, visite nuestro blog en Symantec Connect.
Tendencias al alza
Aumento del phishing A pesar de la tendencia general a la baja de los últimos años, ahora prevemos que el phishing aumente, por dos motivos: por un lado, porque la gente cada vez consume más en Internet; por el otro, porque el acceso a Internet y las transacciones electrónicas se están difundiendo también en los países en vías de desarrollo.
Si a todo esto le sumamos que se están creando servicios en Internet para todo tipo de tareas cotidianas (pagar facturas, pedir citas médicas, solicitar plaza en la Universidad, gestio-nar cuentas de programas de fidelización, contratar un se-guro, etc.), es evidente que los hackers se estarán frotando las manos mientras planean ataques de phishing.
HTTPS en todas partes y para todosEstán aumentando de forma considerable la promoción y adopción de certificados SSL/TLS (tanto entre particulares como en las empresas) y están surgiendo nuevas iniciati-vas para que todo el mundo pueda acceder al cifrado. Por ejemplo, con los servicios de alojamiento o en la nube se ofrece la posibilidad de adquirir también la tecnología SSL/TLS. Es muy probable que esta tendencia siga creciendo, sobre todo en el mercado de los certificados con validación de dominio (DV).
Otro ámbito que ahora despierta gran interés es la comple-jidad de la gestión de certificados SSL/TLS debido al flujo interminable de hosts que hay que autenticar, proteger y supervisar (véase la sección relativa al Internet de las cosas). De hecho, prevemos que siga aumentando el número de servicios y herramientas de gestión, al tiempo que mejora la concienciación sobre las exigencias en materia de seguridad. Podemos afirmar que esta tendencia se debe en gran parte a que los medios de comunicación cada vez dedican más espacio a las fugas de datos y a las amenazas existentes para la seguridad informática.
Amenazas híbridas: ataques a sistemas móvilesComo cabía esperar, se prevé que las amenazas a disposi-tivos móviles sigan proliferando en 2016. Tal vez pronto se vendan en el mercado negro kits de intrusión para teléfonos similares a los que se utilizan para atacar ordenadores.
Durante los últimos tres años, la cantidad de vulnerabili-dades de los sistemas móviles ha ido aumentando, lo cual tal vez sea un indicio de avance más que un motivo de alar-ma. Si los expertos en seguridad, los sistemas operativos, los desarrolladores y los creadores de aplicaciones detectan y resuelven más problemas, es porque prestan más atención a la seguridad móvil. Aunque se prevé que durante el próxi- mo año aumenten los ataques contra estos dispositivos, también se espera que, si toman las medidas preventivas adecuadas y siguen invirtiendo en seguridad, los usuarios gocen de un buen nivel de protección.
Cada vez es más necesario contar con las com-petencias adecuadas en materia de seguridadLas amenazas cibernéticas evolucionan muchísimo más rápido que nuestros conocimientos sobre ellas y nuestra capacidad de tomar medidas de forma proactiva. No se trata solo de que aumente la creatividad de los hackers, sino que además surge a diario una enorme cantidad de servicios nuevos en Internet, y por lo general la prioridad para quien los concibe es ofrecer algo nuevo, exclusivo, útil o innova-dor. La seguridad siempre es una cuestión secundaria.
Otra triste realidad que explica esta situación es que las competencias necesarias para construir una red blindada las tienen los malhechores del sector. Los empleados encar-gados de la seguridad de TI suelen contar con la formación necesaria más que nada para crear y mantener una buena infraestructura de red, pero muchas veces no están prepa-rados para afrontar todas las amenazas y vulnerabilidades que afectan a una red empresarial. Es más, rara vez saben reconocer el perfil de un potencial hacker y no siempre comprenden los motivos que podrían llevarle a atacar a la empresa. El hecho de que no se instalen las revisiones necesarias en los servidores o se configuren mal las redes no suele deberse solo a la pereza, sino a la desinformación. http://www.symantec.com/connect/symantec-blogs/symantec-security-response
Symantec WSTR 2016 54
En este contexto, obviamente resulta muy difícil tomar me-didas proactivas para evitar los ataques a las redes, pues los únicos que podrían hacerlo… son los propios hackers.
Este es el motivo por el que prevemos que durante los próximos años siga creciendo el mercado de los hackers autónomos «de sombrero blanco» y los consultores especializados en seguridad informática. Las empresas empezarán a contratar a más expertos en pruebas de penetración, hackers autónomos y consultores en materia de seguridad informática a medida que estos profesionales vayan adquiriendo los conocimientos y las competencias necesarios. Otro factor que impulsará el aumento de esta demanda es la necesidad de cumplir las normativas, sobre todo en ciertos sectores que manejan datos confidenciales, como el bancario y el sanitario.
Temas candentes
La autenticación ante todoAhora que las empresas cada vez prestan más servicios en Internet, deben tener muy en cuenta las exigencias de segu-ridad, así como trabajar con los clientes para concienciarlos sobre este tema y ganarse su confianza. En este sentido, la autenticación de dos factores se está convirtiendo en algo imprescindible. Incluso están empezando a aparecer nuevas soluciones para acabar con los sistemas de autenticación mediante contraseña, con el objetivo de reducir el riesgo de phishing y los inevitables costes que conlleva.
Al mismo tiempo, Apple y Google están haciendo todo lo posible por proteger sus sistemas operativos y sus ecosiste-mas en general. En concreto, prevemos que mejoren tanto las técnicas utilizadas para validar y firmar las aplicaciones como la forma de distribuirlas. Los usuarios tendrán que acostumbrarse a que las aplicaciones y el sistema opera-tivo de sus teléfonos se actualicen con frecuencia, tal vez automáticamente de forma predeterminada, y asumirán que los dispositivos móviles necesitan software de seguridad.
El Internet de las cosas desprotegidasAunque el concepto del «Internet de las cosas» no es nuevo (se utilizó por primera vez en 1999), durante los últimos dos años ha estado muy de moda esta expresión que principal-mente se refiere al gran impacto que tienen los dispositivos conectados en nuestra vida cotidiana: hoy Internet está en todas partes.
Sin duda este asunto seguirá siendo una tendencia impor-tante durante los próximos años. Sin embargo, el entusias-mo por vivir en un mundo conectado ya está dejando paso
a preocupaciones cada vez mayores por la seguridad de los dispositivos conectados y las amenazas que estos podrían representar. En el ámbito de la seguridad del Internet de las cosas, el hacking de coches fue uno de los temas que más dio que hablar en 2015, y probablemente durante los próximos años se aborden más asuntos similares. Una vez más, el hecho de que los medios de comunicación presten cada vez más atención a este tipo de cuestiones influye mucho en la concienciación sobre la seguridad del Internet de las cosas.
«Hacktivismo», terrorismo, responsabilidad gubernamental y derecho a la confidencialidadHoy en las noticias se habla más que nunca de hacktivis-mo y terrorismo. Internet no solo se está convirtiendo en el principal canal para la propaganda y la comunicación entre extremistas, sino también en un lugar que permite a dichos grupos mostrar su presencia y sus capacidades. Las redes anónimas como TOR ya no son algo exclusivo del mercado negro, y no cabe duda de que durante los próximos años habrá ataques cada vez más espectaculares con fines políticos o ideológicos. Además, sin duda es previsible que, cuando se produzcan, las empresas y organizaciones sufran daños colaterales.
Esta creciente presencia del «hacktivismo» en Internet ha hecho que durante los últimos años los gobiernos hayan prestado más atención a la comunicación cifrada online. Cuando Edward Snowden en 2013 sacó a la luz la impli-cación de ciertos gobiernos en programas de vigilancia, la noticia no hizo más que confirmar lo que muchos ya sospechaban, pero fue una bomba para la opinión pública. Desde entonces, cada vez se habla más de los motivos por los que un gobierno puede tener derecho a espiar a alguien de forma activa. Ahora que el Tribunal de Justicia Europeo ha declarado nulo el acuerdo de «puerto seguro», se ha intensificado el debate sobre esta cuestión, que probable-mente seguirá ocupando titulares en 2016.
¿Sabía que…?
Symantec ha creado certificados raíz específicos
para los usuarios del Internet de las cosas. Si
desea implantar certificados de este tipo en sus
dispositivos conectados, póngase en contacto con
nosotros.
https://help.yahoo.com/kb/SLN25781.html
http://www.theguardian.com/media-network/2015/mar/31/the-internet-of-things-is-revolutionising-our-lives-but-standards-are-a-must
Symantec WSTR 2016 55
Ivan Ristic nos habla de la tecnología TLS 1.3 La historia de la tecnología Transport Layer Security
(TLS) comenzó en 1994, con el lanzamiento de SSL
2.0, un protocolo mal diseñado pero suficientemente
eficaz como para sustentar un boom de transacciones
electrónicas y uso comercial de Internet. A lo largo
de los siguientes 22 años, seguimos perfeccionando
la seguridad conforme fuimos conociendo mejor la
criptografía, y la versión estable más reciente con la que
contamos hoy es TLS 1.2, creada en 2008. Esta versión,
cuya adopción se generalizó en 2013, hoy garantiza un
nivel de seguridad razonable para fines comerciales.
A pesar de lo mucho que se ha criticado al protocolo TLS
durante los últimos años, este ha resultado muy útil,
como demuestra el ingente crecimiento que ha experi-
mentado Internet y las pocas incidencias de seguridad
que se han producido por motivos relacionados con el
cifrado. Si acaso, podríamos decir que la mayor parte de
los problemas de seguridad que tienen lugar en Internet
se deben a nuestra reticencia a implantar el cifrado o
a adoptar los protocolos más recientes y eficaces. En
Internet se está avanzando bastante en este sentido,
pues los sitios web más importantes están mejorando su
seguridad a buen ritmo. Sin embargo, es probable que
la cantidad de sitios web cifrados no llegue al 10 % del
total. En lo que se refiere al correo electrónico, también
queda mucho por hacer. Por ejemplo, en enero de 2016
Gmail distribuyó de forma segura el 82 % de su correo
electrónico, pero solo el 58 % de los mensajes entrantes
estaban cifrados. A diferencia de lo que ocurre con los
sitios web en general, cifrar correctamente el correo elec-
trónico es una tarea fácil, porque una pequeña cantidad
de proveedores manejan un gran porcentaje del correo
electrónico mundial. Por otro lado, la mayoría de las em-
presas siguen prefiriendo que sus correos se envíen sin
protección a que se produzcan fallos en la entrega.
Pero ahora las tornas han cambiado: es evidente que en
el Internet del futuro la información se cifrará de forma
eficaz.
A finales de 2012 se empezó a trabajar en la próxima
versión del protocolo TLS, la 1.3, que estará lista dentro
de poco. Recientemente los desarrolladores han invita-
do a una serie de criptógrafos a examinar con atención
los borradores del protocolo. Si aspiramos a crear un
protocolo eficaz que funcione bien durante los próximos
20 años, tenemos que ponerlo a prueba ahora, antes de
que se implante. Al contrario de lo que parece sugerir el
discreto número de la versión, en realidad el protocolo
TLS 1.3 presenta diferencias considerables. Aparte de
mejorar la seguridad, presenta otra ventaja crucial:
también será más rápido (principalmente en lo que se
refiere a la latencia de la red, que es el único cuello de
botella que sigue existiendo hoy).
En la práctica, el efecto inmediato más relevante del
protocolo TLS 1.3 será la eliminación del código basura
acumulado desde la primera versión de SSL, que seguía
presente en la 1.2 y en las anteriores versiones. En
realidad, el mayor obstáculo práctico que existe hoy a
la hora de garantizar la seguridad es la formación: el
protocolo TLS 1.2 se puede configurar de forma que
garantice una buena protección, pero para ello hay que
saber evitar los numerosos escollos existentes. Aunque
existen manuales que explican cómo lograrlo, el proceso
no es nada sencillo. En la mayoría de los casos, los
operadores del sitio web carecen de las competencias
necesarias o simplemente no están suficientemente
motivados para abordar el problema. La respuesta a
corto plazo de la comunidad ha consistido en vincular
la seguridad a las mejoras de rendimiento. Por ejemplo,
el protocolo HTTP/2 solo se puede implantar con TLS
1.2 y siempre que se use un subconjunto de funciones
suficientemente seguras. A largo plazo, el protocolo TLS
1.3 será seguro de forma predeterminada, independien-
temente de la configuración.
¿Qué podemos hacer para prepararnos a la inminente
llegada de TLS 1.3? La clave está en empezar a pensar
dónde necesita garantizar la seguridad y cómo va a
conseguirlo. Si los lugares críticos dependen de terceros
(por ejemplo, si ha externalizado el alojamiento del sitio
web o utiliza aparatos de hardware), es imprescindible
que se ponga en contacto con sus proveedores cuanto
antes. Hágales saber que se preocupa por la seguridad,
y pídales que se comprometan a admitir las nuevas
funciones de seguridad en cuanto estén disponibles.
Al fin y al cabo, no solo está en juego su
seguridad, sino también el rendimiento
de sus sitios web.
Symantec WSTR 2016 56
Consejos y prácticas recomendadas
Para que los sistemas que garantizan la seguridad de los sitios web sean eficaces, hay que implantarlos con cuidado, así como llevar a cabo una supervisión y mantenimiento constantes. Existen herramientas que contribuyen a proteger el ecosistema del sitio web, pero todo empieza por la formación. Ahora que ya conoce los riesgos, descubra lo que puede hacer al respecto.
Adopte los estándares del sector• Utilice la tecnología SSL Always-On. Proteja con
el protocolo SSL/TLS todas las páginas para que se cifren todas las interacciones entre el sitio web y el internauta. Al adoptar este sistema, también llamado «HTTPS Everywhere», con certificados SSL/TLS OV o EV, demostrará su credibilidad y mejorará su posicionamiento en los resultados de las búsquedas. Además, allanará el camino para la adopción de HTTP/2, que mejora el rendimiento.
• Migre al algoritmo SHA-2. Tal como se explica en este informe, las autoridades de certificación deberían haber dejado de emitir certificados SHA-1 a partir del 1 de enero de 2016, pero tiene que comprobar que se actualicen también todos los certificados antiguos, al igual que los dispositivos y las aplicaciones que en este momento no reconozcan el algoritmo SHA-2.
• Considere la posibilidad de adoptar el algoritmo ECC. Symantec también ofrece la posibilidad de usar el algoritmo de cifrado ECC. Los principales navegadores, incluidos los móviles, admiten certificados ECC en todas las plataformas recientes, y las claves ECC de 256 bits son 64 000 veces más difíciles de descifrar que las claves RSA de 2084 bits de uso estándar en el sector.
Utilice la tecnología SSL/TLS correctamenteLos certificados SSL y TLS son eficaces solo si se instalan y mantienen correctamente, así que no olvide lo siguiente:
• Mantenga actualizadas las bibliotecas de protocolos. La implantación de SSL/TLS es una tarea constante y resulta imprescindible instalar lo antes posible las actualizaciones y revisiones del software que utilice.
• No permita que sus certificados caduquen. Tenga siempre bajo control los certificados con los que cuenta, la autoridad de certificación que los ha emitido y su fecha de caducidad. Symantec ofrece una serie de
herramientas de automatización que facilitan esta tarea, con lo que tendrá más tiempo para abordar cuestiones de seguridad de forma proactiva.
• Muestre distintivos de confianza conocidos (como el sello Norton Secured) en zonas bien visibles de su sitio web para demostrar a los clientes que se toma en serio su seguridad.
• Gestione las claves SSL/TLS correctamente. Limite el número de personas con acceso a ellas; compruebe que quien se ocupa de administrar las contraseñas del servidor donde se guardan las claves no sea el mismo que gestiona los sistemas en los que se almacenan las claves; y utilice sistemas automatizados de gestión de claves y certificados para reducir la necesidad de intervenciones humanas.
Adopte una solución completa para la seguridad de los sitios web• Haga análisis periódicos. Vigile sus servidores web para
detectar posibles vulnerabilidades o infecciones con malware. Para ello, resultan muy útiles las herramientas de automatización.
• Utilice un antivirus. El software antivirus no es solo para los ordenadores y smartphones, sino también para los servidores, y podría ayudar a evitar un grave ataque con malware contra toda la infraestructura del sitio web.
• Instale solo los complementos realmente útiles. También el software que utiliza para gestionar el sitio web presenta vulnerabilidades. Cuantos más programas de terceros utilice, mayor será la superficie de ataque, así que implante solo lo que sea imprescindible.
• Tenga en cuenta todo el ecosistema. ¿Ha implantado un firewall para aplicaciones web que evite los daños de los ataques de inyección? ¿Su sistema de firma de código garantiza la seguridad de sus aplicaciones web? ¿Cuenta con herramientas automatizadas que detecten y eviten los ataques DDoS, un problema cada vez más habitual?
http://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsa
https://www.symantec.com/en/uk/complete-website-security/
http://www.symantec.com/page.jsp?id=seal-transition
Symantec ofrece una gama de herramientas con las que la tarea de garantizar la seguridad completa de los sitios web resulta sencilla y eficiente.
Symantec WSTR 2016 57
Conciencie a sus empleadosComo siempre, para que sus sitios web y servidores estén
bien protegidos este año, guíese por el sentido común y
adopte los hábitos de seguridad que le recomendamos a
continuación.
• Asegúrese de que los empleados no abran archivos
adjuntos de gente que no conozcan.
• Ayúdeles a reconocer los peligros que acechan en las
redes sociales. Explíqueles que, si una oferta parece
falsa, seguramente lo sea; que la mayoría de las estafas
están relacionadas con noticias de actualidad; y que las
páginas de inicio de sesión a las que conducen algunos
enlaces pueden ser una trampa.
• Si un sitio web o aplicación ofrece autenticación de dos
factores, dígales que elijan siempre esta opción.
• Pídales que usen contraseñas distintas para cada cuenta
de correo electrónico, aplicación, sitio web o servicio
(sobre todo si están relacionados con el trabajo).
• Recuérdeles que usen el sentido común. No por tener un
antivirus es menos grave visitar sitios web dañinos o de
naturaleza dudosa.
• Aplique controles de acceso eficaces para proteger los
servidores y las claves privadas según un principio de
privilegios mínimos.
Proteja los dispositivos móvilesRecomendamos tanto a los particulares como a las empresas
que traten los dispositivos móviles como lo que son:
potentes ordenadores de pequeñas dimensiones. Para
protegerlos como les corresponde, tome las siguientes
medidas:
• Controle el acceso, a ser posible con tecnología
biométrica.
• Adopte un sistema para evitar las pérdidas de datos (por
ejemplo, el cifrado en el dispositivo).
• Haga copias de seguridad del dispositivo de forma
automatizada.
• Implante un sistema que permita encontrar el dispositivo
y borrar sus datos a distancia.
• Actualice el software periódicamente. Por ejemplo, la
última versión de Android, cuyo nombre en clave es
Honeycomb, incluye una serie de funciones diseñadas
especialmente para detener a los atacantes.
• No recurra al llamado «jailbreak» (consistente en
modificar el sistema operativo para permitir la
instalación de aplicaciones no autorizadas por el
fabricante) y compre las aplicaciones solo en mercados
de confianza.
• Forme a los usuarios, especialmente en lo que se refiere
a tener cuidado con los permisos que solicita una
aplicación.
• Implante soluciones de seguridad como Symantec
Mobility o Norton Mobile Security.
La seguridad es responsabilidad de todosLa confianza de los consumidores se construye con
numerosas interacciones que tienen lugar en diferentes
sitios web pertenecientes a innumerables empresas.
Pero basta una mala experiencia (un robo de datos o una
descarga no autorizada) para manchar la reputación de
todos los sitios web en la mente de la gente.
Como decíamos al comienzo del informe, este año es
un buen momento para reducir el número de ataques
cibernéticos que se salen con la suya y para limitar
los riesgos que puede suponer su sitio web para los
consumidores, pero es imprescindible que se implique y
tome medidas concretas.
Adopte Symantec Website Security en 2016 y, con nuestra
ayuda, haga que sea un año positivo para la seguridad
informática y pésimo para los ciberdelincuentes.
http://www.symantec.com/connect/blogs/how-android-s-evolution-has-impacted-mobile-threat-landscape
http://www.symantec.com/mobility/
https://us.norton.com/norton-mobile-security
Para obtener información sobre productos, llame al:
900 931 298 o al +353 1 793 9076
Symantec España
Symantec Spain S.L.
Parque Empresarial La Finca – Somosaguas
Paseo del Club Deportivo, Edificio 13, oficina D1, 28223
Pozuelo de Alarcón, Madrid, España
www.symantec.es/ssl
Queda prohibida la reproducción total o parcial de este documento técnico sin el consentimiento previo por escrito de su autor.
Copyright © 2016 Symantec Corporation. Reservados todos los derechos. Symantec, el logotipo de Symantec, el logotipo de la
marca de comprobación, Norton Secured y el logotipo de Norton Secured son marcas comerciales o marcas comerciales registradas
en los Estados Unidos y en otros países por Symantec Corporation o sus filiales. Los demás nombres pueden ser marcas comerciales
de sus respectivos propietarios
Si desea los números de teléfono de algún país en concreto, consulte nuestro sitio web.