operaciÓn s n - m3aawg · 2016. 8. 28. · operación safety net 3 preámbulo en octubre de 2011,...

OPERACIÓNSAFETYNETMEJORESPRÁCTICASRECOMENDADASPARAENFRENTAR

AMENAZASENLÍNEA,MÓVILESYTELEFÓNICAS

Preparado por Messaging, Malware and Mobile

Anti-Abuse Working Group y

LONDON ACTION PLAN

1 DE JUNIO DE 2015 Enespañol

OperaciónSafetyNet 2

Este documento fue traducido por ICANN al español, a partir de su versión original en inglés, como un servicio a la industria

Este trabajo está licenciado bajo una licencia Creative Commons Reconocimiento – SinObraDerivada (3.0) Unported Licencehttp://creativecommons.org/licenses/by-nd/3.0/deed.en_US(c) 2015 LAP y M3AAWG

Este reporte es relativo a algunos productos comerciales como posibles soluciones a diferentes amenazas electrónicas. La mención de estos productos no constituye endoso de las organizaciones que han apoyado o contribuido a este reporte.


PreámbuloEnoctubrede2011,losmiembrosdelLondonActionPlan(LAP)yelMessagingMalwareMobileAnti-AbuseWorkingGroup(M3AAWG)realizaronunapresentaciónanteelComitésobrePolíticasdeConsumidores(CCP)delaOrganizaciónparalaCooperaciónyelDesarrolloEconómico(OCDE)sobrelasperspectivasactualesdelasrecomendacionesantispamdelaOCDEconelfindeabordarlasamenazasenlínea.Duranteelencuentro,undelegadocanadiensedelLAPadvirtióque,mientrasqueelconjuntoexistentederecomendacionessobrespamdelaOCDEteníaunaaltatasadeéxitoenlamovilizacióndeindustriasygobiernosparaqueaccionenenelabordajedelaproblemáticadelspam,seríadegranayudalograrunamejorcomprensiónsobrelanuevageneraciónmássofisticadadeamenazasenlínea.SobrelabasedelseguimientoinicialconeldelegadocanadiensedelCCPyelpresidentedelCCP,elOrganismoNacionaldeCoordinaciónAntispamdelMinisteriodeIndustriadeCanadápreparóelborradordeuninformequeseráredactadopormiembrosvoluntariosdelM3AAWGydelLAP.EsteborradorsepresentóyobtuvoelacuerdodelosmiembrosdelM3AAWGydelLAPyfuerevisadoporlaSecretaríadelCCP.El6dejuniode2012,losmiembrosdelLAPydelM3AAWGsereunieronenBerlínparadarinicioaldesarrollodelinformequesepublicóenoctubredeesemismoaño.Enlaactualidad,tresañosmástarde,esteinformehasidoactualizadoparaquereflejeelcambiantepanoramaylosnuevosmediosqueutilizanlosciberdelincuentesparaserexitososyevitarseridentificados.Elinformeoriginalsedividióencuatroseccionesclave:

i)Malwareybotnets;ii)ISPyDNS;iii)Phishingeingenieríasocial;yiv)Amenazasmóviles.

Estasegundaversióndelinformehaactualizadolascuatroseccionesoriginalesycubrenuevasáreas,comofraudeportelefoníadevozyporvozsobreIP(VoIP),suplantacióndeidentificadoresdellamadas,cuestionesdeabusoencuantoaserviciosdehostingyenlanube,yacosoenlínea.LaactualizacióndelinformesobrelasmejoresprácticasrecomendadasinvolucróunainvitaciónalosmiembrosdelM3AAWGydelLAPacolaborarconelinforme.SedesignaronexpertosdelaindustriacomoguíasdecadasecciónqueasuvezbuscaronaportesycontribucionesdeexpertosquenoeranmiembrosdelM3AAWGnidelLAP.Alfinaldeesteinforme,seencuentraunalistadeloscolaboradores.ElM3AAWG,elLAPylaCoalitionAgainstUnsolicitedCommercialEmail(CAUCE)lehanbrindadosurespaldooficialaesteinforme.Además,loscolaboradoresagradeceránloscomentariossobreelinformedelaOCDE,elCCP,elGrupodeTrabajosobrePrivacidadySeguridaddelaInformación(WPISP)ydelComitésobreInformación,ComunicacionesyPolíticaInformática(ICCP).Cuandocorresponda,loscolaboradorestambiénagradeceránelaportedeotrosforossobreestainiciativa.


ÍNDICEOperaciónSafetyNet...............................................................................................................................................1

Mejoresprácticasrecomendadasparaenfrentaramenazasenlínea,móvilesytelefónicas...1

Resumenejecutivo...................................................................................................................................................7Malwareybotnets.........................................................................................................................................................................................7Phishingeingenieríasocial.......................................................................................................................................................................8AtaquesalprotocolodeInternetyalSistemadeNombresdeDominio...............................................................................8Amenazasmóviles,telefónicasydevozsobreIP(VoIP)..............................................................................................................9Serviciosdehostingyenlanube.........................................................................................................................................................10Conclusión......................................................................................................................................................................................................11

Introducción:Laevolucióndelasamenazasenlínea............................................................................12

Malwareybotnets.................................................................................................................................................14ElPanoramaActualdelasAmenazasATravésdeBotnetsyMalware...............................................................................15ElPanoramaFuturodelasAmenazasATravésdeBotnetsyMalware..............................................................................16LasMejoresRecomendacionesParaAbordarelMalware........................................................................................................16Lasmejoresprácticasparaeducadoresyusuarios.................................................................................................................17

B)Mejoresprácticasrecomendadas:Detección.......................................................................................................................18C)Mejoresprácticasrecomendadas:Remediación.................................................................................................................19LasMejoresprácticasrecomendadasparaelgobiernoylaindustria............................................................................19

Phishingeingenieríasocial...............................................................................................................................26Eldañoparalosconsumidoresylaindustria.................................................................................................................................26Elpanoramadelphishing........................................................................................................................................................................27Losobjetivosdelosataquesdephishing:Québuscan..........................................................................................................27Líneadetiempodeunatípicacampañadephishing..............................................................................................................29Evolucióndelosmétodosdeataque..............................................................................................................................................30Elaumentoeneldesarrollodelosataquesdephishing.......................................................................................................31

Lasmejoresprácticasrecomendadascontraelphishingylaingenieríasocial..............................................................33Referencias.....................................................................................................................................................................................................39Estadísticas...............................................................................................................................................................................................39Programasaniveldeusuario...........................................................................................................................................................40PresentacóndeinformessobrePhishing:...................................................................................................................................40Lasmejoresprácticasrecomendadas...........................................................................................................................................42

A) Mejores prácticas: Prevención ............................................................................................................................................ 17


NombresdedominioydireccionesIP..........................................................................................................43Descripcióngeneralsobretecnología................................................................................................................................................43DireccionesIP...............................................................................................................................................................................................43ElSistemadeNombresdeDominio....................................................................................................................................................44AtaquesContraelDNS.........................................................................................................................................................................44EnvenenamientodelaMemoriaCaché.........................................................................................................................................44

Mejoresprácticasrecomendadas:.......................................................................................................................................................45MalwarequeAtacaalDNS......................................................................................................................................................................46Mejoresprácticasrecomendadas:..................................................................................................................................................46

AtaquesContraLosServiciosdeRegistrodeNombresdeDominio...................................................................................47Mejoresprácticasrecomendadas:..................................................................................................................................................48

AtaquesalawebyaotrosDNSdeservidores................................................................................................................................50Mejoresprácticasrecomendadas:..................................................................................................................................................50

AtaquesadireccionesIP..........................................................................................................................................................................51SuplantacióndedireccionesIP........................................................................................................................................................51Mejoresprácticasrecomendadas:..................................................................................................................................................51Anunciosdeshonestos..........................................................................................................................................................................52Mejoresprácticasrecomendadas:..................................................................................................................................................52Roboderangosdedirecciones.........................................................................................................................................................52Mejoresprácticasrecomendadas:..................................................................................................................................................52

Referencias.....................................................................................................................................................................................................52

Amenazasmóvilesydevoz...............................................................................................................................54Elentornomóvil..........................................................................................................................................................................................54Mercadosdeaplicaciones........................................................................................................................................................................54Amenazasespecíficasylasmejoresprácticasrecomendadas...........................................................................................54SeguridaddelosMercadosdeAplicaciones..................................................................................................................................54Lasmejoresprácticasrecomendadassobrelastiendasdeaplicacionesparaelgobiernoylaindustria:......56

Elmalwaremóvil.........................................................................................................................................................................................57Lasmejoresprácticasrecomendadasparalaindustriayelgobiernoparaevitarelmalwaremóvil:..............58Amenazasmixtas....................................................................................................................................................................................59Modificacióndedispositivosmóviles............................................................................................................................................60Jailbreakingdeundispositivo..........................................................................................................................................................60Rootingdeundispositivo...................................................................................................................................................................60Desbloqueodeundispositivo...........................................................................................................................................................60


Lasmejoresprácticasrecomendadasaunindividuosobrelamodificacióndedispositivosmóviles:............61Lasmejores prácticas recomendadas para la industria y el gobierno en relación con lamodificación dedispositivosmóviles:............................................................................................................................................................................61

Amenazasdebandabase.........................................................................................................................................................................61Lasmejoresrecomendacionesparalaindustriayelgobiernoparaevitarlasamenazasdebandabase:.....62

Elmodelocomercialdetarifaelevada:..............................................................................................................................................62Lasmejoresrecomendacionesparaaindustriayelgobiernoparaevitarlasestafasmediantelosserviciosdetarifaelevada:....................................................................................................................................................................................64

Spammóvil....................................................................................................................................................................................................64Lasmejoresrecomendacionesparalaindustriayelgobiernoparaevitarelspammóvil:...................................65

Consideracionesinternacionales...................................................................................................................................................67Elcostodelasinvestigacionesinternacionales.......................................................................................................................68Lasmejoresrecomendacionesparaelgobiernoy la industriadeacuerdoconcuestionesde colaboracióncruzada:.....................................................................................................................................................................................................68

Amenazastelefónicasdevoz.................................................................................................................................................................69Elentornodelatelefoníadevoz....................................................................................................................................................69AmenazasporVoIP...............................................................................................................................................................................70Llamadasautomatizadas....................................................................................................................................................................70Lasmejoresprácticasrecomendadasparacombatirlasllamadasautomatizadas:.................................................71Ataquestelefónicospordenegacióndeservicio(TDoS).......................................................................................................73LasmejoresprácticasrecomendadassobreTDoS:.................................................................................................................74Suplantacióndellamadas...................................................................................................................................................................74Lasmejoresprácticasrecomendadasparaprevenirlasuplantacióndellamadas:..................................................75

Serviciosdehostingyenlanube....................................................................................................................76Tiposdehosting...........................................................................................................................................................................................76FormatodelainfraestructuradeInternet:.................................................................................................................................76CategoríasdeinfraestructuradeInternet...................................................................................................................................77

Elescenariodelasamenazas.................................................................................................................................................................79Principalesáreasdeinterés...............................................................................................................................................................80

Lasmejoresrecomendaciones..............................................................................................................................................................82

Acosoenlínea..........................................................................................................................................................86

Conclusión.................................................................................................................................................................89

Glosario......................................................................................................................................................................90Referencias................................................................................................................................................................................................92

El aumento de los ataques internacionales .......................................................................................................................... 66

End Notes ...............................................................................................................................................................................................93Steering Committee/Contributors/Participants .....................................................................................................................96


RESUMENEJECUTIVOEsteinformebrindaasuslectoresunadescripciónenlenguajesimpledelasamenazasqueenfrentanlosnegocios,losproveedoresderedesylosconsumidoresenelentornomóvilyenlínea.Comomuchosdenosotrossabemos,lastecnologíasmóvilesydeInternethansidoelimpulsoclavedelaeconomíaglobalenlosúltimosveinteaños.Estastecnologíastienenunimpactosobrecasitodoslosaspectosdenuestravidadiariaysehanincorporadotambiénencasitodoslosmodeloscomercialesycadenasdesuministro.Debidoalaincorporacióndelosequiposportátiles,losteléfonosinteligentesylastabletasanuestravidapersonalylaboral,nuestradependenciadeestosdispositivostambiénsehaincrementado.Utilizamoslosdispositivosparaconectarnosconlafamiliaylosamigos,paracompraryrealizaroperacionesbancariasenlínea,relacionarnosconcolegasysocioscomerciales,reestructurarcadenasdesuministroyofrecerproductosdirectamentedesdelafábricaaloslocalesdeventaalpúblico.Conlacrecientedependenciadelsectorcomercialydelconsumidor,ylarápidamigracióndelastransaccionescomercialesalasplataformasmóvilesyenlínea,aparecenlasamenazasdelosciberdelincuentes.Losciberdelincuentessacanprovechodelenvíodespam,delphishing,delaintroduccióndemalwareensitiosweb,delapropagacióndebotnets,delredireccionamientodetráficodeInternethaciasitioswebmaliciosos,delaapropiacióndeserviciosdehostingyenlanube,ydelainsercióndespywareencomputadorasydispositivosmóviles.Noesfácilcalcularelimpactoeconómicodeestosataquescontinuos,yaseaporpaísoenunaescalamundial,dadoquelaspérdidasproducidasporlaciberdelincuenciaconfrecuencianoseinformanoseminimizanporpartedelasvíctimas,lasinstitucionesfinancierasquecubrenlosgastosderivadosdelaspérdidasolasempresasqueafrontanloscostos,incluyendocostosdedefensayremediaciónhastacostosporcaídasdeserviciosdebidoaataque.Elobjetivoprincipaldeesteinformenoessóloestudiarlasamenazasfrentealosentornosenlínea,móvilydeVoIPqueamenazaaconsumidores,empresasygobiernostodoslosdías,sino,loqueesmásimportante,sugerirlasmejoresprácticasrecomendablesparaquelaindustriaylosgobiernospuedanabordarestasamenazas.Elenfoquedelinformeapuntaacincoáreasprincipales:

MALWAREYBOTNETSElmalwareylasbotnetsseincluyenentrelasamenazasmásgravesalaeconomíadeInternet.Elsoftwaremaliciosoo"malware"escreadooutilizadoporlosdelincuentesparaafectaroperacionesinformáticas,recolectarinformaciónconfidencialoaccederasistemasinformáticosprivados.Lasbotnetssongruposdeequiposinfectadosconmalwarequesecomunicanysecoordinanentresí(confrecuenciamedianteunaredcomplejadeequiposinfectados)yquerecojeninformaciónsobrecadadispositivoinfectadodemaneraindividual.Lasbotnetsmaximizanlaimpactantecapacidaddelanchodebandaypotenciainformáticaquesignificacontrolarmásdeunmillóndedispositivos.Losdelincuentescontinuamentecambiano"transforman"elmalwareparaevitarqueseadescubiertoyeliminado.Enconsecuencia,lamayoríadelosantivirus(AV)enfrentanladificultaddetenerqueidentificaramenazasnuevasyrecientes.Cadavezsonmáslasformasdemalwarequetienenlahabilidaddedetectarqueestánsiendomonitoreadosmientrasseejecutan,posiblementeporpartedeuninvestigadorquerealizaanálisisdecódigomalicioso,yalterarsuscaracterísticasparalograrquelosexpertosenmalwarenologrendetectaroanalizarsusfunciones.Algunasclasesdemalware


inclusorealizaránuncontraataquealintentodevigilanciayanálisismedianteunataqueDdoS(denegacióndistribuidadeservicios).Enconsecuencia,cadavezsevuelvemásdifícilparaelentornodeseguridadenlíneaseguirleelritmoalasamenazasdemalware.

PHISHINGEINGENIERÍASOCIALElphishinginvolucratécnicasqueutilizanactoresmaliciososparahacerqueunavíctimareveleinformaciónfinanciera,comercialopersonalqueesconfidencial.Elphishinghaavanzadoininterrumpidamenteencuantoafrecuencia,sofisticaciónyperjuicioprovocadodesdesusinicioscomoamenazaamediadosdeladécadadelosnoventaynomuestrasignosdereducción.Dehecho,elphishinghaestadoenalzadesde2011,ycasiel25%delosdestinatariosabrenloscorreoselectrónicosconphishingymásdel10%hacenclicenarchivosadjuntosmaliciosos.Asimismo,eltipodeinformaciónquebuscaelphishingaumentasuvalorcadavezmás:desdeunsimpleaccesoaunacuentadecorreoelectrónicooaunacuentabancariaqueprovocanpérdidasindividualesenmilesdedólares,hastaobjetivosdegranvalor.Losobjetivosdegranvalor,concretamentecuentascomercialesqueposeenunsecretocomercialobrindanprivilegiosespecialesacuentasbancariasyfinancieras,hansidoatacadosenrepetidasocasionesycongranfrecuencia,situaciónqueproducepérdidascatastróficas,financierasydepropiedadintelectual,enunmismoeventodecientosdemillonesdedólares;unnúmeroincalculabledeestoseventosocurretodoslosaños.Aunqueelphishingnoesunanovedad,elaumentoenlacantidad,enlosobjetivosyenlasofisticacióndelosataquesenlosúltimosañosrepresentaunaamenazamásfuerteparalascompañías,losgobiernosylosconsumidoresytambiéndestruyelaconfianzageneralenlaeconomíadigital.Sedebencoordinardefensasparalograrsolucionestransparentesyabiertasconvariosgruposdeinterésparamaximizarlaeficacia,minimizarloscostoseincrementarlaconfianza.

ATAQUESALPROTOCOLODEINTERNETYALSISTEMADENOMBRESDEDOMINIODiferentesclasesdeactividadesilegalesatacanlasvulnerabilidadesasociadasalSistemadeNombresdeDominio(DNS)ylasdireccionesdeprotocolodeInternet(IP).LosataquesmásgravesalDNSsonelataquederesolutoresoelenvenenamientodelamemoriacaché,enlosquelosdelincuentesintroducendatosfalsospararedireccionareltráficoenInternethacialaversiónfalsadeunsitiowebdepopularidad.TodoequipoconInternetposeeunadirecciónIP,queseutilizaparaidentificarlo,delamismamaneraqueseidentificaaunaparatotelefónicomedianteunnúmerodeteléfono.LasdireccionesIPtradicionales,llamadasdireccionesIPv4(ProtocolodeInternetversión4),soncifrasbinariasde32bits,escritascomocuatronúmerosdecimales,porejemplo,64.57.183.103.Laprimeraporcióndeladirección,enestecaso6457183,confrecuenciaidentificalared;elresto,enestecaso103,alequipo("host")enlared.Ladivisiónentrelaredyelhostvaríasegúneltamañodelared,porloqueelejemploanterioressimplementetípico.Dadoqueelhombredifícilmenterecuerdela


direcciónIPyestáatadoaunaredfísica,elDNSesunabasededatosdistribuidadenombresquelepermitealosusuariosutilizarnombrescomowww.google.comenlugardesudirecciónIP173.194.73.105.Apesardesuenormetamaño,elDNSposeeunrendimientoexcelentemedianteladelegaciónylasmemoriascaché.LasmásseriasvulnerabilidadesenelDNSseencuentranalniveldelosresolutoresyseconocencomoenvenenamientodelamemoriatemporal(cachepoisoning),enlaquelosdelincuentesalteranlainformaciónderesolucióndenombresdedominioconelfinderedirigireltráficodeInternethaciasitioswebfalsos-controladosporlosdelincuentesmismos-quecopiansitioswebpopulares.CadacomputadorenInternettieneunadirecciónIP,queesutilizadaparaidentificaresedispositivodeunaformasimilaracomolosteléfonossonidentificadosporlosnúmerostelefónicos.LasdireccionesIPtradicionales,conocidascomoIPv4(InternetProtocolversion4),sonnúmeroscompuestospor32bitsbinarios,representadosporcuatronúmerosdecimales,como64.57.183.103.Laprimerapartedeladirección,enestecaso64.57.183,identificalaredyelresto,enestecaso103,identificaeldispositivoenparticular(elhost)enlared.Esadivisiónentreredyhostvaríadependiendodeltamañodelared,siendoesteejemplomencionadobastantetípico.PuestoquelasdireccionesIPsondifícilesderecordarparaloshumanos,ypuestoqueestánatadasaredesfísicas,elDNSesunabasededatosdistribuidaqueincluyenombresyquepermitealaspersonasusarnombrescomowww.google.comenlugardelarespectivadirecciónIP173.194.73.105.Apesardesuenormetamaño,elDNSoperademaneramuyeficientepuestoqueutilizadelegacionesymemoriastemporales.Esdecir,diferentesorganizacionessonresponsablesdesupartedelDNSylosdispositivosdelosusuariosrecuerdanlosresultadosdeDNSquehanrecibido.PuestoquenoseríaprácticoalmacenartodoslosnombresenelDNSenunaúnicabasededatos,elsistemasedivideenzonasquesonalmacenadasendiferentesservidores,lógicamentevinculadosentresíparacrearunainmensabasededatosinter-operableydistribuida.LasvulnerabilidladesenlasdireccionesIPyenelDNSincrementanelriesgoparalosconsumidoresporqueenmuchoscasosnosabenquehansidoredirigidosaunsitiofalso,noalsitioalqueellosdeverdadqueríanacceder.

AMENAZASMÓVILES,TELEFÓNICASYDEVOZSOBREIP(VOIP)ConeladvenimientodelosteléfonosinteligentesyelmercadodeaplicacionesparadispositivosqueutilizanAndroid,Apple,WindowsyBlackberry,elentornodelcomercioelectrónicosehaampliadoyahoraincluyealosdispositivosmóviles.Dadoquelosconsumidoresmigransusactividadesdecomercioelectrónicoalasplataformasmóviles,losdelincuentesquebuscanaprovecharseydefraudarrápidamenteseadaptan.Además,elentornomóvilcreaoportunidadesúnicasparalosnuevostiposdeataquesyamenazasdirigidastantoaconsumidorescomoaempresas.Losdispositivosmóvileslesproporcionanalosconsumidoresunamayorfuncionalidadyfacilidaddeuso.Losusanconfrecuenciausuariosindividuales,queporlogenerallosmantienenenunestadoactivo,amenudoconelGPShabilitadoysonlocationaware(losdispositivosmismosconocensuubicación).Porlotanto,losdispositivosmóvilesposeenunmayoratractivoinherenteparaunataquemalicioso.Enlosúltimosaños,elentornomóvilhasufridouncrecimientoeneldesarrollodemalware,lasprimerasbotnetsmóviles,unaumentoenestafaspormensajedetexto(SMS)detarifaelevaday


ataquessofisticadosquesehanasociadoconeljailbreaking(modificacióndelsistemaoperativoquepermiteladescargadeaplicacionesdesdecualquierlugar,nosóloladesdelatiendadeaplicacionesqueofreceunniveldeseguridadyconfianza)dedispositivosmóviles.Conelaumentoenlassuscripcionesalabandaanchamóvil,lasamenazastelefónicasdevozydeVoIPtambiénregistranuncrecimiento.Lafrecuenciaylagravedaddelasestafasporllamadasautomatizadasaumentan,ylanuevatecnologíaquelespermitealosdelincuentesocultarseocambiarsusnúmerosdeteléfonosalientesparaengañaraobjetivosconfiadoshacequeelfraudeseamásefectivo.Amedidaqueunamayorcantidaddeserviciosdetelefoníasetransformanenserviciosenlínea,losataquespordenegacióndeserviciodetelefonía(TDoS)tambiénaumentanencantidadyfrecuencia.Estetipodeataquespuedeserdevastadorcuandoelblancosonserviciosesenciales,porquelograquelossistemastelefónicoscolapsenyquelasllamadasdeindividuoslegítimosqueintentancomunicarse,porejemploconelDepartamentodeBomberosoconunaambulancia,nolleguenadestino.Losciberdelincuentestienenunafuertepreferenciaparaoperarenunentornointernacional,loquecomplicaaúnmáslaaplicacióndelaley.Porejemplo,unvendedorenlíneademedicamentosilegalesqueviveenlosEstadosUnidospodríaenviarunspamconpublicidaddesusmedicamentosdesdeunequipoafectadoenBrasil,quedirigeasuspotencialescompradoresaunsitiowebconunnombrededominioruso,mientrasquefísicamenteelservidordeesesitiowebestáubicadoenFrancia.ElpagodelacompracontarjetadecréditosepodríaprocesaratravésdeunbancoenAzerbaiyán,elpedidopodríaserenviadoenbarcodesdeunsitioenlaIndiayelingresopodríasercanalizadohaciaunbancoenChipre.Losdelincuentessabenquealactuardeestamaneraexistenmuchosfactoresquecomplicanlasinvestigacionesoficialesdesusdelitosenlíneayreducensuprobabilidaddecaptura.Estosfactoressonlafaltadecolaboración,lasdiferenciasentrejurisdiccionesyelcostodelasinvestigacionesinternacionales.

SERVICIOSDEHOSTINGYENLANUBE"Hosting"serefiereaproveedoresdeserviciosquebrindanaccesocomercialasitiosweb,archivoseintranet,yaccesoaInternetatravésdemúltiplesservidoresconectadosenlugardeunservidorúnicoovirtual.Loshostssonempresasqueproporcionanespacioenunservidorpropiooconcesionadoparaquesusclienteslousen;tambiénpuedenproporcionarespaciodecentrodedatosyconectividadaInternet.Losserviciosdehostingmásbásicossonelhostingwebydearchivosdemenortamaño.MuchosproveedoresdeserviciosInternet(ISP)ofrecenesteserviciogratisalossuscriptores.EstoshostscontrolanlosprincipiosbásicosquehacenalfuncionamientodeInternetypuedenoperarcomoempresasunipersonalesointernacionalesdeInternet.LacomputaciónenlanubecomprendeelalmacenamientoyaccesoadatosyprogramasmediantelaInternetenlugardeutilizarundiscodurolocal.La"nube"essimplementeunametáforadelaInternet.SeremontaacuandoexistíanlosdiagramasdeflujoylaspresentacionesquerepresentaríanlagigantescainfraestructuradeInternettipo"granjadeservidores"comounanubeblancaypomposa.Las amenazasmóviles y en líneaque atacan servicios dehosting y en la nube están en aumento eincluyen el spam, el spamvertising, el phishing, los sitios web pirateados, ataques por DDoS, laexploración de puertos para localizar vulnerabilidades, páginas web desfiguradas, infracción dederechosdeautor/marcasregistradasymalware.Estedocumentoclasificalostiposdehostingy


definelasáreasdeinterés.Proporcionaunanálisisdelpanoramaactualdelasamenazasenlanubeyen línea, y un breve recorrido por los métodos de corrección que se utilizan para abordar estascuestionescríticas.

CONCLUSIÓNConelfindeprotegerlaInternetygarantizarsupromesafrentealosciudadanosdelmundo,esfundamentalqueidentifiquemosrespuestaseficientesyefectivasatodasestasamenazas.Esteinforme,presentadoporungrupointernacionaldeexpertosdelaindustriaydelgobierno,resumelasmejoresprácticasrecomendadasparaenfrentarestasnuevasymássofisticadasamenazasenlínea,móvilesytelefónicas.Esperamosqueesteinformefacilitelacolaboraciónpermanenteyefectivaentreestegrupoylacomunidadinternacionalparacombatirestasamenazas.


INTRODUCCIÓN:LAEVOLUCIÓNDELASAMENAZASENLÍNEADesde2006,laeconomíamundialmóvilydeInternethasufridoeldesarrollodelasamenazasenlíneaylaaparicióndenuevosataques.Hoyendía,lasherramientasutilizadasparadefraudaryrobarinformaciónenelentornomóvilyenlíneasoncadavezmássofisticadas,ylesofrecenalosdelincuentesylosestafadoresunavariadacajadeherramientas.Enestecontexto,comoprobablementesuspadreslehandichomásdeunavez,mejorprevenirquecurar.Esteinformenosólodescribeelentornodelasamenazasenlínea,móvilesytelefónicasdemaneratalquecualquierpersonapuedaentenderlo,sinoqueproporcionaunalistadeherramientasalaindustriaylosgobiernosparaquelasadoptencomolasmejoresprácticasrecomendadasyevitenqueestetipodeamenazasseconviertanenciberataquesexitosos.

Mientrasquegranpartedeestailícitaactividadenlíneaseneutralizaantesdequelleguealusuariofinaltípicograciasalastécnicasdebloqueoyfiltradoaplicadasenlaactualidad,elspamsiguesiendounvehículoimportante,queconfrecuenciatransportaunacargamalintencionadaasícomocorreoselectrónicosnodeseadosyamenudomaliciosos.Elspamnoessólounfenómenoasociadoalcorreoelectrónico.Seexpandeadiferentestiposdenuevosmedios.Porejemplo,elspampormensajeríamóvilyVoIPenlaactualidadesfrecuente,asícomotambiénloscomentariosnodeseados(spamcomments)enredessociales,blogsysitiosweb,ylasentradasnodeseadasquecontaminanydegradanlacalidaddelosresultadosdelabúsquedaenmotoresdebúsquedaenlínea.Laindustriadelosnombresdedominio(queconsisteprincipalmenteenICANN),losregistradoresylosregistrospuedentenerunrolcríticoenlaesferaantiabuso,enparticulardadoquelosnuevosprotocolosdeInternet(porejemplo,IPv6)sevuelvenmásprevalentes,yselanzaunnúmeroconsiderabledenuevosdominiosdealtonivel(TLD).Tradicionalmente,existíanaproximadamente24TLDs,porejemplo.com,.org,.net,.gov,ademásdelosTLDdedosletrasparapaís,porejemplo,.caparaCanadáo.jpparaJapón.Recientemente,ICANNlanzómásde500nuevosTLDgenéricos,queincluyen.bike,.cityy.clothingyhaycientosmásenprocesodeserlanzados.RecomendamosquelosparticipantesdelaOCDEyotrasorganizacionesinternacionalesfortalezcansucolaboraciónenlaprincipalentidadcoordinadoraenlaesferadelosdominios,elConsejoAsesorGubernamental(GAC)deICANN,trabajandoparaalentaraICANNaredoblarsusesfuerzoseneláreadecumplimientocontractualysupervisióndelosregistrosyregistradores.Sehanrealizadomuchosesfuerzospararomperbarrerasyfacilitaraccionescolaborativasentreempresas,ONG,gobiernos,entidadesreguladorasyorganismosdelordenpúblico.LaOCDE,elLAP,elM3AAWGyotrasorganizacionesinternacionaleshantenidoéxitoeneldesarrollodeunacoordinaciónpública-privadaexistenteymayorcolaboraciónentrelosdiferentessectores.Porejemplo,elGrupodeTrabajoparaDNSChangeriyelGrupodeTrabajoparaConfickeriisonamalgamasdeexpertosenlamateria,organismosdeordenpúblicoyrepresentantesdelaindustriaquehantenidounnotableéxitobasadoenunmodelodeconfianzamutuaquedejadeladolascuestionescompetitivas.Estacolaboraciónhasidounenormeaciertoyseguirásiendofundamentalalahoraderealizaresfuerzosantiabuso.


Sinembargo,sigueexistiendolanecesidaddetenerunalegislaciónantiabusoyantispammássólida,máscompletaeindependientedelatecnologíayregímenesregulatoriosquefacilitenlacolaboraciónentrepaíses.Partedelasoluciónresideenelámbitodiplomático,enparticular,cuandosetratadepermitiraccionesinternacionalesdeordenpúblicomásefectivas.Unamejoraconsiderableenlaeducaciónylaconcientizacióndelusuariofinalesunacuestiónimportanteenlatomademedidaseficacesantiabuso.


MALWAREYBOTNETSElsoftwaremaliciosoo"malware"escreadooutilizadoporlosdelincuentesparaafectaroperacionescomputacionales,recolectarinformaciónconfidencialoaccederasistemasinformáticosprivados.Sepuedepresentarendistintosformatos,desdeprogramascompiladoshastasecuenciasofragmentosdecódigoinsertadosenunsoftwareporlodemáslegítimo."Malware"esuntérminogeneralutilizadoparadefinirunconjuntodeformatosdesoftwarehostil,invasivoofastidioso.Engeneral,elmalwarecomprendevirus,gusanos,troyanos,instaladores,spyware,adware,rootkits,spamwareyotrosprogramasmaliciosos.Elmalwareestágeneralmentediseñadoparacumplirunaomásfunciones,desdefacilitarlaintroduccióndeotrotipodemalware(porejemplo,instaladores/descargadoresdetroyanos)hastalarecopilarinformación(porejemplo,spyware).Otrasformasdemalwaresepuedenespecializarenlainterrupcióndeequipos,usuariosyredes.Lasbotnetssongruposdeequiposinfectadosconmalwarequesecomunicanparacoordinarentresíyrecolectarinformaciónacercadelosdispositivoscomprometidos.Lasbotnetsconmayorfrecuenciarecibenelnombredelmalwareespecíficoutilizadoparainfectaryreclutardispositivos,porejemplo,ZeusySpyEye.Sinembargo,todoslosequiposquecomponenunabotnetpuedencontenerdiferentescomponentesdeunmalware.Porejemplo,unnododebotnetZeuspuedecontenerelmalwareZeus(quemanejalacomunicacióndelbotnet,robainformaciónydescargaotrasformasdemalware),asícomootrasamenazas,comoelspamware(porejemplo,Cutwail)ocomponentesde"ataque"(comoelmalwarePushdoDDoS).Lasbotnetspuedenserdegrantamaño.Sehanobservadobotnetscompuestospormásdeunmillóndeequiposbajoelcontroldeunsolobotmaster.Sinembargo,noesnecesarioqueunabotnettengauntamañosimilaraesteparaserextremadamenteperjudicial.Inclusounabotnetcompuestapor1000o2000nodos(equipos)puedecausarunenormecaos.Ensuscomienzos,elmalwareeradesarrolladoconfrecuenciapor"aficionados":entendidosencomputaciónquebuscabandesafíosodiversión.Desdeesemomento,losdelincuentes,yelcrimencadavezmásorganizado,sehandadocuentadequepuedenganarmuchodineroconelmalware.UnejemploeselcasodeWinFixer,enelquelosdelincuentesamedrentaronasusvíctimashaciendoquerealizaranpagosporregistrodesoftwareiii.Hoyendía,prácticamentetodaslasformasdemalwaresecreanyutilizanconfinesdelictivos.Enmenormedida,elmalwarepuedetambiénestarfinanciadoporelEstadoyserutilizadoporagenciasdeinteligenciaparallevaracaboaccionesencubiertascontrasistemasinformáticosdeotrosestadosoparaespiaractivistas,periodistasydisidentes;asímismo,puedeserutilizadoporhacktivistasyextremistasconfinesideológicos,políticososociales.ElmalwareesunadelasprincipalesamenazasparalaeconomíadeInternetyseutilizaparallevaracabolassiguientesactividades:

● Recopilarinformaciónpersonalycomercialmediante:

○ lacapturadelaspulsacionesdeteclas;

○ larecopilacióndeiniciosdesesiónycontraseñas;

○ lacopiadelibretasdedirecciones;

○ elrobodeinformación,documentacióny/osecretocomercialqueesconfidencial,oinclusolacapturadeinformacióngubernamentalomilitarconfidencial;

○ larecopilacióndeinformaciónbancariaytransaccional.


● FacilitargrandesataquesdeDDoSpatrocinadosporgobiernos,ocomoformadeactivismopolíticoocomounpreludioalaextorsión,entremuchosotrosfines.

● Enviarspamporcorreoelectrónico,SMSyotrosmedios.

Losdelincuentesmodificanelmalwarecontinuamenteparaevitarladetecciónylaremediación.Lamayoríadelasherramientasdesoftwareantivirus(AV)tienepocacapacidaddeidentificaramenazasactualesyrecientes.Cadavezsonmáslasformasdemalwarequetienenlahabilidaddedetectarqueestánsiendomonitoreados"vigilando"(posiblementeporpartedeunanalistademalware)yalterarsucomportamientoparalograrquelosanalistasnopuedandeterminarsufuncionamiento.AlgunasclasesdemalwareinclusointentandesalentaresaslaboresdemonitoreomediantelarealizacióndeataquesdeDdoSdirigidoscontralosanalistasdeseguridad.Portodoesto,cadavezesmásdifícilparalacomunidaddeseguridadenlíneaseguirelritmoconelqueevolucionaelentornodelasamenazaspormalware.

ELPANORAMAACTUALDELASAMENAZASATRAVÉSDEBOTNETSYMALWAREElpanoramanohacambiadoyespocoprobablequelohaga.Lareticenciageneraldelosgobiernos,losbancosylascorporacionesacompartirdatosprivadosoconfidenciales,obstaculizadaporbarreraslegalesyregulatoriasrealesopercibidasounmiedoalaresponsabilidad,significaqueloscreadoresdemalwareaúnconservanelcontrolcuandosetratadelacapacidaddebrindarconprecisiónsuproducto.Noesposiblecalcularexactamentelamagnituddelacuestión,dadoquenoexistenindicadoresgeneralmenteaceptadosparalasinfeccionespormalware,botsobotnets.Enelmalwaretransmitidoporcorreoelectrónico,elcorreoelectrónicopococonvincenteconerroresdeortografíahasidosustituidopornuevastécnicasdephishing,quesediscutenmásadelanteenesteinforme.Aunqueelvolumenglobaldespamhadisminuidoenlosúltimosaños,enlaactualidadlasredessocialesutilizancadavezmástécnicascomo"clickjacking"o"likejacking"enlasqueelusuariohaceclicenunenlaceaunsitiowebparaverunvideotentadoryelatacanteutilizaeseclicparapublicaruncomentariovisibleatodoslosamigosdeFacebookdelusuario,quelostientaahacerclicenelmismoenlacemalicioso.Facebookhacontrarrestadoengranparteesteataquemedianteunasolicitudalusuarioparaqueconfirmeun"Megusta"antesdesupublicaciónsielusuarioestáhaciendoclicenundominioquenoesconfiable.EntérminosdemalwaretransmitidoporlaWeb,Symantecdescubrióqueen2013losataquesatravésdelaWebhabíanaumentadoun23%másqueen2012yque1de8sitioswebmostrabaunavulnerabilidadcrítica.ivEstoindicaquelosatacantesintentanevadirlasoperacionesafavordelaseguridadhaciendoquelossitioswebdispersenelmalware,enlugardeadjuntarloaloscorreoselectrónicoscomoformadeinfección.LasamenazascontralossistemasoperativosiOSyAppleOSX,aunqueseanrelativamentepocasencantidad,representanlapropagacióndelmalwarehaciaplataformasquehastaahoracasinohabíansufridoataquesdemalware.Losmediosdeataquesonsimilaresalosobservadosenlas


plataformasWindowsyAndroid.Elhechodequemuchasherramientasdeataquehancruzadoentrediferentesplataformas,haciendousodelosataquesdeJava,porejemplo,esensímismounnuevométododepropagacióndemalware.

ELPANORAMAFUTURODELASAMENAZASATRAVÉSDEBOTNETSYMALWAREDeacuerdoconelinforme"PrediccionessobreAmenazas"deMcAfeev,elmalwaremóvilseráelmotordecrecimientodelainnovacióntécnicaydelvolumendeataquesenel"mercado"mundialdelmalwareen2015.Losataquesconransomwaremaliciosoocurrencadavezmás,impulsadosporelaumentodelamonedavirtual.Asímismo,seesperaeldesplieguedeunnúmerocrecientedeaplicacionescorporativasbasadasenlanube,quetendráncomoconsecuencialaexpansióndelassuperficiesdeataquefrentealasquelosdelincuentesdirigiránsusactividades.Porúltimo,esdifícilconcebirlagrancantidaddeotrasamenazasdemayorimportanciaenlospróximosañosquelaqueplantealaInternetdelascosas.ComomilesdemillonesdedispositivosseconectanaInternet,habráunnúmerocrecientedeamenazasalainfraestructurafundamentalquerepresentanlosdispositivossinparchesoconunavulnerabilidadinherente.Esprobablequemuchosdispositivosconectadosnorecibanlosparchesdeseguridadregulares;algunosproveedoresnoconsideraránlaseguridadcomopartedesuresponsabilidad,yaquepriorizanlapróximaversióndelproductoyseenfocanmásenlascaracterísticasestéticasoprácticas.Esposiblequelosconsumidoresnoejerzanpresiónsobrelosproveedoresdeequiposparaobtenerlosparchesdeseguridad.Si,porejemplo,undispositivofuncionasatisfactoriamentecomounanevera,unabombillaeléctricaoutermostato,perotieneunproblemadeseguridadconsuciberfuncionalidad,losconsumidorespuedennodemostrarunamotivaciónparareemplazarlosólopormotivosdeseguridad.Enconsecuencia,lalargacoladedispositivosinsegurosseguirácreciendo.

LASMEJORESRECOMENDACIONESPARAABORDARELMALWAREAunquegranpartedeloquetrataestasecciónhacehincapiéeneducaralosindividuosyalosISPs,sedebereconocerqueelabordajedelmalwareesunproblemadetodounecosistemaquerequeriráunenfoquemultifacéticoyaccionesdediferentesgrupos,quenoselimitaalosISPsoaeducaralosusuariosfinales.Paragobiernosyeducadores,estasecciónsecentraenlaprevención,detecciónyremediacióndemalware.ParalosISPs,estasecciónsecentraenbrindarasesoramientoenrelaciónconloqueunISPpuedehacerparacolaborarconunindividuoenladeteccióndemalware.Lasecciónconcluyeconunanálisisforensesobreelmalwareenlasáreaslegalesyregulatoriasdelosgobiernos,asícomoprácticasusualesdelaindustria.


LASMEJORESPRÁCTICASPARAEDUCADORESYUSUARIOSA)Mejoresprácticas:PrevenciónEstasrecomendacionesapuntanacómounindividuopuedeprevenirunainfecciónconmalware.

1. Elegirunsistemaoperativoseguroyactual:Alelegirunsistemaoperativo(SO),busqueunoquehayademostradosercapazdereducirsuexposiciónalmalware.Independientementedelsistemaoperativoqueelija,asegúresedeejecutarlaversiónmásreciente.Lossistemasoperativosmodernostienendefensasintegradasqueayudanacombatirataquesdemalwarequecomprometenelsistema.

2. Manteneraldíalosparchesylasactualizaciones:Asegúresedequelossistemasoperativosytodaslasaplicaciones,porejemplolasaplicacionesdeasistencia(AcrobatReader,FlashPlayer,JavayQuickTime),contenganlosúltimosparchesdisponibles(esdecir,quesehayandescargadotodaslasactualizacionesamedidaqueestuvierandisponibles).Enlamayoríadelosataquescausadospormalware,losparchesdisponiblesteníanmásdeunaño.EnlossistemasqueejecutanMicrosoftWindows,Microsoftponeasudisposiciónunaseriededescargasrecomendadas.viSecuniaPSIviiestambiénunapopularherramientaquepuedeayudarloamanteneractualizadaslasaplicacionesdeterceros.

3. Utilizarsólolonecesario:Engeneral,lomejoresdescargaroutilizarsolamenteelsoftwarenecesariopararealizarsustareas.Evitedescargarsoftwareoarchivosquenoaportancaracterísticasofuncionesútilesonecesarias,yelimineelsoftwaresinuso.

4. Buscarayudadeexpertos:Consúltelesalosexpertoscuáleslamejoropciónparasusnecesidades.(Los"expertos"puedenresponderdediferentesmaneras,perosiustedconfíaenellosalahoradeobtenerasistencia,hacerloqueelloslediganserácasisiempremejorensuscircunstancias).

5. Ejecutarunprogramaantivirus:Aunquelosproductosantivirusnosonperfectos,lopuedenayudardetodasformas,porloqueseleccioneuno,utilíceloymanténgaloaldíamedianteladescargadeactualizacionescuandoasíleseaindicado.Programeunanálisiscompletodelsistemaunavezporsemanacomomínimo.Asegúresedeseleccionarunantivirusrealyeviteserengañadoainstalarunantivirusfalsoquees¡elmismísimomalware!(Ysisuantivirusnoprotegetambiéncontraelspyware,tambiéndeberáinstalarunantispyware).

6. Utilizarunfirewall:Aunquenosoninfalibles,losfirewallparahardwareosoftwarealmenosañadiránpotencialmenteotracapadeprotección.

7. Utilizarcontraseñasseguras:Lascontraseñasdebentenerlasuficientecomplejidadpararesistirserdescifradasovioladas.Algunaspersonaseligencontraseñasquetienencomomínimoochocaracteresdelongitudymezclanmayúsculas,minúsculas,númerosysímbolosespeciales.Otrosprefierenseleccionarentretresycincopalabrasnorelacionadasquesonmásfácilesderecordar,peroqueasuvezdificultaneltrabajodelasherramientasdesoftwarequelasdescifran.Decualquiermanera,nuncautilicelamismacontraseñaendiferentessitios.Lasaplicacionesdecontraseñasfacilitanesteproceso.viii

8. Realizarcopiasdeseguridaddeformaregular:Sielsistemaseinfecta,tenerunacopiadeseguridadlimpiapuedeserdegranutilidadalahoradedesinfectarseyvolveraestarenlínea.


9. Eliminararchivostemporalesinnecesarios:Algunasclasesdemalwarepuedenocultarcopiaspropiasentrelosarchivostemporales,einclusosinohayarchivostemporalesinfectados,laeliminacióndelosarchivostemporalesacelerarálosanálisisdelsistemayreduciráeltamañodelascopiasdeseguridad.UnaherramientamuyutilizadaparalalimpiezadearchivostemporalesenlasplataformasWindowsesCCleaner.

10. Noejecutarcomoadministradordeformarutinaria:Lascuentas"Administrador","raíz"yotrasquetienenfuncionesespecialessólosedebenutilizarcuandoestéhaciendoalgoquerequieralosprivilegiosespecialesasociadosalascuentasdegrancapacidad(porejemplo,lainstalaciónintencionaldeunnuevosoftware).Cuandoestéhaciendotareashabituales,ejecuteelsistemacomounusuarionormal.

11. DesactivarJavaScript(outilizarNoScript):JavaScript(unlenguajedeprogramaciónquenoestárelacionadoconJava,apesardelnombre)habilitamuchasaplicacionesinteractivasllamativas.Sinembargo,tambiénsufremuchosataquesyseutilizaparaintroducirmalwareensistemasvulnerables.SinosenecesitaJavascript,nolohabiliteenelnavegadorweb.

12. BloquearlosnombresdedominiomaliciososconocidosenelDNS:Algunasclasesdemalwarecuentanconlacapacidaddetraducirconéxitonombresdedominioanúmeros.SiustedbloquealaresolucióndeesosdominiosatravésdesuservidordeDNS,esposiblequeelmalwarenoselogreejecutar.Comoejemplo,OpenDNSesunaempresaqueofreceDNSconfiltrosparaeltráficomalicioso.

13. Filtrar/removerelcontenidomaliciosdeloscorreoselectrónicospotencialmentepeligrosos:Suadministradordecorreoelectrónicodebeejecutarunexamenparadetectaradjuntos,enlacesocontenidospotencialmentepeligrososqueustedpuederecibirporcorreoelectrónico.UnprogramaquepuedeayudarconestoesMIMEDefang.

14. LosarchivosdescargadosmedianteaplicacionesP2Pconfrecuenciaestáninfectados:Sepaquemuchosdelosarchivoscompartidosenredesdepuntoapunto(P2P)paracompartirarchivospuedenestarinfectadosconmalwaredemaneraintencionaloaccidental.

15. AsumaquetodaslasunidadesUSBesconden"trampascazabobos":SirecibeunaunidadUSB,oencuentraunaunidadUSB"perdida",nuncalaconecteensuequipo.Puedehabersidoinfectadaenformaintencionalconmalware,yluegocolocadaenunlugardondelaencuentreconelfindeintroducirmalwareensusistema.

16. EviteelusodepuntosdeaccesodeWi-Fidesconocidos:AlgunospuntosdeaccesoWi-Fiabiertospuedeninterceptartráficonocifradoy,deestemodo,puedenviolarsuprivacidad.Elusodeunaredprivadavirtual(VPN)lepuedebrindarciertaprotección.AsegúresedequecualquierpuntodeaccesoinalámbricoqueutiliceestéprotegidoconWPA2(unprogramadeprotocoloycertificacióndeseguridaddesarrolladoporWi-FiAllianceparaprotegerlasredesinformáticasinalámbricas)pararestringirelacceso.

B)MEJORESPRÁCTICASRECOMENDADAS:DETECCIÓNEstasrecomendacionesponenelacentoencómosedetectaelmalwarecuandofallalaprevención.

1. Tomarconscienciacuandounaexploraciónlocaldetectaalgo:Unadelasformasmáscomunesdedetectarunmalwareesmedianteelanálisisdeunantivirus.Otraopciónsimilarseríarealizarunanálisismedianteunaexclusivaherramientaantimalwareespecialmentediseñadacomo"sólolimpieza"ix.

2. Advertircuandoelsistemacomienzaafuncionardeformaextraña:Otroindicadorimportantedequealgonoandabienescuandoelsistemacomienzaafuncionar"demanera


extraña".Elfuncionamientoextrañopuedeincluir:ejecuciónlentaobloqueos,ventanasemergentesnodeseadas(porejemplo,notificacionesfalsasdelantivirus),solicitarunapáginawebyterminarenotra,nolograriradeterminadossitios(sobretodosisonsitiosdeactualizaciónositiosrelacionadosconlaseguridad),etc.

3. TomarmedidassisuISPleindicaquesusistemanofuncionacorrectamente:Porejemplo,suISPlenotificaquesehaobservadoquesusistemahaenviadospamoatacadoaotrosistemaenInternet.

C)MEJORESPRÁCTICASRECOMENDADAS:REMEDIACIÓNEstasrecomendacionesapuntanacómotratarsistemasinfectadosconmalware.

1. Limpiezaenellugar:Esteenfoquesebasaenqueelusuario(oalguienennombredelusuario)ejecuteunoomásantivirusenelsistemainfectado,conelfindelimpiarlo(enalgunoscasos,losexpertostambiénpuedeneliminararchivosinfectadosdeformamanual).Esteprocesopuedellevarmuchotiempoybásicamentepuedefuncionarono.Inclusodespuésdehaberrealizadoungranesfuerzoparalimpiarunsistemainfectado,esposiblequelainfeccióncontinúeoqueelsistemaseainestableoinutilizable.

2. Reversión:Sielusuariotieneunacopiadeseguridadlimpia,otraopciónesrevertirelestadodeeseequipoaesacopiadeseguridadlimpia.Estaopciónpuedeprovocarlapérdidadetrabajodesdequerealizólaúltimacopiadeseguridad,amenosqueesosarchivosrecientesseconservenporseparadoysepuedanrestaurar(sihaceesto,esnecesariohacerloconmuchocuidadoparagarantizarquelarestauracióndelosarchivosnoprovoqueunanuevainfección).Entérminosgenerales,unaestrategiadereversiónfuncionamejorcuandolascopiasdeseguridadsonfrecuentesyesposibleseleccionardetodaslasgeneracionesdecopiasdeseguridaddisponibles.

3. Completarlanuevainstalación:Enestaopción,elsistemasevuelveaformatear,yelsistemaoperativoylasaplicacionessereinstalandesdecero.Estopuedellevarmuchotiempo,yconfrecuenciaseráfrustranteporlafaltademediosoriginales(muchosproveedoresyanoincluyenunacopiadelsistemaoperativoenunmediofísicocuandovendenunhardwarenuevo).

4. Reemplazarelsistema:Porúltimo,almenosunafraccióndelosusuariospuededecidirquesimplementedeseanreemplazarsusistemainfectado,enlugardeintentarlimpiarlo.Otambién,estapuedeserlaúnicamaneradedesinfectardeformaseguraunequipo.Estaopciónpuedesermásaceptablesielsistemainfectadoesviejoonoeramuypotente,enprincipio,osielusuariodeseacambiarelsistemaoperativooelequipodeescritorioaunoportátil,porejemplo.Lajergadelaindustriaparaestetipodeacciónes"dinamitarypavimentar"(nukeandpave).

LASMEJORESPRÁCTICASRECOMENDADASPARAELGOBIERNOYLAINDUSTRIAA)Lasmejoresprácticasrecomendadasparaladetecciónynotificación(ISPausuario)Enlaactualidad,muchosISPlesnotificanasusclientessiestáninfectadosconmalware.LosISPpuedenutilizardiferentestécnicasparanotificarlainfecciónalosindividuos.EstasecciónenumeradiferentesaccionesquelosISPdebenrealizarparanotificaralosusuariosfinales;sinembargo,nose


debeentenderquecualquiertécnicahayasidoidentificadacomolamejorpráctica.Existendiferentesventajasydesventajasasociadasacadatipodenotificación.Algunosejemplosincluyenlossiguientes:

1. Correoelectrónico:Cuandosedetectaunsistemainfectado,elISPpuedenotificaralusuarioporcorreoelectrónico.Lamentablemente,muchasveceslosusuariosnuncaleenladireccióndecorreoqueelISPproporcionaparasuuso,yesposiblequeelusuarionuncalebrindealISPladireccióndecorreoelectrónicoqueutilizahabitualmente.Tambiénesposiblequelosusuariostambiénseanmáscautelososalconfiarenlasnotificacionesdecorreoelectrónicocomoresultadodelacantidaddeataquesdephishingyestafasporsoportetécnicoqueconfundenalosconsumidoresantelapresenciademalwareensuscomputadoras.

2. Teléfono:ElISPtambiénpuedenotificaralusuarioporteléfono.Alcontactaralosclientes,esimportanteconsiderarque,sibienlallamadaautomatizadapuedesereficiente,losusuariospuedensospechardelasnotificacionesporteléfono,comoresultadodelosataquesdephishingporvoz.Porotrolado,lanotificacióntelefónicarealizadaporunapersonapuedesertediosayllevarmuchotiemposiesnecesarionotificaraunagrancantidaddeusuariosinfectados.

3. Mensajedetexto:EnloscasosenlosqueelISPconoceelnúmerodeteléfonomóvildelcliente,otraopciónseríaenviarlealusuariolanotificaciónpormensajedetexto.

4. Correotradicional(enpapel):UnISPpuedeconsiderarlanotificacióndelosusuariosmediantecorreopostaltradicional,posiblementeadjuntándolaalafacturamensual.Sinembargo,sielISPnoaprovechauncorreoqueyaleestáenviandoalcliente,elenvíodenotificacionesdecorreoadhocpuederesultarcostosoybastanteinefectivo,sobretodosielusuariodescartacomunicacionesdecorreosinabrircreyendoquesonprobablementepublicidad.

5. Serviciodesoporteadomicilio:Ensituacionesenlasqueelusuariohacompradouncontratodesoporteenellugar,esposibleutilizarotrotipodenotificaciónmedianteuna"visitaaldomicilio"delcliente.Porsupuesto,eltécnicodelISPdeberámostrarlealclientesucredencialytambiénsedebeconsiderarqueestapuedeserunaopcióndenotificaciónmuycostosa.

6. Notificaciónenbanda(web):Enesteenfoque,unISPnotificaalusuariomediantelainterposicióndeunmensajeintersticialcuandoelusuariointentevisitarunsitiowebnormal.Esteenfoquepuedeseralgodesconcertanteparalosusuarios,peroesmenosperjudicialqueotrosenfoques,talescomoel"jardínamurallado"(vermásadelante).

7. Jardínamurallado:SiunISPnecesitarestringirdeinmediatoeldañoqueunusuarioinfectadopuedecausar,unaopciónescolocarloenloqueseconocecomoun"jardínamurallado".Cuandoestoocurre,selepermitealusuarioaccederasitiosseleccionadosconfinesderemediaciónyprotección,yposiblementeselepermitacontinuarconelaccesoaserviciosdeVoIP,porejemplo,paraelaccesoaserviciosdeemergencia,peroporlogeneralnopodráaccederalamayoríadelosrecursosdeInternet.Sedebehacerhincapiéenqueestaestrategianoseráunapenalidad.LosjardinesamuralladoshantenidounagraneficaciaenladisminucióndelacantidaddeinfeccionesaniveldelISP,delconsumidory,dehecho,impulsenunmovimientodemalwareybotnetshaciaserviciosdehosting.

Paraobtenermayorinformación,consultetambiénlasrecomendacionesparalacorreccióndebotsenredesdeISPdelGrupodeTrabajoenIngenieríadeInternetRFC6561.x


LanotificaciónalosusuariosfinalesnoselimitaalosISP.OtrasporcionesdelecosistemadeInternetquetienenunarelaciónconlosusuariosfinalespueden,ydeben,realizarlasnotificaciones.Porejemplo,sehadifundidoampliamentequetantoGooglecomoFacebookintentaronalertaralosusuariosfinalessobrelasposiblesinfeccionesasociadasconelmalwareDNSChanger.B)Lasmejoresprácticasrecomendadasparalaconcientización

1. Momentosadecuadosparalaenseñanzacaraacara:Eneldesafortunadocasoenelqueelsistemadeunclienteseinfecte,esepuedeserunexcelente"momentodeenseñanza"cuandolastécnicasseleccionadasparaevitarunanuevainfecciónpuedenserparticularmentedestacadas.

2. Sitiowebparalaseguridaddelcliente:Elejemplomásbásicoparaofrecereducaciónyconcientizaciónalclientees,probablemente,lacreacióndeunsitiowebsobreseguridadqueleofrecealclienteasesoramientoyaccesoaherramientas.

3. Adjuntosconlafacturación:SilosISP,enformarutinaria,envíaninformaciónalosclientesmediantecorreotradicional,estapuedeserotraoportunidadmásparacompartirrecomendacionesconelfindeprotegerelsistemadelcliente,yesalgoquesepuededistribuiratodoslosclientes,inclusoaaquellosquenohanmostradohastaesemomentosignoalgunodeinfección.

4. Anunciosdeserviciopúblico(PSA):Otraoportunidadparaeducaralosusuariosfinalessobreelmalwareseríaatravésdeanunciosdeserviciopúblicoatravésdelatelevisiónylaradio.Porejemplo,enlosEstadosUnidos,laCampañaNacionaldeConcientizaciónsobreCiberseguridad"PARA.PIENSA.CONÉCTATE"hadesarrolladonumerososanunciosdeserviciopúblicoquecomenzaronacircularenformaanualdesde2010.

5. Materialpromocional:Tambiénhayunavariedaddematerialespromocionalescomomousepads,tazas,camisetas,destapadoresdebotellas,bolígrafosolápices,uotrosobsequiosquepuedenayudaracrearconcienciasobrelasamenazasrelacionadasconmalwareybotnets.

6. Concursos:Otraoportunidadparacompartirunmensajedeciberseguridadpuedeestarasociadaconconcursos,enespecial,concursosdeensayosdestinadosausuariosenedadescolar.

7. Educaciónformal:Otrapartefundamentaldelaeducaciónylaconcientizaciónesincorporarenlasescuelasunplandeestudiosquetratetemasdeciberseguridadociudadaníadigital.Apuntaralaciberseguridadengeneral,yalmalwareylasbotnetsenparticular,esunacuestióndeseguridadpúblicaalargoplazo;yaligualqueotrascuestionesdeseguridadpública,esposibleunmejorabordajemedianteelestablecimientodenormassocialesqueenmuchoscasossepuedeninculcarmejorsiespartedelaeducaciónformaldeunindividuo.

Debidoalrápidocambioenelpanoramayenlacomplejidaddelasamenazasconmalwareybotnets,educaryconcientizarsólopuedeserefectivoenpartealahoradeprotegeralosusuariosfinales.Losesfuerzosdelámbitolegal,regulador,técnicoeindustrialsemantendránalavanguardiaencuantoalabordajedelproblemaconmalwareybotnets.Sinembargo,laeducaciónbásicaylaconcientizaciónsobrelasamenazasenlíneasiguensiendoingredientesnecesariosparaprotegeralosusuariosfinales.Lasindustrias,lasasociacionesylosgobiernosdebendesarrollarypromoverprogramasdecomunicaciónquebrindenalusuariofinalunconocimientobásicosobrelasamenazasylastécnicasfácilesdeentenderconelfindeaprenderaprotegerse.


Muchasdeestasiniciativasyaexistenypuedenserutilizadascomomodeloosimplementecomounafuentedematerialeducativo(véasemásadelante).Variosdeestosrecursossebasanenlascuestionesgeneralesrelacionadasconmalwareybotnetsenlugardehacerunestrictohincapiéenellos.Sinembargo,porlogeneral,esmejorproporcionaralusuariofinalunmensajecombinadosobreseguridadenInternetenlugarderealizarnumerosassugerenciassincoordinación.Enotraspalabras,lainformacióndebeserbreveycoherentesiemprequeseaposible.

● AlianzaNacionalparalaCiberseguridad-Mantengalimpiasucomputadora-http://www.stopthinkconnect.org/campaigns/keep-a-clean-machine(partedelaCampañaNacionaldeConcientizaciónenCiberseguridadPARA.PIENSA.CONÉCTATE.queapuntaabotnetsymalware)

● OficinaFederaldeInvestigación(FBI):http://www.fbi.gov/scams-safety

● RealPolicíaMontadadeCanadá(RCMP):http://www.rcmp-grc.gc.ca/is-si/index-eng.htm

● IniciativaNacionaldelosEstadosUnidosparalaEducaciónenCiberseguridad:http://csrc.nist.gov/nice/

● ComisiónFederaldeComerciodelosEstadosUnidos(FTC):https://www.onguardonline.govandhttp://www.consumer.ftc.gov/media/video-0103-hijacked-computer-what-dohttp://csrc.nist.gov/nice/

C)LasmejoresprácticasrecomendadasenelámbitolegalyregulatorioEnelcontextodelanálisisforensesobreelmalware,MalwareForensics:InvestigatingandAnalyzingMaliciousCodexisugierealgunasprácticasrecomendadasparalainvestigaciónsobremalware,queincluyen:

● Enmarcaryreenmarcarobjetivosymetasdeinvestigaciónenformatempranayfrecuente.

● Desdeelprincipio,comprenderlaimportanciadeidentificarpruebasinculpatorias,pruebasexculpatoriasylafaltadeprueba.

● Diseñarunametodologíaqueasegurequelasfasesdelainvestigaciónnoalterarán,eliminaránocrearánpruebas,nialertenalossospechososocomprometandeotramaneralainvestigación.

● Crearymantenerunmeticulosoanálisispasoapasoyunacadenadedocumentaciónencustodia.

● Nuncaperderelcontrolsobrelaspruebas.

● Definir,redefiniryadaptarestosprincipiosduranteelcursodeunainvestigaciónconelfindeclarificarylograrobjetivosdeinvestigaciónmásalcanzables.


● Considerarlassiguientescuestionesdeimportanciadesdeelprincipio:○ ¿Lajurisdiccióndeunainvestigaciónrequiereunacertificaciónolicenciaespecial

parallevaracaboelanálisisforensedigital?○ ¿Quéautoridadinvestigayquélímitesposeedichaautoridad?○ ¿Cuáleselalcancedelainvestigaciónautorizada?○ ¿Cómoseevitarálaintromisiónenlosderechosdeprivacidaddeloscustodiosde

datosrelevantes?

D)LasmejoresprácticasrecomendadasparaobtenercolaboracióndelosgobiernosylaindustriaLasprácticasrecomendadasparaeldesarrollodesoftwaresegurorepresentanlamejorprácticarecomendadapararestringirlapropagacióndemalware.ElForodeGarantíadeSoftwareparalaExcelenciaenelCódigoxii(SAFECode)esunainiciativamundiallideradaporlaindustriaparaidentificarypromoverlasmejoresprácticasrecomendadaseneldesarrolloylaprovisióndesoftware,hardwareyserviciosmássegurosyconfiables.ElGrupodeTrabajon.°7delConsejodeSeguridad,ConfiabilidadeInteroperabilidadenlasComunicaciones (CSRIC)delaComisiónFederaldeComunicacionesdelosEstadosUnidos(FCC)presentódeformavoluntariaunCódigodeConductaAntibotparaISPyoperadoresderedel22demarzode2012,comounainiciativadecolaboraciónentrelaindustriayelgobiernoxiii.ElCódigoponeelacentoenlosusuariosdeInternetresidencialeseincluyecincoáreasdeinterésparalosISP:educación,detección,notificación,correcciónycolaboración.ParaparticiparenesteCódigo,serequierequelosISPsparticipenenalmenosunaactividad(esdecir,adoptarunamedidasignificativa)encadaunadelassiguientesáreasgenerales:

● Educación:ayudaramaximizarlaeducaciónylaconcientizacióndelusuariofinalsobreproblemasconbotnetsysobrecómoayudaraprevenirlasinfeccionesdeporbots;

● Detección:identificarlaactividaddelbotnetenlareddelISP,obtenerinformaciónsobrelaactividaddelbotnetenlareddelISPopermitirquelosusuariosfinalespuedandeterminarporsímismosposiblesinfeccionesporbotsenlosdispositivosqueutilizancomousuariofinal;

● Notificación:daravisoalosclientesdelasospechadeinfeccionesporbotsohabilitarquelosclientesdeterminensitienenunainfecciónporbot;

● Corrección:proporcionarinformaciónalusuariofinalsobrecómopuedecorregirinfeccionesporbotsoayudaralusuariofinalenlacorreccióndelasinfeccionesporbot;

● Colaboración:compartirlaexperienciaadquiridaycomentariosconotrosISPapartirdelaparticipacióndelISPenlasactividadesdeSAFECode.

Lossistemasoperativosylasaplicacionesconunacorrectaconfiguración(protegida)tambiénpuedenreducirlatasadeinfecciónpormalware.LaAgenciaNacionaldeSeguridaddelosEstadosUnidos(NSA)proporcionapautassobrelaproteccióndeequiposcontratodaslasamenazas,inclusoelmalwarexiv.Existeinformaciónadicionalpararouters,conmutadoresinalámbricos,VoIP,servidoresdebasesdedatosyaplicacionesenelmismolugar.Además,esposibleencontrarrecursosparaprotegerelsistemaoperativoylasaplicacionescontramalwareenlaslistasdeverificacióndelInstitutoNacionaldeEstándaresyTecnología(NIST)xv(seincluyenlosdispositivosAndroid).


LaAgenciadeSeguridadeInternetyCorea(KISA)ofreceunserviciode"RefugioContraDDoS"deformagratuitaalaspequeñasempresasquenocuentanconlasherramientasadecuadasparaprotegersecontraunataqueDDoS.El"RefugioContraDDoS"filtraeltráficomaliciosodelataqueDDoSydejapasareltráficonormal.Asimismo,laKISAdetectalapresuntaIPzombienunatrampadespamylesolicitaalosISPnacionalesquetomenlasmedidasnecesariascontraestasdireccionesIPensusredes.Esposibleencontrarotrosesfuerzosespecíficosporpaísenlossiguientessitiosweb:

● Internacional:https://code.google.com/p/evidenceontology● Botfrei:https://www.botfrei.de/● Melani(Suiza):http://www.melani.admin.ch● Ficora(Finlandia):http://www.ficora.fi/en● ProyectoACDCdelaUE:http://www.acdc-project.eu/● Canadá:http://fightspam.gc.ca● Australia:http://www.acma.gov.au/Citizen/Stay-protected/My-mobile-world/Dealing-with-

mobile-spam/dealing-with-spam-i-acma

E)LasmejoresprácticasrecomendadasparalosISPEsposibleminimizarlaamenazademalwarereduciendooeliminandolosvectoresdeinfección.Elcorreoelectrónicoestodavíaunmétodomuyeficazparapropagarunmalware.Paramitigarestevector,lamayoríadelosISP,loshotelesylospuntosdeaccesogratuitossiguenlasmejoresprácticasrecomendadasdebloqueodecorreosaliente(puerto25)desdecualquierequipodelaredexceptodesdesuspropiosservidoresdecorreo.Estoimpidequelosequiposinfectadospropaguenelmalwareatravésdeuncorreodirecto.EnEuropa,algunosproveedoresdeInternetdieronunpasomásallá.Losusuariosdeestasredes,enformapredeterminada,sólotienenaccesoaInternet.Eltráficoparaelrestodelospuertosesdenegado.Paraofrecerlesalosusuariossofisticadosunamayorflexibilidad,estosISPproporcionanherramientasqueautorizanaciertosusuariosautilizarotrospuertos/protocolosyservicios.Enamboscasos,lasupervisióndelosintentosdeconexiónbloqueadossepuedeutilizarcomounindicadordealertatempranadeequiposinfectadosconmalware,asícomotambiénunobstáculoparalapropagacióndemalwareylascomunicacionesdecontrolesycomandos.F)LasmejoresrecomendacionesparaservidoresyproveedoresdehostingEnlaactualidad,unodelosreservoriosmásprevalentesdemalwaresonlosservidoreswebafectados.Estosservidoresseinfectancuandonoseaplicanlosparchesdeseguridadactualesparaelsistemaoperativoyparalasaplicacionesdesoporteeinfraestructuraweb,odebidoacontraseñasdeusuarioinseguras.Lasinfeccionesseexacerbanenlamedianaypequeñaempresayenmuchosproveedoresdehostingdebidoaataquemenoresdeempleados/personal.Algunos


utilizanlaautomatizaciónparaaliviarestascuestiones;estaprácticadeberíaserunaprácticarecomendadaanivelmundial.

1. Requisitosdelascondicionesdeservicioparaactualizacionesoportunasdeseguridad:Todoslosclientesdeberíanacordaractualizarlosparchesdeseguridadactualesopermitirqueelproveedordehostingactualicelainfraestructuraensusdirectorios.

2. Mantenerlosparchesdeseguridadactualizados:Todoslosparchesdeseguridaddebenestaractualizados.Esteprocesopuedesermanual,enelcasodesistemasmuypequeños,oprogramado,enelcasodelosproveedoresdehostingmásimportantes.

3. Utilizarherramientasdeauditoríaparaidentificarunhost:Lasherramientaspararealizarunaauditoríaaniveldeservidorenelcasodeversionesdesoftwareinsegurassedeberíanejecutarcomomínimosemanapormedio,yelsoftwareidentificadosedeberíaserparchear.

4. UtilizarsoftwaredeseguridaddeIT:Lasherramientas(comoTripwire)sedeberíanutilizarparasupervisarlaintegridaddecadaservidor.

5. Ejecutarunantivirus:Ejecuteunantivirusconfrecuencia(siesposibledosantivirusdiferentes)parasupervisararchivosvariablesdelhostparacontagio.

6. Considerarelusodeservidoresenlanube:Puestoquelosservidoresenlanubesonmantenidosyutilizadospormotivosprofesionalespormuchosclientes,tiendenasermásseguros;porotraparte,puedenserunobjetivomásinteresanteparaelataque(porejemplo,unDDoS).Sinembargo,losservidoresenlanubesedeberíanconsiderarunaalternativaposibleparaunamejorseguridad,teniendoencuentalareputacióndelproveedorenlanube,lasmedidasdeseguridaddefinidas,ysilosservidoreshansidoatacadosalgunavez.Másadelanteenesteinforme,encontrarámásinformaciónsobreamenazasalserviciodehostingyalaNubeylasmejoresprácticasrecomendadas.


¿Porquéla"ph"?

Eltérmino"phishing"provienedelapalabra"fish"("pescar"),dadoquelosestafadoresdeInternetusan"señuelos"para"pescar"lainformaciónfinancieradeunusuarioylosdatosdelacontraseña.Lospiratasinformáticostienenunaadorabletendenciaacambiarlaletraefepor"ph",y"phishing"esunodeestosejemplos.Latransformacióndelaefeala"ph"noesunaestrategianuevaentrelospiratasinformáticos;estefenómenoaparecióporprimeravezafinalesdeladécadadelossesentaentrelospiratastelefónicos,queseautodenominaban"phonephreaks".

PHISHINGEINGENIERÍASOCIALElphishingserefiereatécnicasutilizadasporactoresmaliciososparaengañaraunavíctimaparaquerealiceunaacciónquedelocontrarionotomaríaenlínea,confrecuenciarevelandoinformaciónconfidencial,comodatospersonalesofinancieros.Losestafadoressepresentancomoentidadesconocidas(amigosoempresas)yaprovechanrelacionesdeconfianzaexistentesparaafectarasuvíctima.Elphishinghaavanzadoininterrumpidamenteencuantoafrecuencia,sofisticaciónyperjuicioprovocadodesdesusinicioscomoamenazaamediadosdeladécadadelosnoventaynomuestrasignosdeagonía.Eltipodedatosquesebuscamedianteelphishingtambiénsehavueltocadavezmásvalioso,desdeelsimpleaccesoauncorreoelectrónicoycuentasbancariasdeunconsumidorqueocasionabanpérdidasindividualesdemilesdedólareshastalosobjetivosactualescomocuentascorporativasconprivilegiosespeciales("súperusuario")einformaciónbancariadeempresas.Estosataquespuedenconduciraunaviolaciónmasivadedatosmediantelaqueserobanenmasadatospersonalesdelosclientes,seexfiltralapropiedadintelectualdeunaempresaosedestruyendatoseinclusosistemasfísicos.Uneventopuedeinvolucrarpropiedadintelectualdeunaempresayproducirpérdidasfinancierasdehastadecenasoinclusocientosdemillonesdedólares,yexisteunacantidadincalculabledeeventosqueseproducentodoslosaños.Enlaactualidad,elsuplantadordeidentidadfalsificamensajesysitioswebquedifícilesdedistinguirdelosauténticos,medianteejércitosdeequiposlegítimosafectados(botnets)ysoftwareinfectado(malware)conelmismofinquepreviamenterequeríaunainteracciónmáspúblicaconelusuariofinal.Elsuplantadordeidentidadtambiénhadesarrolladounmalwaremóvilquepuedeinutilizaralgunasmedidasdeprotección.

ELDAÑOPARALOSCONSUMIDORESYLAINDUSTRIAEsdifícilcalcularelimpactodelphishingenlosconsumidoresylaeconomía,ylosresultadossonmuydiferentes.Unpuntoenelquesehallegadoaunacuerdogeneralesquelosataquesdephishingestánaumentando.ElinformeanualdeInvestigacionessobreViolacióndeDatosdeVerizonmuestraquedespuésdeunabrevecaídaen2010,elphishinghaaumentadodurantevariosañosconsecutivos.En2014,seinformóqueelphishingeralaterceracausadeviolacióndedatosxviyquehabíaaumentadoenun23%,de253a312,en2013.Tambiénen2014,losatacantescontinuaronconlaviolaciónderedes,conataquespuntualesaobjetivosimportantes,queaumentaronsun8%delosataquesengeneral.Estosataqueseranmássofisticadosyespecíficos,conun14%menosdecorreoelectrónicoenviadohaciaun20%menosdeobjetivos.xvii


Lasestafasdel419:Setratódelasformastempranasypocosofisticadasdephishing,querecibeelnombreporelCapítulo38,Sección419delCódigoPenalnigerianoquepenalizaestetipodefraude."Cualquierpersonaquemedianteunpretextofalso,yconintencióndedefraudar,obtengadeotrapersonacualquiercosapasibledeserrobado,oinduzcaaotrapersonaaentregarauntercerocualquiercosapasibledeserrobado,esculpablededelitoyserácastigadoconprisióndetresaños".Estasfueronlosfamososcorreoselectrónicosoesquemasdepagoporadelantadodelpríncipenigerianoenlosquelavíctimaesengañadaparagastardineroacambiodeobtenerriquezasincalculablesafinaldelrégimen.

ElGrupodeTrabajoAntiphishing(APWG)presentainformestrimestralessobrelastendenciasdelphishing.Elinformepresentadoen2014observóelmayornúmerodeataquesdephishingdesde2009.Elmismoinformedocumentóelmayornúmerodemarcasutilizadasconfinesdephishingenlahistoria,con756durantelaprimeramitadde2014.xviii,xixElInformeMensualsobreFraudedelaRSApublicadoendiciembrede2014informópérdidasporphishingdeUSD453millonesenunúnicomesanivelmundialopérdidasanualesporaproximadamenteUSD5000millones,conun75%delosataquesapuntandoalosEstadosUnidosyCanadá.xxSinembargo,mientrasqueelphishingesunapequeñapartedelaspérdidasmundialesestimadasporciberdelincuencia,queseestimanenUSD445000millonesxxi,USD5000millonesrepresentanunapérdidaimportanteyevitable.Asimismo,laprevenciónsehaconvertidoenunatareaimportante,conuntiempoparahacerclicpromediodeunminutoyveintidóssegundos,ylosdatosdelAPWGquesugierenquelainfraestructurautilizadapararealizarestascampañasesbastanteextensaconmásde9000dominiosycasi50000URLsuplantadasquesedescubrenpormesentrelosmiembrosdelGrupo.

ELPANORAMADELPHISHINGElphishingseclasificasegúnlostiposdeinformaciónbuscados,lostiposdeblancoatacadosyloscanalesmedianteslosquesellevanacabolosataques.Elphishingseidentificageneralmentemediantecorreoelectrónico,SMSuotromensajequecontieneunenlacequeredirigealdestinatarioaunsitiowebfalsoquesolicitalainformacióndelacuentadelusuario,porejemplonombredeusuarioycontraseña,númerodetarjetadecréditouotrainformaciónpersonal.LOSOBJETIVOSDELOSATAQUESDEPHISHING:QUÉBUSCANLainformaciónobtenidaporelphishingseutilizageneralmenteparaalgúntipoderobofinanciero,directamentecontralavíctima,ocontraotrodestinocomoelempleadordelavíctima.DadoquemonetizarlainformacióndeunatarjetadecréditoyelnúmerodelSeguroSocialescadavezmásdifícil,"lospiratasinformáticosirándetrásdecualquierpersonaqueposeainformaciónparalaatencióndelasalud",dijoJohnPescatore,directordenuevastendenciasdeseguridaddelInstitutoSANS,yagregóqueenlosúltimosañoslospiratasinformáticoshanfijadosuobjetivocadavezmásenlosregistroselectrónicosdelasalud(EHR)quefácilmenteseconviertenendineroenefectivo.xxiiAdemás,elphishinghasidoempleadocomoprimerpasoenlaviolaciónderedescorporativasygubernamentalesmediantelaobtencióndecredencialesquepermitenelaccesoalossistemas.Elphishing,ensímismo,esgeneralmentesólounprimerpasoynonecesariamenteresultadeinmediatoenunrobofinancierodirecto.Lacrecientetendenciaarobarregistrosdesaludgeneralmentecomienzaconataquesdephishingparaobteneraccesoalossistemas.Unavezobtenidoelacceso,losladronesutilizanotrasherramientas,comomalwareyspyware,pararobarinformaciónconfidencial:enelprimertrimestre


de2015,másde120millonespacientesenlosEstadosUnidoshansufridoelrobodesusregistros.xxiiiAdemás,elspearphishingparaelrobodecredencialesdeempleadoscorporativossueleserunodelosprimerospasosenlaviolacióndedatosagranescalay,porlotanto,eselprimerpasodeunapartesignificativadepérdidasimpactantesatribuidasalaviolacióndedatos.

● Lastécnicasenlíneayfueradelíneaqueengañanalosusuariosparaquedivulgueninformaciónconfrecuenciasedenominan"ingenieríasocial"yprecedenalaInternet.Cuandoseinicióelphishingporcorreoelectrónico,losatacantesnoeranmuyexigentes.Enviabancorreoselectrónicosgeneralesatodaslaspersonasposiblesyesperabanqueunporcentajefueraengañado.Amedidaquelasdefensascontraestosataquessefortalecieron,losatacantesrefinaronsusestrategias.Existencuatrotiposreconocidosdephishing:

i) unaredirecciónmedianteunenlacecontenidoenunmensajehaciaunaubicaciónen

Internetquepuedecontenerunsitiofalsodeunbanco,comercioositiodecorreoelectrónico;

ii) correoselectrónicosconunadjuntohtmlquecontienelaformadephishing;iii)unenlace/unaenumeracióndeunnúmerotelefónicosobreelqueunavíctimadebehacer

clicollamar;oiv) unphishingsimpleconunarespuesta,dondeelmensajecontieneunasolicituddelas

credencialesdeseadasyselesolicitaalusuarioquerespondaconlainformación.Enlasdosprimerasformas,eldestinatariodelmensajeproporcionainformaciónpersonalconfrecuenciamedianteelenvíodeuncorreoelectrónicoaldelincuentequecontienelascredencialesrobadas.Elphishingbasadoenunnúmerotelefónicopuedeinvolucrarunsistemaautomatizadodecontestadortelefónicolesolicitaalavíctimasuscredencialesounapersonaqueintentaaplicarlaingenieríasocial.Lasestafasdel419,conlapromesadeobtenciónderiquezasincalculables,yotrosfraudesporpagoadelantadoeranlasformastempranasdeingenieríasocialmediantecorreoelectrónico.Apesardelosavancesenlastécnicasdephishing,estasestafasaúnpersisten.

● Spearphishing/Phishingdirigido:Mientrasquelosintentosdephishingtradicionalconfrecuenciaseenvíanenformaindiscriminadaacasitodoslosusuarios,losataquesdephishingdirigidoserealizancontraciertaspersonasuorganizaciones.Estetipodephishinggeneralmenteimplicaunaextensainvestigaciónporpartedelosestafadores,porejemplo,conocerpasatiempos,donacionesdecaridad,exempleadoresyredessocialesfavoritas,conelfindequeelataqueseamuchomásverosímilycreíble.Esposiblepersonalizarelataqueparaengañaralasvíctimasquesontradicionalmentemásvaliosas(ysospechosas)queelusuariopromedio.Sepodríatratardeempleadosdeunacompañíablancoqueunatacanteintentapenetrar.Unavariantedelspearphishingqueesparticularmenteefectivaimplicaenviaralavíctimaunmensajefalsoquepareceserdeunproveedor,acreedoruorganizaciónconocidosconinstruccionesdepagofraudulentasparatransaccionesquelavíctimaesperaoreconocecomonormales.

● VoIP/Vishing:AmedidaquelasactividadestelefónicasysimilaresmigranamecanismosbasadosenlaInternet,queseconocenampliamentecomo"VozsobreIP"oVoIP,losfraudestambiénseadaptanalamigración.Laintegracióndeequiposconsistemasdeteléfonohaceposibleengañaralasvíctimasparaquehaganclicenenlacesfraudulentosqueautomáticamenterealizanunallamadatelefónica,enlugardeiraunsitioweb.Lallamadaen


símismapuedegenerardirectamenteuningresoparaelatacante,opuededirigiralavíctimaauningenierosocialquelaconvencepararevelarinformación.Losteléfonosinteligentesmaximizanlaamenazaalsimplificarestaintegracióntelefonía/Internetparaelusuario.Paraobtenermayorinformación,véaselasecciónAmenazastelefónicasymóvilesdeesteinforme.

● Fax:Elfaxfueunodelosprimerosmétodosdephishingelectrónicoyhasidoreemplazadoprincipalmenteporlosotrosmétodosdeataquequeaquíseanalizan.Sinembargo,coneladvenimientodelfaxbasadoenInternetquedisminuíaloscostos,estemétodoexperimentaunresurgimiento.Dadoquesuusonoesfrecuente,nosiempresedetecta.

● Redessociales:Creanunaexperienciadegrupoqueconduceaunsentidodeconfianzaque,asuvez,esbeneficiosoparalaingenieríasocialqueatacalasrelacionesenlíneadelavíctima.Estopuedefuncionarmuybiencuandoelatacanteimitaelmensajedeunamigoenlíneadeconfianzaohaafectadolacuentadeunamigo.

LÍNEADETIEMPODEUNATÍPICACAMPAÑADEPHISHINGUnacampañadephishingposeecuatroelementos:

1. Mensajeinicial(spam):Elusuariofinalrecibeyleeelmensaje.Parecesergenuinoy,porlotanto,tieneunaltogradodecredibilidad;porlogeneral,contienecomponentesdeunmensajelegítimoperofalsificado,ypareceprocederdeunafuentelegítima,comoelbancodelavíctima.

2. Llamadoalaacción(clicdelusuario):Sealientaalavíctimaahacerclicenunenlaceoresponderelmensajeconinformaciónconfidencial.Lasllamadasalaacciónmáseficacesseaprovechandelmiedoydelacodicia,yaseapersonalmenteoenrelaciónconlaorganizaciónparalaquetrabajaeldestinatario.Unmensajebasadoenelmiedopuedeindicarquelavíctimayasehavistoafectadaopuedeperderaccesoaunrecursosinoadoptaunamedida,oquelaempresaestásujetaaunademandaosancióneconómica.Unmensajebasadoenlacodiciapuedeprometerundescuentoounarecompensafinancieraconlaparticipaciónenunaencuestaoelenvíodeinformación.

3. Contenidomalicioso:Estecontenidohacequelavíctimadivulguesuinformaciónconfidencial.Puedeestarenelmensajeinicialoenunsitiowebblanco,denominado"páginadellegada".Elsitiowebpuedeestarafectado,opuedetenerunnombrededominiodeaspectosimilarparaconfundiralusuariofinal.Lacarga,porlogeneral,poseeunaformaquerequierequelavíctimaintroduzcainformaciónconfidencial.Algunossitiosdephishingtambiéncontienenunmecanismode"descargaoculta"enelquelavisitadeldestinatarioalsitiowebiniciaunprocesoautomatizadodeataqueeinventariodelsistemaquesetraduceenlaintroducciónsilenciosadeunmalwareenelequipodelavíctima,quelepermitealosdelincuentesobtenerdatosconfidenciales,paraposteriormenteredirigiralavíctimaalsitiolegítimo.

4. Ataque/Exfiltración/Obtenerinformación:Eljuegofinaldecualquiercampañadephishingesconvertirlascredencialesrecolectadasenvalorparalosdelincuentes.Sehaobservadounaampliagamadeesquemas:elmássimpleesiniciarsesiónenlacuentayutilizarlaparatransferirfondosohacercompras,mientrasqueotrosataquesmuchomás


sofisticadosutilizanenprimerlugarelphishingparaobteneraccesoaunacuentadecorreoelectrónicoyluegolautilizancomobaseparalaingenieríasocialadicionaly/opropagacióndemalwareconlaposibilidaddeinfiltrarseafondoenlaorganizacióndeldestinatario.Tambiénsehanobservadointentosdeextorsión.

Existeunaseriedepuntosenlosqueesposibleprevenirointerrumpirelflujodetrabajodeunacampañadephishing,comoseindicaeneldiagramaacontinuación:

EVOLUCIÓNDELOSMÉTODOSDEATAQUELaformamásconocidayoriginaldephishinginvolucróadelincuentesqueiniciabansesióndirectamenteenunainstituciónfinancieraeintentabantransferirfondosdelacuentadelavíctimaaotracuentacontroladaporlosdelincuentes.Cuandolasinstitucionesfinancierascomenzaronadetectarybloquearlastransferenciasdedinerointernacionalesyfraudulentasconmayorfacilidad,losdelincuentesseadaptaronalascircunstancias.Transferíaneldineroaunacuentanacionalodelmismobanco,yelfraudeconfrecuencianosedetectabatanfácilmente.Avecesestoselograbamedianteelpagodefacturasenlíneaosimplestransferenciascuentaacuenta.Enestassituaciones,eldelincuente,queconfrecuenciaestabaenelextranjero,necesitabalosserviciosdedelincuentesnacionalesqueactuabancomomulasdedinero.

Enotroscasos,lallamadaalaaccióncontenidaenelcorreoelectrónicodephishingpretendeobtenerladivulgacióndedatosdeunatarjetadecrédito.Conelnúmerodeunatarjetadecrédito,lafechadevencimientoyelcódigoCVV,latarjetasepuedevenderenelmercadonegrooseutilizaparatodoslostiposdefraudecontarjetanopresente.Conelnúmerodelatarjetadecrédito,lafechadevencimientoyelCVV,elsuplantadordeidentidadvisitacasiacualquierminoristaenlíneayhacecompras.Paraevitarsudetección,seutilizanmercadosilegalessecundariosparaelreenvíoyserviciosdeterminalesremotos.Paraderrotaralossistemasdedeteccióndefraudeminorista,lossuplantadoresdeidentidadcompraránelusodeunadirecciónIPdeserviciosdeterminalesremotosenunáreageográficaquecoincidaconlageografíadeldueñodelatarjetadecrédito.Asimismo,sise


debenrealizarenvíos,tambiénseutilizaráunlugarpararecibirlospaquetesquecoincidaconlageografíadelavíctima.

Asimismo,elataqueporreutilizacióndecontraseñasesotraamenazaalconsumidorenlíneaquepuedeserresultadodeunataquedephishing.Debidoaquelaspersonasconfrecuenciautilizanlamismacontraseñaenmuchossistemas,losdelincuentessoncapacesdeutilizarlamismaidentificacióndeusuarioycontraseñaendiferenteslugares,porejemplounainstituciónfinanciera,minoristasenlínea,einclusosistemasconunVPNcorporativo(véaselasecciónMalwareybotnetsparaobtenermayorinformaciónsobrelacreaciónyelalmacenamientodecontraseñasseguras).Laviolacióndedatosagranescalaquehasidonoticiaenlosúltimosañosconfrecuenciacomienzaconalgúntipodephishingdirigidoospearphishingquetieneporvíctimaaejecutivosopersonasconaccesoaloscontrolesdeunaredcorporativa.Estetipodeataqueshanllevadoadirigirlosdelitosfinancieros,comoelrobodeinformaciónpersonalycredencialesdeusuario,ysureventaenelsubmundodeldelito.Unnúmerograndeycrecientedelascampañasdespearphishingtambiénpromuevenelespionajeindustrial,losesquemasdeextorsión,lainfiltraciónpatrocinadaporelestadoyotrosdelitosnofinancieros.ELAUMENTOENELDESARROLLODELOSATAQUESDEPHISHINGAmedidaquemásorganizacionesmigranasistemasdecorreoelectrónicosbasadosenlaWeb,losataquesdephishingsehanvueltomásfrecuentespordosrazonesprincipales.Enprimerlugar,ylamentablemente,muchasorganizacionesutilizanentornosdeiniciodesesiónúnico,conlamismacontraseñatantoparacuentasdecorreoelectrónicocomoparalastareasderecursoshumanos,comolacuentabancariadondesetransfiereeldineroeneldíadepago.Ensegundolugar,unavezqueseaccedeaunacuentadecorreoelectrónicocorporativo,eldelincuentetieneunaplataformadesdelaquepuedenestudiarlaorganización,saberquiénpuedeteneraccesoalosmásvaliososactivosdigitalesdelacompañía,porejemplolascuentasfinancierasylapropiedadintelectual,yapuntaraesosempleados.Estetipodeataquessepondránenmarchaapartirdeunacuentadecorreoelectrónicodeunempleadoquelaempresaconoceyenquiénconfía,yaseamedianteingenieríasocialolatransferenciademalwaremedianteadjuntosdecorreoelectrónicoqueimitanelmodelodelosdocumentoscomercialesnormalesqueseencuentranenlacuentaafectada.Inclusoparaelcorreoelectróniconocorporativo,elataquedephishingcontralosproveedoresdecorreoelectrónico,comoGmail,Yahoo,OutlookyAOLescadavezmásfrecuentepormuchasdelasmismasrazones.Estascuentaspuedenparecer"objetivosdepocovalor"ynoestánvigiladoscontantoesmerocomoelresto;sinembargo,controlanlacapacidadderestablecercontraseñasodirigirelaccesoaotrascuentaspararealizarunaampliavariedaddeataques.Estascuentasdecorreoelectrónicoafectadashandadolugaraunvolumenimportantededelitosfinancieros(porejemplo,lacuentadeadquisición,transferenciaselectrónicasfraudulentas)queestánbiendocumentadasporlasentidadesfinancieras.Otrosservicios,comolasredessocialesbrindanun"iniciodesesiónúnico"paraunaampliagamadeserviciosalconsumidor.Estohacequeestetipodecuentasseanblancosparalossuplantadoresdeidentidad,yaquepuedenmonetizardirectamentedichosservicios,redirigirenvíosdeproductoso,engeneral,tomarelcontroldemuchosaspectosdelaidentidadenlíneadeunapersona.ElsiguientediagramamuestraquesilospiratasinformáticospuedeningresarenunacuentadeGoogle,confrecuenciatienenaccesoaunaenormecantidaddeotrosdatos.SepuededecirlomismodecuentasdeAppleyiTunes.


Lacrecientesofisticacióndelosdelincuentesloshallevadoorientarseaelementosdelainfraestructuraquelesproporcionanunmayorpotencial.Porejemplo,lossuplantadoresdeidentidadahoratienenaccesoalosproveedoresdeserviciosdecorreoelectrónico(ESP)deterceros,queenvíancorreoelectrónicomasivoennombredelasmarcasmásimportantesdelmundo.LosdelincuentesaccedenalainfraestructuradeunESPmediantecuentasafectadas,robanlistasdeclientesyenvíanspamomalwaredephishingalosdestinatariosinconscientes,quecreenqueelmensajeperteneceaunalistadecorreodeunaempresalegítima.OtratendenciarecienteeselaumentodelosataquesdeelementosdeinfraestructuradeInternet,comocuentasdehostingocredencialesderegistrodedominios.Unavezquelossuplantadoresdeidentidadobtienenaccesoaloscontrolesfundamentalesdelainfraestructuracomoestos,puedenestablecersitiosweb,lanzarnuevosataquesycrearnuevoselementosdeinfraestructura,comonombresdedominiopararotarsusesquemas(véaselasecciónServiciosdehostingyenlanube).Unatácticaenparticularperjudicialesañadirnombresdehostmaliciososaunnombrededominiosólidoconunabuenareputación,sinmodificareldominiooriginal.Estopermitealosdelincuentesatacarlabuenareputacióndeundominiomediantesuscampañasparaevitarfiltrosybloqueosocierres(véaselasecciónNombrededominioydireccionesIP).


LASMEJORESPRÁCTICASRECOMENDADASCONTRAELPHISHINGYLAINGENIERÍASOCIALExisteunaampliagamademejoresprácticasrecomendadasantiphishingadisposicióndelasorganizacionesparaprotegersumarcaysusclientes.Dichoesto,nohayun"santoremedio"paralosdesafíosqueplanteaelphishing,yesnecesarioabordarloentodoelciclodelproceso:cualquierfasequesepuedaimpedirpuedeprotegeradocenasdemillonesdevíctimasenfuncióndelaescaladelataqueyelalcancedevariassoluciones.Lasempresasdebenabordaresteproblemaconunenfoquede"defensaenprofundidad",asumiendoquealgunasmedidasseránefectivasparaevitarquelleguenlosprimeroscorreoselectrónicos,peroquealgunasnoservirányseráprecisodefinirotrasdefensas.Enestasecciónseresaltaránalgunasdelasprincipalestécnicasymejoresprácticasrecomendadas,peroseobtendrámuchomásdetalleyasesoramientoespecíficoapartirdediversasorganizacionesdelaindustria,publicacionesgubernamentalesyproveedoresdesolucionesantiphishing.1. PrevenirelataquedephishingdemaneraexitosaElprimerpuntoparaabordarlosataquesdephishingesimpedirquealcancenalasvíctimasy/omanteneralasvíctimasalejadasdelossitiosdephishingenprimerlugar.Haytrespuntosdecontactoprimarioparalograresteobjetivo:detenerelflujodecorreoselectrónicosdeseñuelo,evitarquelosseñueloslleguenalosusuariosybloquearelaccesoalossitioswebdephishingyaotrosactivos.

a. PrevenirelenvíodeemailcomoseñueloLosmecanismosdeautenticaciónbasadosencorreoelectrónicoquesonrelativamenterecientesfacilitanalgunasproteccionesutilizadasconfacilidadcontraalgunasformasdephishingysuplantación.Estastécnicassebasanenlacreacióndeunainfraestructuradeautenticacióndecorreoelectrónico.Losmecanismosdeautenticacióndecorreoelectrónicomásfrecuentessonelconvenioderemitentes(SPF)xxivyelcorreoelectrónicoidentificadoporclavededominio(DKIM)xxv,queempleannombresdedominioxxvicomoidentificadoresvalidados.Estoslepermitenalpropietariodeunnombrededominiocontrolarelusodesudominioenelcorreoelectrónicoyreducirloscasosdesuplantacióndeidentidad.Conelfindeabordardeformaexitosalosproblemasdephishingysuplantacióndedominios,lospropietariosdemarcaseISPnecesitancompartirinformaciónentresísobresuactividaddecorreoelectrónico,porejemplo,laspolíticasdeautenticaciónylosinformessobreproblemas.Históricamente,estosarreglosfueronbilateralesyprivados,entrelospropietariosdemarcasylosISPindividuales.Sinembargo,unconsorciodelaindustriaadhocdesarrollóunaespecificacióntécnicallamadaAutenticación,InformeyConformidaddeMensajesBasadosenDominios(DMARC)xxvii.LaDMARC,introducidaaprincipiosde2012,haceusodeSPFyDKIMparaproporcionarlospropietariosdemarcasconunmedioparacomunicarfácilmentealosISPcómodeseanmanejarlosmensajesautenticadosdemaneraincorrecta. Asimismo,laDMARClesproporcionaalosISPyaotrosdestinatariosdecorreoelectrónicounmecanismoparaelenvíoalospropietariosdelasmarcadecomentariosacercadelfuncionamientodelaherramientadeautenticacióndecorreoelectrónico,asícomotambiéndelainteligenciaanivelforense.


Paralasoperacionesdeenvíodecorreoelectrónico,elabordajerecomendadoeselsiguiente:

● Auditar:medianteelinventariodetodoslosequiposysistemasqueenvíancorreoelectrónicoennombredelaorganización,inclusosistemasexternos,comoESP,uotrostercerosautorizados

● Publicar:losregistrosdepolíticasyautenticaciónenelDNS

● Modificar:softwareparaelenvíodecorreoelectrónicoconelfindeutilizarlaautenticaciónycumplirlapolítica

● Establecer:relacionesdeinformesobreactividadqueutilizaelnombrededominio

● Supervisar:todoslosinformesdisponiblesparalospatronesquerequierenatención

● Mantener:lasoperacionesparalaconformidadencurso

Paralasoperacionesderecepcióndecorreoelectrónico,elrespaldodeestosnuevosmecanismosimplicaprincipalmenteañadirmódulosalossistemasdefiltradodecorreoelectrónicoexistentes.

b. FiltrodespamentranteUnodelosmétodosmásimportantesparadetenereldañodeunataquedephishingeslograrunfiltradoefectivodespam.Habilitarelfiltradodespamesimportante,peroelfiltradoefectivoimplicaalgomásquetenerunproductocomercialinstaladoenlapuertadeenlacedecorreoelectrónico.Lasempresasyagenciasgubernamentalestambiéndebenmejorarsufiltrodespammediantelaincorporacióndedatossobreamenazasqueayudanamejorarelfiltrodespam.Estainformaciónsepuedeobtenerapartirdelistasnegrasgeneradaspororganizacionesespecializadas,comoSpamhaus,SURBLyotras(véaselasreferenciasalfinaldeestasección).Elfiltradodespamestáestrechamenteasociadoalapresentacióndeinformes,yaqueloscorreoselectrónicosdephishingquetraspasanconéxitounfiltrodespamsonlosquehayqueinformarconmayorurgencia.Muchosserviciosdecorreoelectrónicoofrecenunbotón"Marcarcomospam"o"Marcarcomophishing",quelosusuariosdebenutilizar.Lastécnicasparaelfiltradodespamincluyen:

● Autenticación:losremitentesdecorreoelectrónicotienenlaposibilidaddeinscribirse

enlosmétodosdeautenticación,porejemploDKIM,SPFyDMARC.Cuandoserecibeelcorreoelectrónico,secompruebalapresenciadeuntokendeautenticación.SegúnDMARC,eldominiodeenvíosecompruebaparaversiserequiereautenticación.Sieltokennoesválidoonoestápresente,elcorreoelectrónicopuedeserfraudulento.

● ReputacióndedireccionesIP:ladirecciónIPqueenvíaelcorreoelectrónicopuedeyaestarasociadaconelenvíodespam.AlrechazarcorreoselectrónicosdedireccionesIPconunamalareputación,esposiblebloquearunagrancantidaddespam.

● Filtrodecontenido:elfiltradobasadoenreglas,lacomprobacióndecorreoelectrónicoparadetectarlapresenciadepalabrasofrasesprohibidasoelanálisisestadísticodeladireccióndecorreoelectrónico(filtrodespambayesiano)puedeidentificarloscorreoselectrónicosqueposiblementeseanspam.Informaralcontenidodelosfiltros


losdatosdelosserviciosdereputaciónparalosnombresdehosty/oURL(porejemplo,SpamhauscomoDNSBL/SURBL)mejoraengranmedidaestatécnica.

● Trampasdespam:mediantelarecopilacióndecorreoelectrónicoenviadoalasdireccionesquenodebenrecibirningúncorreoelectrónico(usuariosquenoexisten),esposibleidentificarpatronesyaplicarlosparabloquearelcorreoelectrónicoenviadoadireccioneslegítimas.

c. Bloqueodelnavegadoryotros

Laproteccióncontraataquesdephishingestáintegradaenmuchosproductosyserviciosquelosconsumidores,lasempresasyotrasorganizacionespuedenaprovechar.Conlainformacióngeneralizadadelosataquesdephishingrealizadapormarcasyelpúblicoengeneral,estosdatosingresanalosproductosqueseexponenalphishing,comonavegadoresweb,servidoresdecorreoelectrónicoyclientes,dispositivosdeseguridad(firewalls,sistemasIDS/IPS,proxydetráficoweb,DNSdefirewalls),yproveedoresdeserviciosdecorreoelectrónicoenlínea.Estasherramientas/Estosdispositivospuedenproporcionarunaprotecciónaúnmejorsiseañadendatosdeinteligenciasobreamenazas.Porejemplo,datossobrereputacióndedireccionesIP,nombresdehost/dominio,URL,direccionesdecorreoelectrónicoyotros"indicadores"decomportamientopocofiable.Estosseenvíanenvariasformas,porejemplo,DNSBL,RBL,listasdebloqueodeURLyunatecnologíarelativamentenuevallamadaZonasdePolíticadeRespuestadeDNS(RPZ).DichastecnologíasysusdatossepuedenimplementarparacortartodacomunicaciónaubicacionesdeInternetbloqueadas.Lasempresasdebenelaborarnormasoperativasypolíticasparagarantizarquehabilitanestetipodeserviciosensusentornos.Estotieneparticularimportanciaparalosproductosdepuertadeenlacedecorreoelectrónicoyherramientasgeneralesdeseguridadderedparacrearunadefensa"encapas".Estaposturadeseguridaddebeestarbienplanificadayactualizadadeformaregular.Losusuariosindividualestambiénsepuedenprotegerdemuchosataquessimplementehabilitandoestetipodeserviciosensusnavegadores(porejemplo,navegaciónseguradeGoogle,filtrodephishingdeMicrosoft),laincorporacióndeuna"barradeherramientas"asunavegador,quepermitelaconfiguraciónantiphishingyantispamenlacuentadecorreowebcuentadecorreoylaactivacióndelasproteccionesantiphishingenelantivirus.

2. DetecciónLadeteccióndeataquesdephishingevitaelataqueensí,perotambiénayudaadetectarataquesfuturos.Además,sinosedetecta,lossitiosnopuedenserbuscadosparaelanálisisforense,bloqueadosenlosnavegadoresyfiltrosdespam,cerradosoinvestigados.Ladeteccióntomavariasformas,segúnelpuntodeobservacióndesdeelqueseestáproduciendoladetección.Cuandohablamosdedetección,elobjetivoprincipalesdetectarlanuevacampañadesitiodephishingocorreoelectrónico,peroconfrecuencialosmediosparaladetecciónestaránenelanálisisdelflujodemensajesentrelosdelincuentesylasposiblesvíctimas.

● Consumidor/Empleado:dadoquelosconsumidoressonlosdestinatariosmásprobablesdelmensaje,esimportantequelasmarcasquesonposiblesblancosecomuniquedemaneraefectivaconsusclientessobrecómoprocedersiobservanuncorreoelectrónicosospechoso.Losataquesdespearphishingestarándirigidosalosempleados.Ladetecciónserealizaráconfrecuenciamedianteuncorreoelectrónicovistoporunclienteoempleadodelamarcablanco,porloqueproporcionareducación


delusuarioylaposibilidaddepresentarinformessonpasosimportantesparaladeteccióndeataques(véasemásadelante).

● Correoelectrónicorechazado:durantemuchosaños,unodelosmétodosmásefectivosparaconvenceraunaposiblevíctimadequeunmensajedephishingeslegítimohasidoutilizareldominiodeenvíodelamarcaimitada.Loscorreoselectrónicosdesde"@paypal.com"o"@bankofamerica.com"probablementeseantomadosalpiedelaletraporlasposiblesvíctimasquenosonconscientesdecómoesposibleimitarfácilmenteelcampo"De:".Afortunadamente,cuandodichosmensajesnoseentregan,confrecuenciaporqueelspammerselosenvíaaunacuentaqueestádesactivada,cerrada,oqueyanorecibemensajes,elservidordecorreoenelextremoreceptor"rebotará"estosmensajes.Comosedescribióanteriormente,enelcasodelaautenticacióndecorreoelectrónico,laDMARCproporcionaunprotocoloparadirigirdóndeenviarestosmensajesrechazados.Elanálisisdeestosmensajesrechazadosamenudopuedeconduciraladeteccióndenuevasfuentesysitioswebdephishing.

● URLdereferencia:cuandounkitdephishingutilizaungráfico,unarchivodeJavaScript,hojasdeestilouotracaracterísticadelamarcaimitada,losarchivosderegistrodelamarcaimitadamostraránqueelarchivohasidomencionadoporunsitiowebdeterceros.Si"hackedsite.com/yourbank/verify.php"esunapáginadephishingyutilizaungráficode"yourbank.com/graphics/logo.gif"elregistromostraráquesehahechoreferenciaa"logo.gif"desde"hackedsite.com".ElanálisisdeestasdireccionesURLdereferenciaesunaexcelentemaneradedetectarnuevossitioswebdephishing.Estosepuedelograrenlaempresaconunpersonalbiencapacitadootercerizadoaunodelostantosproveedores.

● Spamdesalida:desdeelpuntodevistadeunaempresa,unproveedordehostingounISP,existenvariasmanerasdedetectarcorreoselectrónicosdephishingsalientesqueseestángenerandodesdelared.SegúnlasCondicionesdeservicioparaelservicioquesepresta,laredpuedesercapazdeobservarelcorreoelectrónicosalienteapartirdelapresenciadecaracterísticassospechosas,comopicosinusualesenelvolumen,desajusteseneldominiodelremitente,intentosdeutilizarpuertosdecorreoelectrónicodeespacioderednopermitidoolainclusióndedireccionesIPpertenecientesalaredenvariaslistasdereputación.

● Reutilizacióndecredenciales:unatécnicarecienteparaladeteccióndesitiosdephishinghasidoexigiralosconsumidoresutilizarunparúnicoidentificadordeusuario-contraseñaparaaccederaunamarcadedestino.Unplug-inenelnavegadordelconsumidordetectacualquierintentodeutilizareseparidentificadordeusuario-contraseñaenotraubicación,einformaladirecciónURLalamarcadedestinocomounaURLsospechosaquedebeserinvestigada.

● Productosdeseguridadysoftwaredefuenteabiertacalibradosparaphishing:losservidoresdecorreoelectrónico,dispositivosmodernosdeseguridadyserviciosenlanubeempleaningresosasitiosconocidosdephishing,direccionesIP,nombresdedominioypatronesdeataquesdephishing.SegúnlascoincidenciasdirectasyelanálisisheurísticodelasURLincluidasenelcorreoelectrónicooquetransitanporlaredcorporativa,esposibledetectarlosseñuelosdephishingylos"clics"mediantebloqueos,alertasyacciones.


3. PresentacióndeinformesLapresentacióndeinformesdeataquesdephishingtienedosobjetivos.Colaboraconlasmarcasqueestánsiendoimitadasaresponderalaamenazayproporcionarunrastro,quelepuedeserútilalasfuerzasdeordenpúblico.Unavezquesedetectaunataquedephishing,existenvarioscaminosparainformarloconelfindeevitarquelacomunidadengeneralrecibaseñuelosovisitesitiosdephishing.Lasmarcasyorganizacionesquesufrensuplantaciónenlossitioswebyseñuelosdephishingpuedenalertarasusclientes,empleadosycomponentes,quesonlasvíctimasmásposibles.Laspersonasquesetopanconsitiosdephishingtambiénpuedeninformarlos,ylasmarcasvictimizadaspuedenproporcionarypromoverunametodologíafácilparaquesusclientesytercerosinvolucradosinformenlosactosdephishing.Unavezqueunaorganizaciónsabequeesblancodeunacampañadephishingesimportantealertaralecosistemaantiphishingquecomprendeorganizacionesdelaindustria,proveedoresypersonalderespuestadeincidentes.Estosepuedehacerparaelataquedephishingocasionalconelinformedelataqueatravésdeunodelossitiosqueseenumeranalfinaldeestasección.Lamayoríadelosobjetivosprincipalesdelphishingempleanserviciosdetercerosqueseespecializaneneltratamientodecontenidosenlíneailegales/nodeseadoscomounacompetenciabásica,yaquetienenprocesosyrelacionesestablecidosconlosprincipalesproveedores,lacapacidaddetraduciridiomaseinvestigadoresdeinteligenciasobreamenazasentreelpersonal.Independientementedelmétododeenvíoutilizado,reconoceryreportarlosataquesdephishingrápidamentepuedeconduciralaidentificacióndeldelincuente.Muchosservidoresafectadoscontendránlasentradasdelregistroquedejanunrastroquemuestracómosepirateóysecolocóelcontenidoilegalenelservidor.Además,cadasitiowebdephishingdebebrindarunamaneraparaqueeldelincuenterecibalascredencialesrobadas.Engeneral,estoserealizamediantecorreoelectrónico,perotambiénesposibleinvolucrararchivossecretosenelservidorwebdedondeserobanlascredenciales.Elanálisisdelossitiosdephishingidentificadospuedeayudaraidentificar,desactivarosupervisarestospuntosdeexfiltracióndedatosyconduciralaidentificacióndelosdelincuentes.4. InvestigacionescorporativasydeordenpúblicoLamayoríadelasinvestigacionessobrephishinglasrealizalaempresacuyamarcaestásiendosuplantada,olosproveedoresdeinteligenciasobreamenazasuorganismosdeordenpúblicoenrepresentacióndeesta.xxviiiMedianteelusodemuchasdelastécnicasdescritasenelpunto"AnálisiseInteligencia"mencionadoanteriormente,losinvestigadorespuedenidentificarycalcularlasvíctimasysuspérdidas,comoasítambiénrelacionarlostantossitiosdephishingcreadosoquebeneficianeconómicamentealmismodelincuente.Enlugarderesolvercadacasoporseparado,sefomentaquelasempresasdesarrollenrelacionesconlasagenciasdeinvestigaciónconelfindecomprenderlosmejoresmétodosparaintercambiardichainformación.EnlosEstadosUnidos,elprogramaInfraGarddelFBIylosGruposdeTrabajosobreDelitosElectrónicosdelServicioSecretodelosEstadosUnidossonprogramasqueayudanadesarrollarestetipoderelaciones.LoscentrosnacionalescomolaNationalCyberForensicsand

Parafacilitaraúnmáslaaccióndeinformar,muchasmarcashancreadodireccionesdecorreoelectrónicofácilesderecordar,como"[email protected]".Parafomentarelinforme,lasmarcasdebenredactarpautassobrecómoinformarunataquedephishingobservadoensusitiowebydistribuirdichainformaciónenlasinteraccionesqueincluyenalcliente.


TrainingAlliance(NCFTA)tambiénofrecenoportunidadesparalaalianzaspúblico-privadasconenfoqueenlainvestigacióndedelitosinformáticos.Eltrabajoconestasorganizacionespuedeayudaralascompañiasdueñasdemarcasaserparticipantesactivasenelprocesodeaplicacióndelaley.Amenudotenermúltiplesmarcascomovíctimasenunsolocasoconduceaunarespuestadeaplicacióndelaleymásactivo,altiempoqueproveelallamada"seguridaddelosnúmeros"paralasmarcasdelasvíctimas,quepuedensentirseincómodasalsernombradascomovíctimas.5. Educacióndelusuario/delavíctimaMcAfeeLabsinformóafinalesde2014queelphishingsiguesiendounatácticaeficazparainfiltrarseenlasredesempresariales.Suestudioencontróqueel80%delosusuarioscorporativosnosoncapacesdedetectarfraudes:losempleadosdelDepartamentodeFinanzasydeRecursosHumanostienenpeorestadísticaqueelempleadopromedio.Susempleadospuedenrealizarlaencuestasobrephishingaquí:https://phishingquiz.mcafee.com.xxixCifrascomoestasdemuestranloimportanciaparalasempresasylosprogramasdegobiernodecontinuarcapacitandoenformapermanenteasusempleados.EstafueunadelasrecomendacionesdelConsejoFederaldeExaminacióndeInstitucionesFinancieras(FFIEC).SANS(www.sans.org)tambiénposeeinformaciónsobrecómoejecutarunprogramadephishingensupáginawebSecuringTheHuman.xxxSibienesmásdifícilproporcionarunacapacitaciónalosconsumidores,lasempresasqueexperimentanaltastasasdephishingrecibenlarecomendaciónderealizarlacapacitacióncuandotenganlaoportunidaddeinteractuarconsusclientes,yaseamedianteunadjuntoqueacompañealafacturación,unaadvertenciaespecialcuandoelclienteiniciasesiónenelsistemaenlínea,omedianteunmensajegrabadomientrasexistaunainteraccióntelefónicaconelconsumidor.Lasempresasquesepreocupanporlaasociaciónsesumarcacondelitoscibernéticospuedenincorporarunmensajeproactivo,comolacampaña"Para.Piensa.Conéctate"odeclararquerespaldancampañasdeciberconcientizaciónlanzadasporelgobierno,comolasemanaoelmesdeconcientizaciónsobreciberseguridadqueserealizatodoslosañosenlospaísesmásdesarrollados.xxxi,xxxiiExistenmuchosrecursosdisponiblesenelmarcodeestascampañasdedivulgaciónpúblicaquepuedenadoptarlasempresas.ElAPWGfomentaquelasempresascolaborenenbrindarunacapacitación"justoatiempo"mediantelaadopcióndelapáginadeiniciodeEducaciónsobrePhishingdelAPWGcomosupáginadeinicio.TambiénsefomentaaquelosadministradoreswebquedandebajaunsitiowebdephishingporhabersidopirateadosustituyanlapáginaconlapáginadeiniciodelAPWG.xxxiiiVariasorganizacioneshandesarrolladosuspropiaspáginasdecapacitaciónexcelentesparacolaborarenlacapacitacióndelosusuarios.SeincluyenVisayStaySafeOnline:http://www.visasecuritysense.com/en_US/phishing-attack.jsphttps://www.staysafeonline.org/LaComisiónFederaldeComercio(FTC)delosEstadosUnidosutilizaunagenerosidadunpocolivianaparaalertaralosconsumidoressobrelosriesgosasociadosconelphishingrepresentandoestratagemasdephishingestándarparaalertaralosconsumidoressobreesteproblemaatravésdelosjuegosenlíneayvideosdeYouTube

• Juegosenlínea:http://www.onguardonline.gov/media/game-0011-phishing-scams,and• VideosdeYouTube:https://www.consumer.ftc.gov/media/video-0006-phishy-home.


6. ParticipacióndelaindustriaLasorganizacionesparacompartirinformación,comoelCentrodeAnálisiseIntercambiodeInformacióndelosServiciosFinancieros(FS-ISAC)yelEquipodeRespuestaanteIncidentesCibernéticosdelasInstitucionesFinancierasdeCanadá(TPI-CIRT)tambiénsonorganizacionesmuyimportantesqueayudanaabordardelitosdephishing"entremarcas".Laparticipaciónengruposdedefensadelaindustria,comoelAPWGxxxiv,elM3AAWGxxxv,laAsociacióndeConfianzaenLínea(OTA)xxxvi,elConsejodecomerciantedeRiesgos(MRC)xxxvii,ylosEquiposdelForodeSeguridadyRespuestaanteIncidentes(FIRST)xxxviiisonalgunasdelastantasorganizacionesconmembresíaparaabordarlosfraudesenlíneaylosdelitosinformáticos.Lasreunionesdelosmiembros,laspublicacionesylosgruposdeinterésespecialofrecenmuchosbeneficiosalasmarcasqueestánsufriendoataquesdephishing.ElAPWG,porejemplo,ofreceampliascapacidadesdeintercambiodeinformaciónypresentacióndeinformesdegranescalasobrelossitiosdephishingalasorganizacionesmiembros,convirtiéndoseenunrecursoprimordialparalasinstitucionesafectadasporataquesdephishing.

REFERENCIASESTADÍSTICAS

● Informedetendenciassobreactividadesdephishing/InformesobreusodedominiosdelGrupodeTrabajoAntiphishinghttp://www.antiphishing.org/resources/apwg-reports/

[N.B.:ElAPWGpuedebrindarhojasdecálculocondatosdeorigensobrelosinformespresentadosen2006,segúnsolicitudporescrito.Contacto:[email protected]]http://www.apwg.org/reports/APWG_CrimewareReport.pdf

● EncuestaglobalsobrephishingdelGrupodeTrabajoAnti-Phishing:http://docs.apwg.org/reports/APWG_Global_Phishing_Report_1H_2014.pdf

● EncuestasobrevulnerabilidadenlaWebdelGrupodeTrabajoAnti-Phishinghttp://www.apwg.org/reports/apwg_web_vulberabilities_survey_june_2011.pdf

● Phishing:¿Cuántosmuerdenelanzuelo?GobiernodeCanadáhttp://www.getcybersafe.gc.ca/cnt/rsrcs/nfgrphcs/nfgrphcs-2012-10-11-eng.aspx


PROGRAMASANIVELDEUSUARIO● ElCódigodeConductaAnti-BotparaProveedoresdeServiciosdeInternet:

http://www.m3aawg.org/abcs-for-ISP-code● iCode.org-AsociacióndelaIndustriadeInternet:https://icode.org● CentrodeAsesoramientoAntibotnet-ECO(Alemania):https://www.botfrei.de/en/● PARA.PIENSA.CONÉCTATE.:http://www.stopthinkconnect.org● ConsejoalconsumidordelAPWG:http://www.antiphishing.org/resources/overview/● EducaciónparaelconsumidordelAPWG:

http://www.antiphishing.org/resources/Educate-Your-Customers/

PRESENTACÓNDEINFORMESSOBREPHISHING:GrupodeTrabajoAnti-Phishing:http://www.antiphishing.org/report-phishing/Correoelectrónico:[email protected]/navegadores:Google:https://www.google.com/safebrowsing/report_phish/Microsoft:www.microsoft.com/security/online-privacy/phishing-scams.aspx#ReportYahoo:https://safety.yahoo.com/Security/IVE-BEEN-PHISHED.htmlRecursosenlíneaparaproveedoresdeseguridad:http://www.phishtank.orghttp://www.phishtank.orghttps://submit.symantec.com/antifraud/phish.cgihttp://phishing.eset.com/reporthttp://toolbar.netcraft.com/report_urlEstadosUnidos:ElCentrodeReclamossobreDelitosenInternetbrindaunserviciocentralizadodeinformesobrecasosdecyberdelincuenciaquehayancausadopérdidas:www.ic3.gov/default.aspxElEquipodeRespuestaanteEmergenciasInformáticas(US-CERT,eninglés)tambiéntienedóndeenviarinformessobrephishing:https://www.us-cert.gov/report-phishingCorreoelectrónico:[email protected]ónFederaldeComercioenvíainformaciónalaBasedeDatosCentineladelConsumidor,unaherramientadeordenpúblicoparacontactosinvestigativos:[email protected]


Canadá:Centrodeinformesobrespam:fightspam.gc.caCorreoelectrónico:[email protected]:www.antifraudcentre.ca/english/reportit-howtoreportfraud.htmlAsociaciónBancariadeCanadáenumeralalistade“InformesobrePhishing”paralamayoríadelosbancoscanadienses:www.cba.ca/en/consumer-information/42-safeguarding-your-money/91-email-fraud-phishingReinoUnido:ElCentroNacionaldeInformesobreCiberdelincuenciayFraudemanejalosreclamossobrefraude,intentodefraudeyvirusoestafasenlíneaParainformeuncasodefraude,losconsumidoresdebenutilizarelsiguienteenlace.www.actionfraud.police.uk/report_fraudLaHerramientaparaInformarAccionesdeFraudeComercialestádirigidaaexpertosenseguridadquenecesitaninformarmuchasaccionesdefraudepordía:https://app03.actionfraud.police.uk/report/AccountIrlanda:https://www.botfrei.de/ie/ueber.htmlAustralia:http://www.acma.gov.au/Citizen/Stay-protected/My-online-world/Spam/reporting-spam-i-acmahttps://www.scamwatch.gov.au/content/index.phtml/tag/reportascamhttps://report.acorn.gov.au/Correoelectrónico:[email protected]:http://complaints.antispam.govt.nz/Francia:https://www.signal-spam.frELCERT-LEXSIfrancés,EuropolylosgobiernosdelosPaísesBajosyLuxemburgotambiénofrecenunsitioparainformarcasosdephishing:https://phishing-initiative.eu


LASMEJORESPRÁCTICASRECOMENDADAS● Quéhacersisusitiowebhasidopirateado

http://www.apwg.org/reports/APWG_WTD_HackedWebsite.pdf● Advertenciasobreregistrosdesubdominios

http://www.apwg.org/reports/APWG_Advisory_on_Subdomain_Registries.pdf● Lasmejoresrecomendacionessobreprácticasantiphishingpararegistradores

http://www.apwg.org/reports/APWG_RegistrarBestPractices.pdf● Medidasparaprotegerlosserviciosderegistrodedominiocontraelabusooelmaluso

http://www.icann.org/committees/security/sac040.pdf● LasmejoresprácticasdecomunicaciónpararemitentesdelM3AAWG

https://www.m3aawg.org/sites/maawg/files/news/M3AAWG_Senders_BCP_Ver3-2015-02.pdf● Laconfianzaenuncorreoelectrónicocomienzaconlaautenticación(Papelblancode

autenticacióndecorreoelectrónicodelM3AAWG)https://www.m3aawg.org/sites/maawg/files/news/M3AAWG_Email_Authentication_Update-2015.pdf

● LasmejoresprácticasantiphishingdelM3AAWG/APWGparaISPyproveedoresdecasillasdecorreoelectrónicohttps://www.m3aawg.org/sites/default/files/M3AAWG_AWPG_Anti_Phishing_Best_Practices-2015-06.pdf


NOMBRESDEDOMINIOYDIRECCIONESIPUnavariedaddeactividadesilegalesymalintencionadasseaprovechandevulnerabilidadesenelDNScomoresultadodemalasprácticascomercialesydeseguridadentreoperadoresdeInternetparamanejarlainfraestructuraylosregistrosdenombresdedominio,registradores,revendedoresyproveedoresdeserviciosproxyydeprivacidad.EsposiblemitigarestasamenazasmedianteunmejormanejoporpartedelosoperadoresderedymejoresprácticasdesarrolladasporlasorganizacionesquegestionandireccionesIPynombresdedominio,uorganizacionesqueproveenserviciosderegistrodenombresdedominio.DESCRIPCIÓNGENERALSOBRETECNOLOGÍADIRECCIONESIPCadaequipodeInternettieneunadirecciónIP,queseutilizaparadirigireltráficodesdeyhaciaeseequipo.LasdireccionesIPtradicionales,conocidascomoIPv4,sonnúmerosbinariosde32bits,invariablemente,porescritocomocuatronúmerosdecimales,talescomo64.57.183.103.Laprimerapartedeladirección,queenesteejemplopodríaser64.57.183,identificalared,yelrestodeladirección,103enesteejemplo,elequipoenparticular("host")enlared.Ladivisiónentrelaredyelhostvaríasegúneltamañodelared,porloqueelejemploanterioressimplementetípico.Unaversiónmásreciente,IPv6,utilizanúmerosde128bitsmuchomásgrandes,escritoscomobloquesdedígitosseparadospordospuntos,porejemplo2001:500:2f::f.CasitodaslasdireccionesIPv4yahansidoasignadas,porloqueahoraseencuentranenmediodeunatransicióngradualaIPv6.Paraqueeltráficoderedfluyadesdeunequipoaotro,porejemplo,desdeelequipodeunusuarioalosservidoreswebdeGoogleoviceversa,eltráficodesdeelequipoemisorfluyeatravésdeequiposintermedios,llamadosenrutadores,haciasudestino.Existenalrededorde500.000rutasderedvisiblesalosenrutadoresmásgrandesdeInternet,conocidoscomoenrutadorestroncales.(Elnúmerototalderedesesmuchomayor,yaqueunaúnicarutatroncalnormalmentecubredocenasdemilesderedesdeclientes).Paramantenerlastablasde500.000rutas,losenrutadorestroncalesutilizanunsistemallamadoprotocolodepuertadeenlacedeborde(BGP)paraintercambiarinformación,porloquelosenrutadorespuedenajustarautomáticamentelastablascuandollegannuevasredesenlíneaounenlaceentreredesfallaoserepara.Comounnúmerodeteléfono,cadadirecciónIPvisiblealmundodebeserúnica.LosproveedoresdeInternetylasgrandesempresasobtienenbloquesdedireccionesdirectamentedelosRegistrosRegionalesdeInternet,comoARIN,queasignaespacioIPparalosEstadosUnidos,CanadáypartesdelCaribe,mientrasquelasempresasmáspequeñasylosindividuosutilizanpartesdebloquesasignadosasusproveedoresdeInternet.AlgunasdireccionesIPnosonvisiblesalmundo,porejemplo192.168.1.1o10.0.0.51;estassonanálogasalasextensionesdelacentraldeconmutación(PBX)delsistematelefónicodeunaempresa,quesólosepuedenaccederdesdedentrodelapropiareddelaorganización.


ELSISTEMADENOMBRESDEDOMINIODadoquealossereshumanoslesresultadifícilrecordarlasdireccionesIPyestasseatanaredesfísicas,elDNSesunabasededatosdistribuidadenombresquelespermitealaspersonasusarnombrescomowww.google.comenlugardeladirecciónIPcorrespondiente173.194.73.105(paraIPv4)o2607:f8b0:4000:807::1012(paraIPv6).Apesardesuenormetamaño,elDNSposeeunrendimientoexcelentemedianteladelegaciónylasmemoriascaché.DadoquenoseríaprácticoalmacenartodoslosnombresdelDNSenunasolabasededatos,quesedivideenzonasqueestánalmacenadosendiferentesservidores,perológicamenteunidasentresí.Enprincipio,paraencontrarladireccióndewww.google.comdeGoogle,elsoftwaredeconsultasalDNSenelequipodelusuario,llamadoresolutor,contactaprimeroaunodelosservidores"raíz",querespondeenviandolainformacióndelosservidoresderesolucióndelTLD.com.Luegoelresolutorenvíalaconsultaalosservidoresderesoluciónde.com,querespondeenviandolainformacióndelosservidoresderesolucióndegoogle.com.Enelsiguientepaso,elresolutordelusuarioenvíalaconsultaaesosservidoresdegoogle.com,querespondenfinalmenteconladirecciónIPasociadaaldominiowww.google.com.DadoquelosusuariosdeInternettiendenabuscarlosmismosnombresenvariasocasiones,losdispositivosdelosusuariosindividuales,juntoconlosservidoresderesolucióndeDNS,tienenunamemoriacachéquerecuerdalasúltimasconsultasyrespuestasdelDNS,permitiendoquelasconsultasposteriorespuedenserrespondidasdesdeesamemoriatemporalenlugardeviajardenuevoatravésdetodoelDNS,reduciendolacantidaddeconsultasquellegahastalosservidoresraízyacelerandolostiemposderespuestaparalosusuarios.DadoqueexistendiferentesmanerasenlasqueactoreshostilespuedeninyectardatosdelDNSfalsificadosenlamemoriatemporaldelosservidoresderesoluciónydelosdispositivosdelosusuarios(algunassediscutenacontinuación),DNSSECañadefirmascriptográficassegurasalosdatosdevueltosporlosservidoresdelDNS,porloqueelequipodelusuariopuedecomprobarlavalidezdelasfirmasyasegurarquelosdatosdelDNSqueutilizasonlegítimosyqueenrealidadprocedendeunactorigualmentelegítimo.DNSSEChaestadoendesarrollodurante17años,perosólosehautilizadodemanerasignificativaenlosúltimosaños.LaadministracióndelasllavesdecifradodeDNSSECescomplejaypuedepresentarundesafíoparalosadministradoresdelosservidoresderesolución.ATAQUESCONTRAELDNSLosataquesmásgravesalDNSsonataquesqueafectanalosservidoresderesolución,enlosquelosciberdelincuentesintroducendatosfalsospararedirigireltráficowebyotrotráficoaversionesfalsasdelossitioswebmáspopulares.

ENVENENAMIENTODELAMEMORIACACHÉUnacategoríadetalesataqueseselenvenenamientodelamemoriacaché,esdecir,lautilizacióndelosagujerosdeseguridadparaintroducirdatosfalsosenlamemoriacachédelosservidoresdeDNS,queluegosonenviadosalosequiposdelasvíctimas.PocosusuariostendránalgunacapacidadparadetectarlainformaciónfalsadelDNSalutilizarsusequipos.Mediantelacombinacióndemúltiplesataquesenconjunto,undelincuentepuedepresentarunaréplicaperfectadeunsitioweb,


unsellodeconfianza,unlogotipoymostrarelnombrededominiocorrectoenlabarradedireccionesdelnavegador.Elresultadopuedeserelrobodecredenciales,elaccesoalosrecursosfinancieros,laafectacióndelainteligenciacorporativaodelEstadoolaNación,oelredireccionamientodeingresosporpublicidad.Losataquesencontradelosservidoresderesoluciónseproducencompletamentedentrodelproveedordeserviciosderesolucióndedominios(NSP,porejemplo,unservidorderesolucióncorporativoounserviciopúblicodeDNScomoOpenDNSoGoogleDNS)ylossistemasdelosoperadoresdered,sinqueseanecesariocomprometerlosdispositivosdelosusuarios.CuandotodoslosinvolucradoshanimplementadoDNSSECcorrectamente,incluyendoalregistrantedeldominio,elregistrador,elregistroyelproveedordeserviciosderesolución,seevitaelenvenenamientodelamemoriacachéyotrasusosincorrectosdelDNS.Enestemomento,DNSSECnoestáampliamenteimplementadoyporestarazónaúnnoseconsideraunadefensacontundentecontralosataquesdeenvenenamientodelamemoriacaché.LadefensaimplementadaactualmentecontraelenvenenamientodelamemoriacachésellamaSourcePortRandomization(UDP),peroestadefensarequería,en2008,quetodaslasherramientasdesoftwaredelDNSseactualizaranalaúltimaversión.ElsoftwaredelDNS,aligualquetodoelsoftwaredeinfraestructuradeInternet,sedebeactualizarperiódicamenteparacorregirlosdefectosconocidosamedidaqueelproveedordesoftwarelosdescubreycorrige.Serecomiendarealizarunasupervisióncuidadosaentodomomentoparadetectarcondicionesanómalasenlainfraestructuraenlínea.Estasupervisiónesdesumaimportanciadespuésdelaactualizacióndeunsoftware,yaqueunaactualizaciónpodríacorregiralgunosdefectos,eintroducirotros.Laseguridadcontextualtambiénrequiereunamención.AúnsielsoftwaredelDNSestuvieracompletamentelibredeerrores,seríanecesarioactualizar,protegerysupervisarelsistemaoperativoylossistemasdevirtualización,ademásdeloscomoenrutadores,conmutadores,firewallsylossistemasdedetecciónyprevencióndeintrusiones.EldocumentoRFC2196,ManualdeSeguridaddelSitio,ofreceunavisióngeneraldeestascuestiones.

MEJORESPRÁCTICASRECOMENDADAS:1. RespaldelaimplementaciónmundialdeDNSSECparagarantizarladistribucióndedatosdel

DNS.EstoincluyelafirmadetodaslaszonasdeautoridadconDNSSECylahabilitacióndelavalidacióndeDNSSECentodoslosservidoresrecursivosdelDNS.

2. UtiliceTSIGparatodaslasactualizacionesdeDNSenlíneayparalasoperacionesde"transferenciadezona"entreservidores,paragarantizarlaautenticidadyqueprovengandeservidoresconautoridad(authoritative).

3. InstalelosparchesdelaúltimasversionesrecomendadasporlosproveedoresenelsoftwaredelDNSysuperviselainfraestructuradeDNSenbuscadeanomalíasentodomomento,peroenespecialdespuésdeinstalarunparchedelproveedor.

4. ElaboreundocumentosobremejoresprácticasrecomendadasrespectdeunapolíticadeseguridadparalosresolutoresdelDNS,conelfindeeducaralosadministradoresdesistemaydered.


MALWAREQUEATACAALDNSElmétodo"DNSChanger"esotramaneradefalsificarrespuestasdelDNS.EstemalwaremodificaelequipodelavíctimaparacambiarlosresolutoresqueutilizaelDNS,sustituyendolosresolutoresdelDNSdelISPdelusuarioporservidorescontroladospordelincuentes.Deestaforma,eldelincuenteproporcionarespuestasfalsificadasenformaselectivacadavezquehacerlolebrindeuningresoadicional.ElmalwareDNSChangerfuncionanosóloenelequipodelosusuarios,sinotambiénenlosenrutadoresdehogarodepequeñasempresas.Laventajadeldelincuentealalterarlaconfiguracióndelenrutadoresqueelcambioesprobablementemásduraderoycubretodoslosequipos,teléfonos,iPadsyotrosdispositivosdelhogarodelaoficina,queincluyenposiblementedispositivosdecontroldelhogarhabilitadosparaInternet,comotermostatos,cámaras,marcosdefotos,redesconectadasoinalámbricas,etc.Elenrutadorpuedeestardentrodelmódemproporcionadoporelserviciodebandaanchaopuedeserundispositivoadicionaladquiridoeinstaladoporelusuario.ElFBItrabajóconlaindustriaprivadaparaquitaralosciberdelincuentesresponsablesdelDNSChangersusrecursos(ysulibertad).xxxixLasdireccionesIPutilizadasporlosresolutorescomprometidosfueronre-enrutadashaciaservidoresespecíficosqueestuvieronenoperaciónduranteunosmesesmientrasgruposdevoluntariosnotificabanalosISPsyalosusuariosafectados.Nota:laestrategiabásicautilizadaporlosdelincuentesresponsablesdelDNSChangerfuncionaríadeigualmaneraanteunnuevointento:todaslasvulnerabilidadessubyacentesnecesariasestánaúnpresentesenequiposmuypopularesquelosproveedoresnopuedenactualizar.LadeteccióndetráficoDNSmaldirigidosepuederealizaraniveldelISPmediantelasupervisióndeltráficodelDNSsalientedelclientequesedirigehaciaunresolutordiferentealproporcionadoporelmismoISP.Tengaencuentaqueesmuycomúnquelosusuariosqueposeenconocimientostécnicosavanzados,oquienessesuscribenintencionadamenteaunserviciodeDNSdiferente,envíensutráficodeDNShaciaotrolugar.Eldiseñocuidadosodelossistemasdedetecciónesnecesarioparaevitarfalsospositivos.Enelfuturo,losusuariospuedenserengañadosparacambiaraunresolutordeDNSdeundelincuentemedianteingenieríasocialoalgúnincentivo.Porejemplo,siserequierenresolutoresdelISPparadenegarelaccesoaalgunosnombresdelDNS(comocontenidopirataoilegal),losusuariospuedenresponderalasofertasdeaccesoaservidoresdeDNSnocensurados.ExistenmuchasrazoneslegítimasparapermitiralosusuarioselegirsuservicioderesolucióndeDNSsincensuraointerferencia.MEJORESPRÁCTICASRECOMENDADAS:

1. EduquealpúblicosobrelospeligrosdeloscambiosderesolutoresdeDNS,paralimitarlosataquesdeingenieríasocial.

2. Fomenteelquelosoperadoresderedescompartaninformaciónanonimizadaatravésdefeedsdelasmemoriaslocales(cache)dealtoniveldesusservidoresdeDNS,relativaaconsultasenviadasatravésdesusredes,conelfindedetecarposiblesservidoresdeDNSmaliciosos.


3. Permitaaccesoaesosfeedsainvestigadoresanti-abusoparaayudarenladeteccióndeserviciosqueengañanalosusuariosofalsificanrespuestasdeDNS,adicionalmenteconelfindediferenciarlosdelosservicioslegítimosderesolucióndeDNS.

4. Desarrolleestadísticasbasadasenlosdatosagregadosparaayudaraidentificaralosdelincuentesconelfindetomaraccioneslegales,actualizarlistasnegrasderesolutoresilegítimosycrearoperacionescoordinadasdemitigación,comoocurrióenelcasodeDNSChanger.

5. Establezcalasmejoresprácticasrecomendadasparalograrunadecuadoniveldeanonimidad,conelfinddeevitarqueseasocieacadausuario,suISPylaactividadquedesarrollaenelDNS.AsísepuedenevitarrepresaliascontralosusuariosqueeludenformasdecensurayseevitatambiénqueestosusuariosdecidanutilizarservidoresdeDNSdemásdifícildetección,queposiblementeestáncomprometidos.

ATAQUESCONTRALOSSERVICIOSDEREGISTRODENOMBRESDEDOMINIOLafacilidadconlaquelosciberdelincuentespuedenregistraryutilizarnuevosdominioslesayudaallevaracabosusfraudes.Elusodeinformacióndeidentidadfalsay,amenudo,decredencialesfinancierasrobadasdificultaladeteccióndelosverdaderospropietariosdelosdominiosqueseutilizanparacometerfraude.Lacargadedetectarelusomaliciosodelosnombresdedominiodescansasobreloshombrosdelosinvestigadoresanti-abuso,confrecuenciamuchodespuésdequelaactividadmalintencionadahayacomenzadoo,enocasiones,finalizado.LacargadereducirlacantidaddedominiosmaliciososestáenlasempresasqueproporcionanaccesoaInternetalosusuarios,yaseamediantesolicitudesdesuspensiónocancelacióndeactividadmaliciosaoatravésdelafrecuentementelentapropagacióndelaslistasdebloqueodedominios.Laslistasdebloqueosonnecesariasyaquelassolicitudespararedirigir,suspenderoeliminarnombresdedominioamenudoseignoran.Losciberdelincuentesexplotanlosserviciosderegistrodenombresdedominiomedianteelusodetarjetasdecréditorobadas,medianteelregistroautomatizadodemuchosdominiosaaltavelocidad,medianteelregistrodedominiosatravésdedistribuidoresoproveedoresdeserviciosdeprivacidadodeproxiesquefrecuentementenorespondenoparecenpermitirlaactividadmaliciosa,ymedianteelusodedominiosquepuedenutilizarencuestióndeminutosoinclusosegundosdespuésdelregistro.LosinvestigadoresdeataquesporlogeneralsólopuedenmonitorearlainformaciónderegistroenelDNScada24horas.Losoperadoresdelistasdebloqueosetardanenreconocerlosdominiosmaliciososypropagarlainformaciónsobrereputación,unavezlosdelincuenteshanllevadohandesarrolladosuactividadmaliciosa.Losciberdelincuentespuedencrearcualquiersubdominiobajolosdominiosquehayanregistrado,porejemplonombredebacno.ssl-cgi.delincuente.com.Noexistenrestriccionesencuantoalacantidaddeestetipodenombresquesepuedencrearsincosto.Elengañoalosusuariosnorequiereunnombredemarca;simplementecualquiercosaqueparezcalegítima.Losnombrescomosecure-order.verified.example.comsonaceptadosporlamayoríadelosusuariosyaqueseparecenaotrosquevenamenudo.Algunasentidadesypersonasinclusoayudanaabusardemarcasalcreardominiosquepuedencrearconfusiónenlosusuarios.Estosservicioscreannombresdedominioquevoluntariamenteimitan


marcasmedianteelusodeerrorestipográficos,comoSEARZconlaletra"Z"enlugardelaletra"S",oPAYPA1conundígito"1"enlugardeunaletra"L".Mientrasqueestosdominiosnosepuedenutilizarenunacampañadephishing,haymillonesdeestetipodedominiosquedificultanlatareadelosinvestigadoresdeataquesparadistinguirtyposquattersrelativamenteinofensivos,frentealaactividadmaliciosacomotal,antesdequeéstasuceda.Además,losatacantesserobanlosnombresdedominioatravésdeotrastécnicas,porejemplo:

● Comprometerlascredencialesdeaccesodelregistrantealpaneldecontroldelregistrador(robarlacontraseñaquelosclientesutilizanparainiciarsesiónensusitiodeadministracióndeldominio);

● Comprometerlossistemaspropiosdelregistradorconelfinderobartodasoalgunasdelascontraseñas(conocidoscomocódigosEPPocódigosdeautenticación)queserequierenparatransferirlosnombresdedominiodeunregistradoraotro;y

● ComprometerlosservidoresdeDNSdelmismoregistranteosubasededatosdeDNSconelfindealterarlosdatosdeldominiodelavíctimainsitu,sinningúncambioderedireccionamientoascendente(noupstreamredirection).

MEJORESPRÁCTICASRECOMENDADAS:

1. Losregistrosdenombresdedominio,tantodedominiosgenéricosdealtonivel(gTLD)comodecódigodepaís(ccTLD),asícomoalosregistradoresconquieneshacennegocios,debenimplementarysupervisardecercalosprogramas"Conozcaasucliente"(KnowYourClientoKYC)paraprevenirelabusoenelregistrodelosdominios.Estolespermitirádeterminarsidebenevitarhacernegociosconunregistro,unregistrador,undistribuidorounproveedordeserviciosdeprivacidad/proxyycuándodebenhacerlo.

2. Todoslosregistrosdenombresdedominio,losregistradores,revendedoresyproveedoresdeprivacidad/proxydeberíanimplementarautenticacióndemúltiplefactorvíaHTTPSobligatoria,parareducirelriesgoderobodecredencialesdeaccesoalascuentasdesusclientesyparaprotegerdeunamaneramásapropiadalassesionestransaccionalesdesusclientes.

3. Losregistrosdenombresdedominioylosregistradoresdeberíanconsideraracuerdosdecooperaciónomemorandosdeentendimientoconlasorganizacionesqueayudanaprotegeralosconsumidores,porejemploLegitScriptyAPWG.Medianteelestablecimientodenivelespredefinidosdeconfianza,losreportesdeabusoquesonenviadosporestasentidadespuedenserabordadosdeunamaneramuchomásrápidayefectiva,siendounadeestasvíaselProgramadeSuspensióndeDominiosMaliciososdelAPWG(MaliciousDomainSuspensionProgramoAMDoS).

4. Losregistrosylosregistradoresdenombresdedominiodeberíanverificarelusodetarjetasdecréditorobadas,paraevitarelregistrodedominiosmaliciosos.

5. Hacercumplirlasobligacioneslegales(ensuspropiasjurisdicciones)ycontractualesquelosproveedoresdeserviciosderegistrodedominio,incluyendolosregistros,registradores,revendedoresyproveedoresdeserviciosdeprivacidad/proxydebencumplir,enloquerespectaalarespuestafrenteareportesdeabuso.


6. Respectodelosserviciosdeprivacidadyproxy,hayunanecesidadurgentedeimplementaryhacercumplirprogramasdeacreditación.Estosaclararánlasnormasyprocedimientosrespectodelassolicitudesderetransmisión(relay),esdecir,cuandodebenreenviarcomunicacionesasusclientes,yrevelar(reveal),esdecir,cuandodebenrevelarlaidentidaddesucliente.Estoaplicaparatodoslosserviciosdeproxyyprivacidad,independientementedesioperanenelespaciodelosgTLDsolosccTLDs,eindependientementedesiunregistroounregistradorespropietario,administradoruoperadordeestosservicios.

7. LosregistrosyregistradoresparalosespaciosgTLDyccTLDdeberíanevitarhacernegociosconproveedoresdeserviciosdeproxy/privacidadquenoestáncubiertosporunprogramadeacreditación.

8. Antesdeprocesarlassolicitudesderegistrodenuevosnombresdedominiooaceptartransferenciasentrantesdedominios,losregistradoresylosoperadoresdeccTLDsqueofrecenserviciosderegistrodirectamentealpúblicodeberíanvalidarlareputacióndeciertoselementosdedatosderegistro,como:

a. direccionesdecorreoelectrónicoutilizadasporlossolicitantes,eltitulardelacuentaocualquieradelosotroscontactosdeWhois;

b. ladirecciónIPdesdelaquesesolicitanlastransacciones;

c. losservidoresdenombresquelosclientesdeseanasociarasusnombresdedominio;

d. ladirecciónpostaldeltitular;y

e. unamuestraestadísticamenteválidadenombresdedominioyaregistradosporelmismocliente.

Amododeejemplo,unserviciodevalidacióndereputaciónloproporcionasincostoalgunolaSecureDomainFoundation,quelepermitealosregistradoresyalosregistrosdecidirsideseannegarlacreacióndeunnuevonombrededominio,oaceptartransferenciasentrantes,sialgunodeestosdatostienemalareputación,queindicaactividadmalintencionadarecienteeimportante.

9. MejorarlosalgoritmosusadosparadefinirlareputacióndedominiosydireccionesIP,conelfindeincluirenelloslaantigüedaddecadadominiocomofactorreputacional:losdominiosquetienenmásdeunañosonmenospropensosaserdominiosdesechables;algunosorganismosdeacreditacióndecorreoevitanquelosclientesutilicendominiosdemenosdeunmesy,usualmente,examinardominiosdemenosdeundíaesunamaneraeficazdedetectaractividadmaliciosa.

10. PuestoquelosdelincuentesquerobandominiosutilizandireccionesIPquesongeneralmentediferentesdelasutilizadasporlossolicitantes,losregistradoresylosrevendedoresdeberíanhabilitarlaverificacióndelasdireccionesIPdesdelaqueseoriginalaactividaddelascuentasdesusclientes.SilacuentadeunclienteesaccedidadesdeunanuevadirecciónIP,elregistradoroelrevendedordeberìaninformaralregistranteyalcontactoadministrativodelnombrededominioencuestión.

11. ContinuarlasmejorasalosnavegadoresdeInternetyalaeducacióndelosusuariosconelfindequeéstospuedanreconocerlasseñalesdelnavegadordeloscertificadosdevalidaciónextendida("barraverde"),yparaevitarlaconfusiónenlossitiosqueutilizantérminoscomo"seguro"o"ssl".

12. Capacitaciónalasempresasparaqueenvíennotificacionesalosusuariosqueseandifícilesdeimitar,paradisminuirelphishingylaingenieríasocial.


13. Paraelsoftwareylossitiosqueutilizanlistasdebloqueodedominios,fomenteunenfoquemulti-layercondiversostiposdelistasdebloqueoqueincluyanmétodosdebloqueopreventivoylistasdenaturalezareactiva,conelfindemejorarlaeficaciadelbloqueo.

14. RespaldeproyectosdeDNSpasivo,comoelSecureInformationExchange(SIE)deFarsightSecurityInc(FSI)queproporcionanalertastempranasalosinvestigadoresacadémicosycomercialessobrelossubdominiosmaliciososactivamenteenuso.

15. ConsideretecnologíasdefirewalldeDNScomolasResponsePolicyZonesoRPZs,quesonunmercadoabiertoconmúltiplesproveedoresyconsumidoresqueofrecenpolíticassobrerecomendacionesderesoluciónaservidoresdeDNSrecursivos.(Véasehttp://dnsrpz.info/).

ATAQUESALAWEBYAOTROSDNSDESERVIDORESLosciberdelincuentesatacanlareputacióndedominioslegítimosmedianteelingresoensusservidoreswebylainyeccióndearchivosmaliciososqueluegoinfectanaldominiolegítimoenladirecciónURL.(Estatécnicaesinmunealaslistasdebloqueodedominioamenosquelaslistasesténdispuestasaincluirdominioslegítimosquedistribuyencontenidomalicioso,tambiénbloqueandodeestamaneraalgúncontenidolegítimo).Losciberdelincuentesutilizanredireccionamientoswebparapresentarinicilalmentedominiosconbuenareputaciónyluegoredirigiralusuarioalsitiomalicioso.EstosindividuosutilizanmúltiplesnivelesderedireccionamientoyrecientementeinclusohanredireccionadotráficohaciadireccionesURLcondireccionesIPnuméricasenlugardenombresdedominio.Eléxitodeestastécnicasdependedemétodosinadecuadosdedetecciónquesólosoncapacesdereconocerestetipodeataquessilosusuariosno"actúancomounavíctima"siguiendolosredireccionamientos.Lamentablemente,algunosactorescomplicanaúnmáslascosasalusarmúltiplesnivelesderedireccionamientopararastrearlareaccióndelosconsumidoresfrentealoscorreoselectrónicosdemarketing.LosserviciosdeacortamientodeURLsonamenudoatacadosyutilizadospararedirigirtráficodesdedominiosconocidoscomobit.lyhacialossitiowebdelosciberdelincuentes.EsdifícilparalosusuariosdistinguirentremillonesdeURLslegítimasdebit.ly,quesonutilizadasparaacortarunadirecciónwebextensaparaunapublicacióndeTwitter,delasqueseutilizanparainsertarunmalwareo,porejemplo,unanuncioparalaventailegaldeproductosfarmacéuticos.HaceuntiempolamismaICANNfuevíctimadeungrupodeatacantesquelogróaccederalacuentadeadministracióndelosdominiosdeICANNenregister.com.Enestecaso,losatacantesalteraronlaconfiguracióndelDNSdevariosdominios(icann.netiana-servers.com,icann.comyiana.com)yredireccionaroneltráficodelosvisitantesaunsitiowebmodificado.MEJORESPRÁCTICASRECOMENDADAS:

1. Establezcaymantengaunsistemadebloqueodedominioslegítimoscomprometidosconcontenidomalicioso,juntoconprácticasdenotificaciónrápida,unsegundoniveldetesteoquepermitadesbloqueardominiosnomaliciososyasistenciaparamejorarlaseguridadentodoslosservidoreswebasociadosaldominiocomprometido.

2. FomentequelosserviciosdeacortamientodeURLverifiquenyreverifiquentodoslosredireccionamientosdelacadenaparatodaredirecciónquebrindenyquetrabajenconvariosproveedoresdeserviciosdeproteccióncontraabusoparaidentificarnuevosatacantes.


3. EducaralaindustriayalosusuariosfinalesydarlesrecursosquelespermitanidentificaryevitarURLsacortadasquenocuentenconsuficientesmedidasanti-abuso.

4. MejorarlaeficaciadelaspruebasrelativasalaverificacióndelareputacióndelasURLsmediante,entreotros,larealizacióndepruebasalasredirecciones,elusodepruebasquesimulenusuariosrealesquesiguenlosredireccionamientosymedianteeldesarrollodepolíticasrelacionadasconlacantidadmáximaderedireccionamientos,todoconelfindereducirelabusodelosserviciosdeacortamientodeURLs.

ATAQUESADIRECCIONESIPLosataquesadireccionesIPseclasificanendoscategoríasgenerales:correoselectrónicoscuyadirecciónIPnoesreal(spoofing)yredesqueutilizanrangosdedireccionesIPquenoestánautorizados(rogueannouncements).

SUPLANTACIÓNDEDIRECCIONESIPCadapaquetededatosenviadoatravésdeInternetincluyelasdireccionesIP"fuente"delequipodesdedondefueenviadoydelequipohaciadóndeestádestinado.Esposiblequeunequipohostilpongaunadireccióndeorigen(suplantada)falsaeneltráficosaliente.Paralastransaccionesenlasqueeldestinoenvíaunpaquetederetornoaladireccióndeorigen,enparticularelDNS,estopuedecreartráficonodeseadoaladireccióndeorigenfalsificada.EsfácilenviarsolicitudesalDNSdetamañospequeñosquegeneranrespuestasdegrantamaño,causandodenegacionesdeservicioencontradeladirecciónquehayasidofalsificada.MEJORESPRÁCTICASRECOMENDADAS:

1. LosISPylasredesdetráficodeberíanfiltrarelcorreoelectrónicoentrante,realizarelseguimientodelrangodedireccionesasignadoacadaclientederedydescartareltráficocondireccionesdeorigenfueradelrangoasignado,paraevitarquesusclientesenvíentráficocondireccionesdeorigenfalsificadas.EstoseconocegeneralmentecomoBCP38xl,undocumentodelaIETFconlasmejoresprácticasactuales.ElBCP84,otrodocumentodelaIETFconlasmejoresprácticasactuales,recomiendaquelosproveedoresdeconectividaddeIPqueprecedenenlacadenafiltrenlospaquetesqueingresanensusredesdeclientesquesiguenenlacadenaydesechenlospaquetesquetienenunadireccióndeorigenquenoestáasignadaaesosclientes.xli

2. Fomenteunaprácticauniversaldeingressfilteringparatodoslosclientesconectadosaredesvecinas(peernetworks).


ANUNCIOSDESHONESTOSTodaredpuedeanunciarvíaBGPsuspropiosrangosdedireccionesIP.Lasredeshostilespuedenanunciarrangosderedquenoestánautorizadosautilizar.Estopuederesultarenunredireccionamientoydesvíodetráficodestinadoalaredreal,opuedepermitiruntráfico"sigiloso"queanunciaunrangodedireccionesespecífico;elataqueseproduceyluegoelanuncioseretira.Amenosdequelasvíctimasseanconscientesdelrogueannouncement,seculparáalpropietariolegítimodelasdirecciones.MEJORESPRÁCTICASRECOMENDADAS:

1. LosoperadoresdereddeberíanimplementarunfiltrodeingressfilteringBCP84xlii(sediscutemásarriba),enelquelosanunciosdeBCPentrantesdesdelosclientesyusuariosdelmismonivelselimitanaunalistaexplícitaderedesconocidasyasignadasaeseclienteousuariodelmismonivel.

2. LosISPdebenprocurar,enlamedidadeloposible,aplicarBGPSEC(seguridadBGP)paraprotegercriptográficamentelosanunciosderutayevitarlapublicacióndedatosdeshonestos.

ROBODERANGOSDEDIRECCIONESEnlosprimerosdíasdeInternet,laasignacióndedireccionesamenudosehacíaconbastanteinformalidad,conregistrosincompletos.Comoresultadodeello,sehaheredadounespacioconsiderablededireccionesasignadasquepuedeserobsoleto,yaseaporquelasempresasyanorecuerdanlosrangosdedireccionesquelesfueronasignadosoporquelasempresasquelosrecibieronyanoexisten.LosciberdelincuenteshanaprovechadoestasdireccionesabandonadasmediantelafalsificacióndedocumentosoelnuevoregistrodedominiosabandonadosusadosencorreoelectrónicoparaobtenerelcontroldelespacioobsoletodedireccionesIP.MEJORESPRÁCTICASRECOMENDADAS:

1. LosregistrosregionalesdeInternetdeberíanimplementarycumplirconlosprocedimientosparaverificarlaidentidaddelossupuestosdueñosdelespacioheredado,paraevitarquelosciberdelincuentesobtenganelcontroldelespaciodedirecciones.ARIN,elRIRdeAméricadelNorte,hadetalladolosprocedimientosparaello.xliii

REFERENCIAS● Wikipedia,DiscusióndelDNSSEC:

http://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

● RFC2196,SiteSecurityHandbook,B.Fraser,Ed.,September1997,http://www.rfc-editor.org/info/rfc2196

● RFC4034ResourceRecordsfortheDNSSecurityExtensions.R.Arends,R.Austein,M.Larson,D.Massey,S.Rose.March2005,http://www.rfc-editor.org/info/rfc4034

● RFC4035ProtocolModificationsfortheDNSSecurityExtensions.R.Arends,R.Austein,M.Larson,D.Massey,S.Rose.March2005,http://www.rfc-editor.org/info/rfc4035

● AdvertenciadevulnerabilidadVU#800113delCERTdelosEstadosUnidos,“MúltiplesimplementacionesdeDNSvulnerablesalenvenenamientodelacaché”,http://www.kb.cert.org/vuls/id/800113/

● GrupodeTrabajoparaDNSChanger,http://www.dcwg.org/


● BrianKrebs,“ACaseofNetworkIdentityTheft”,http://voices.washingtonpost.com/securityfix/2008/04/a_case_of_network_identity_the_1.html

● Proyectoderesolutoresabiertos,http://openresolverproject.org/

● LasmejoresprácticasrecomendadasdeenviadosdelM3AAWG,https://m3aawg.org/sites/maawg/files/news/M3AAWG_Senders_BCP_Ver3-2015-02.pdf

● FCCCuatroinformesdelIIIGrupodeTrabajodelaFCCCSRICsobrelasmejoresprácticasrecomendadassobreseguridaddelBGP:http://transition.fcc.gov/bureaus/pshs/advisory/csric3/CSRIC_III_WG4_Report_March_%202013.pdf


AMENAZASMÓVILESYDEVOZELENTORNOMÓVILConlallegadadelosteléfonosinteligentesylosmercadosdeaplicacionesparadispositivosAndroid,Apple,WindowsyBlackberry,losconsumidoresutilizancadavezmássusdispositivosmóvilesparaaccederalascuentasenlínea,realizarcomprasyrealizarotrastransaccionesfinancieras.Losteléfonosinteligentesrepresentanel70%deloscasi1850millonesdeteléfonosmóvilesvendidosentodoelmundoen2014xliv,conAndroidyiPhonedominandolaesferadelosdispositivosqueactualmenteseutilizan.Lastabletas,queconfundenellímiteentreelteléfonoycomputadoratradicional,sehanconvertidotambiénenunactorsignificativoenesteámbito.Lasventasminoristasdedispositivosmóviles,queincluyenlastabletas,aumentódel11%delmercadoelectrónicomundialen2011xlval13%en2014xlviEnelmundo,existenaproximadamente3700millonesdeusuariosactivosdetelefoníamóvilxlvii,quesuperael50%delapoblaciónmundialde7300millonesdehabitantes,xlviiiylosteléfonosmóvilessonelprincipalpuntodeaccesoaInternetparamuchaspartesdelmundo.Enelúltimotrimestrede2014,losproveedoresenviaronmásde500millonesdeunidadesmóvilesatodoelmundo.xlix

MERCADOSDEAPLICACIONESAdiferenciadelmercadodelsoftware,dondelasprincipalesaplicacionessondesarrolladasporproveedoresconocidosyconfiablesylosusuariossonmenospropensosainstalaraplicacionesdefuentesmenosconfiables,elecosistemadelasaplicacionesmóvilesfomentaquelosusuariosfinalesdescarguenunagrancantidaddeaplicacionesdebajocostodesdepequeñosproveedoresqueconfrecuenciasonmenosconfiablescomo,enalgunoscasos,empresasunipersonales.Enmuchospaíses,lamayoríadelasaplicacionesseobtienedelosmercadosdeaplicacionesqueposeenunniveldeseguridadinadecuada,yquebrindanaplicacionesconmalwareincluido.Enotrospaíses,losusuariossepuedenlimitarinicialmentealacargadeaplicacionesqueprovienensólodeproveedoresdelOSdelteléfonoodemercadosdeaplicaciónaprobadosporeloperador;sinembargo,losusuariospuedenomitirconfiguraciones,permitiendoasíelaccesoacualquieraplicacióndelmercado.LosprincipalesproveedoresdeOSparateléfonos,porejemploGoogle,Apple,MicrosoftyRIMoperanmercadosdeaplicacionesdealtovolumenconmayorseguridad.Apple,porejemplo,tiene1,4millonesdeaplicacionesensutiendadeaplicacionesygenerauntotalacumuladodeUSD25000millonesenventasdeaplicacionesydesarrolladoresdejuegoshastalafecha.Sinembargo,laescaladeinclusolosmercadosmássegurosdeaplicacionesdificultalaprevencióndelaofertaocasionaldemalware.Comoelcomercioelectrónicohamigradoalentornomóvil,losactoresmaliciososyestafadoressehanadaptadorápidamente.

AMENAZASESPECÍFICASYLASMEJORESPRÁCTICASRECOMENDADASSEGURIDADDELOSMERCADOSDEAPLICACIONESLosteléfonosinteligentespuedenserafectadosporlainstalacióndenuevosoftware,amenudoobtenidodemercadoscontroladosporelfabricantedelOSdelteléfono.En2014,Symantechallóqueel17%(másde160000)detodaslasaplicacionesAndroideranrealmentemalwareocultol.Enunarevisióndelas100aplicacionesdesaluddisponiblesenlatiendadeaplicaciones,el20%transmitíanlascredencialesdelusuariosincifrarlas,másdelamitad(el52%)noteníaningunapolíticadeprivacidadvisibley,enpromedio,cadaaplicacióncontactócincodedominiosdeInternet(típicamenteunamezcladepublicidadyserviciosdeseguridad)li.


Algunosproveedoresdesistemasoperativosymercadosdeaplicacionestienenlacapacidaddeeliminaraplicacionesmaliciosasdelosteléfonossilasaplicacionesfueronoriginalmentedescargadasdesdelosmercadosdeaplicaciones.Antesdeentrarenesosmercados,lasaplicacionessonrechazadassiviolanlaspolíticasdeseguridadcorrespondientes.Applehacolocadomásrestriccionesenlasaplicacionesantesdepermitirlesingresarenelmercado(elllamadoAppStore).LatiendaGooglePlaytieneunapolíticadeaceptaciónmásabiertaydependemásdelaeliminacióndeaplicacionesaceptadasquesonmalintencionadasoviolanlaspolíticasdelatiendadeaplicaciones.Cuandounconsumidorcompraunteléfonointeligente,elaccesoalatiendadeaplicacionesnooficialesporlogeneralestádesactivado;elteléfonosólopuedeingresarenunpequeñogrupodetiendasdeaplicaciones"oficiales"(porejemplo,elfabricantedelOSyeloperadordetelefoníamóvil).LosdispositivosmóvilesqueutilizanelsistemaoperativoAndroidtienenunaconfiguracióndenominada"orígenesdesconocidos"conunacasilladeverificaciónparaautorizarlainstalacióndeaplicacionesfueradelmercado.ElusuariopuedeconfigurarlosteléfonosAndroidparapermitirlaconexiónatiendasdeaplicacionesnooficialesoalternativas.LosdispositivosdeApplerequierenunprocesotécnicamentemásdifícilde"jailbreaking";sinembargo,paralosusuariosmenosexperimentados,eljailbreakingseofrececomounserviciodebajocostoenmuchosquioscosypuntosdeventa.Inclusoparaaccederalastiendasdeaplicacionesalternativasylegítimas,comolatiendadeaplicacionesdeAmazon,estacasilladeverificaciónpuedesernecesaria.Lamentablemente,luegoelteléfonoquedaabiertoalainstalacióndefuentesdesconocidas.Entonces,esmásfácilquelosusuariosinstalenmalware.Elcreadordelmalwareconsigueunpaselibresinsupervisiónporpartedecualquiertiendadeaplicacionesmóvilesyoficialunavezhabilitadoelaccesoatiendasdeaplicacionesnooficiales.Tambiénexistennuevasformasdequelosestafadoresevadanlasrestriccionesdelatiendadeaplicacionesinclusosielteléfonoestáconfiguradoparautilizarsólolatiendadeaplicacionesoficial.LosnavegadoresdedispositivosmóvilespuedenutilizarseparainstalaraplicacionesHTML5,quecolocauníconoenlapantallaprincipaldeldispositivoqueseasemejaaunaaplicacióninstaladaenunatiendadeaplicaciones.Losdelincuentesluegopuedenatacarvulnerabilidadesenelnavegadordestockquevieneconeldispositivomóvilolosnavegadoresalternativosqueelusuariopuedeelegirparainstalar.Losvínculosdesdeelnavegadorconlasfuncionesnativasdeldispositivocomocámara,micrófono,marcadoresdeteléfonoyubicacióngeográficapuedenserutilizadosporundelincuenteparaobtenerdatosdecarácterpersonalylasactividadesactualesdelusuariodeldispositivomóvil.Eliniciodesesióndeusuarioylacontraseñaqueutilizacadadispositivomóvilparaaccederalatiendadeaplicacionesyautorizarlascomprasesunpuntoimportantedevulnerabilidad.Unavezqueobtienenestascredenciales,losdelincuentespuedencausarpérdidasfinancieraseinstalarspyware.LossistemasoperativosparamóvilesdeAppleyGoogleenlaactualidadrequierenelmismousuarioylamismacontraseñacomoclaveparaingresaralatiendadeaplicacionesyalrestodelosserviciosqueincluyenequiposportátiles,almacenamientodearchivosenlanube,contactos,calendarioycorreoelectrónico.Mientrassólounnombredeusuarioyunacontraseñaenelpasadolepermitiríanaundelincuenteaccederalacuentadecorreoelectrónicodelsuscriptor,lasmismascredencialesahorabrindanelaccesoalatiendadeaplicaciones.Envarioscasos,losusuarioshansufridolaeliminacióndedatosdeequiposportátilesyteléfonosdespuésdequelosdelincuentesobtienenestainformaciónclave.Diferentesproveedoresofrecenunaprotecciónantivirusparaalgunosteléfonoseintentanprobartodaslasaplicacionesnuevasenlastiendasdeaplicacionesparadescartaractividadointentosmaliciosos.


LASMEJORESPRÁCTICASRECOMENDADASSOBRELASTIENDASDEAPLICACIONESPARAELGOBIERNOYLAINDUSTRIA:

1. “Neutralidaddelaaplicación”:Lepermitealosusuarios,alosoperadoresderedesotercerosconfiadosparaespecificardemaneraexplícitaotrastiendasdeaplicaciones"confiables",ytalvezelniveldeconfianzaasociadoacadauno.Estolepermitealosconsumidoreselegirotrastiendasdeaplicacionesdeconfianzasinexponerlosaunriesgodedescargasdesdefuentesdesconocidas.

2. Identifiqueaplicacionesconpotencialmaliciosomedianteexámenesdeseguridadrigurososantesdepermitirleselaccesoalastiendasdeaplicacionesparaevitarreclamosfuturos.

3. Proporcioneadvertencias,controlesyeducaciónalosusuariosparareducirlosincidentesdeusuariosquesonengañadosmedianteinstruccionesmalintencionadasparaevadirlasmedidasdeseguridad.

4. Mejorelaspolíticasdeseguridadparaelrestablecimientodecontraseñasparalastiendasdeaplicacionesyevitarquelosdelincuentesobtengancredencialesquenolespertenecen.

5. Esposiblebloquearauricularesparaaccederúnicamentealastiendasdeaplicacionesoficiales,comounamedidaanticompetitiva.Mientrasquelosconsumidorespuedenestarbienprotegidosporestemodelo,invitaalosconsumidoresaemplearsolucionesquepresentanvulnerabilidadesenlaseguridad(porejemplo,dispositivosparajailbreaking,rootingodesbloqueo).Laspolíticasquepermitenoasistenenelbloqueodelatiendadeaplicacionessedebencompararconelimpactodelasvulnerabilidadesdeseguridadcreadasporeldesbloqueo.

6. Fomentelamembresíadelastiendasdeaplicacionesencentrosdeanálisisdeamenazasenlínea/debotnet,demodoquesepuedenbeneficiardeanálisis,alertaseinformesprocedentesdeestoscentros.Esposibledetectar,marcaryeliminarlasaplicacionesmalintencionadasdelamaneramásrápidaposible.

7. Proporcionemecanismosquelepermitanalosusuariosrealizaruninformesobreaplicacionespotencialmentemalintencionadas.


ELMALWAREMÓVILExistenaplicacionesmaliciosas,llamadasmalwaremóvil,paradispositivosAndroid,iOS,WindowsPhone,Symbian(Nokia)yBlackberry.ActualmentelamayoríademalwaremóvilapuntaalaplataformaAndroidenáreasconabundanteusodelosmercadosnooficialesdelaaplicación.Lamayoríadelmalwareesopareceserunaaplicaciónútilysedistribuyeensitiosweboatravésdetiendasdeaplicacionesnooficiales.Confrecuencia,lospromotoresdemalwarecorromperánaplicacioneslegítimasmediantelainsercióndelcódigo"troyano".Así,losusuariospuedeninstalarestasaplicacionesmodificadas,sinsaberquecontienencódigomalicioso.Losdelincuentesutilizancadavezmáslapublicidaddigitalcomovehículoparapropagarmalware;estoseconocecomomalvertising.También,elaño2014violaapariciónde"SMSWorm"liiquesepropagaatravésdeSMSentrelaslistasdecontactosdeteléfonosmóvilesinfectados.LosdestinatariossonengañadosparahacerclicenelenlacemaliciosoquevieneenelSMSyqueconducealataqueensí.SiinstalanelataqueentoncessuscontactosrecibiránelmismoSMSmaliciosoquehacequeestevectordeataqueseamuyviral.Engeneral,elmalwarerealizaaccionesquegeneraningresosparalosatacantes.Losesquemasdemonetizacióndirectacausanpérdidasfinancierasdirectasalavíctimaeincluyenaplicacionesmalintencionadasquepuedenrealizarunagranvariedaddefunciones,porejemploelenvíodemensajesSMSpremiumauncódigocortoregistradoporlosatacantes,ladescargadecontenidospagospordescarga;clicenvínculosdepagoporclic;larealizacióndellamadassalientesanúmerosdeteléfono;interceptacióndecredencialesdehomebanking;lasolicituddeunpagoporrescateparadesbloqueardispositivosdelasvíctimas.LosatacantestambiénpuedengeneraringresosindirectamenteporlarecoleccióndenúmerosdeteléfonoparaenvíodespamporSMS,recoleccióndedispositivosydatosdeusuarioparamarketing,desplieguedeanuncios,ventadeaplicacionescomercialesdespywareyusodeldispositivoinfectadoparaatacarmonedaencriptada.Además,lasaplicacionescomercialesdespywarelepermitenauntercerosupervisaraunapersonayrecopilardatosdedispositivoyusuariocomomensajesSMS,correoselectrónicos,ubicaciónyregistrosdellamadas.AcontinuaciónsemuestranejemplosdestacadosdemalwareparaAndroid,BlackberryeiOS.

AtaquedeOlegPliss(2014):ElataquedeOlegPlissutilizaunataquequeafectaaiCloudparabloqueareliPhonedeusuarios.Slocker.A(2014):Aparentemente,Slocker.aeslaprimerainstanciaderansomwaremóvildecifradodearchivos.EncriptaarchivosdedatosdelusuarioendispositivosAndroidyluegoexigeunpagoparaobtenerlaclave.SMScapers(2013–actualidad):Estemalwarepareceunaaplicaciónparaadultosysedifundeatravésdelapublicidadmóvil.RealizacargosocultosmedianteelenvíodeunSMSauncódigocortodetipopremiumysuprimelanotificacióndeSMSentrantedeimportancia.LacampañasedirigíaprincipalmentealReinoUnido;sinembargolaaplicacióndelareglamentaciónhacontribuidoaunabruscadisminucióndedichaactividad.Lacampañasedividióenmásdeveinteentidadesjurídicasdiferentesporloañadiócomplejidadalprocesodeejecución.Lacampañatodavíaexisteenotros15paísesliii,liv.


Worm.Koler(2014–actualidad):Elaño2014sufrióelataquedeAndroidRansomwaredondesurgieronnumerosasmuestras,comoScareMeNot,ScarePackageyColdBrother.LosEstadosUnidosobservaronqueWorm.KolerseextendíaatravésdeSMSaloscontactosalmacenadosenlosteléfonosinfectados.EltaquetambiénbloqueaeldispositivodelasvíctimasconunaadvertenciadelFBIfalsaqueindicaelcontenidoilegalencontradoenelauricular.Luegoselessolicitaalasvíctimasluegopagarunamultaparaevitarcargosdelictivosyparaliberarsusteléfonos.DeathRing(2014–actualidad):DeathRingapuntaprincipalmenteaAsiaysetratadeunmalwarequeintentasuplantardatosconfidencialesdelasvíctimasmedianteelenvíodeSMSfalsos.Elvectordeataqueesúnicodadoqueelmalwareparecesugerirquelosdelincuentesseinfiltrabanenlacadenadesuministroenalgúnmomento.

LASMEJORESPRÁCTICASRECOMENDADASPARALAINDUSTRIAYELGOBIERNOPARAEVITARELMALWAREMÓVIL:1) Eduquealosconsumidores,medianteanunciosdeserviciopúblico,páginasweb,folletosyotros

mediosparahacerlosiguiente:

a) Obteneraplicacionessóloenmercadosdeaplicacionesdeproveedoresconbuenareputaciónqueverificanlasaplicacionesolosdesarrolladoresodirectamentedelosproveedoresdeaplicacionesreconocidos.

b) Revisaryentenderlaspantallasdeautorización,losacuerdosdelicenciadeusuariofinal,laspolíticasdeprivacidadylostérminosdelacuerdoalinstalarlasnuevasaplicaciones.

c) Mantenerlasrestriccionesdeseguridadpredeterminadaseneldispositivoynohacerjailbreakeneldispositivo(eljailbreaksediscuteacontinuación).

d) Instalarlocalizadorremotoysistemadebloqueodesoftwareparaasistirenlarecuperaciónyproteccióndedatosenteléfonosrobadosyperdidos.Porejemplo,laidentidadinternacionaldelequipomóvil(IMEI)esuncódigode15o17dígitosqueidentificadeformaexclusivaunteléfonomóvil.ElcódigoIMEIlepermiteaunaredGSMoUMTS(ServicioUniversaldeTelecomunicacionesMóviles)bloquearunteléfonoextraviadoorobadoparaquenopuedarealizarllamadas.

e) Instalaryejecutarsoftwaredeseguridadmóvilentodoslosdispositivos.

2) Desarrollarinstalacionesyanimaralosconsumidoresarealizarlanotificacióndeaplicacionessospechosas.

3) Alentar,automatizaryfacilitarlarealizacióndelacopiadeseguridaddedatosdelteléfonoaunanubeoamediodealmacenamientopersonal(porejemplo,unequipo).

4) Evaluarelusodesolucionesdeseguridadmóvil,comounnavegadorseguro,solucionesdegestióndeldispositivomóvil(MDM),espaciosaisladosmóvilesyaplicacionesqueprevienenlapérdidadedatosconelfindeminimizarelriesgodeinfecciónyelimpactoresultante.

UnexcelenteejemplodelaeducacióndelconsumidorconlasmejoresprácticasrecomendadasfuecreadoporOfcomypuedeencontrarseaquí:http://consumers.ofcom.org.uk/files/2014/1394750/using-apps-safely-and-securely.pdf


AMENAZASMIXTASLosdispositivosmóvilesahoraseutilizanenelprocesodeautenticacióndemúltiplesfactoresparainiciosdesesióndecuentadealtovalor.Unejemplodelaamenazamixtadeautenticaciónbifactorialesunusuarioquevisitaunsitiowebfinancieroensuequipodeescritorioeiniciasesiónconunnombredeusuarioyunacontraseñacomoenelpasado.Peroahora,elbancoexigeunpasomásparaqueelusuarioaccedaasucuenta:recibirunallamadaounmensajedetextoensuteléfonomóvilconuncódigoqueelusuarioluegoescribeenelnavegadorwebdelequipodeescritorio.Estepasoadicionalseañadiódebidoaexistenmuchosequiposdeescritorioinfectadosconmalwarequehanenviadolacontraseñadelbancoalosdelincuentes.Losdelincuenteshandemostradoserpersistentesenelataqueacadanuevométododeprotección.Ahoradebenobtenerambascontraseñasfinancierasdelusuarioyluegollamarsuteléfonomóvil,ysercapacesderelacionarlas.Estohacequelosteléfonosseanunblancoaúnmásvaliosoparaquelosdelincuenteslosataquenytomenelcontrol.Estecontrolpuedeserfísicoenelcasodelrobodelteléfonodelusuarioorealizadoremotamenteconunsoftwareespíaqueatacaeldispositivomóvil.Decualquiermanera,lasamenazasmixtasrequierenmásesfuerzodepartedelosdelincuentesyprobablementeapuntenacuentasosistemasdemayorvalor.Lasaplicacionesdeundispositivomóviltambiénseutilizancomogeneradoresdetoken,comoloscódigosdeseisdígitosquesolíamosversolamenteenlosdispositivosdeautenticaciónfísicosbifactoriales,comoGoogleAuthenticatoryAmazonAWSVirtualMFA.Segúnelpuntodeventajadelosdelincuentes,puedensercapacesdeobservarelcontenidodeltráficoentranteysalientedealgunosdispositivosmóvilesyrecopilarloscódigosdeautenticación.Esteeselcasoconloscódigosenviadosporcorreoelectrónico,quealgunosbancosofrecencomoopción.EltráficodeSMS(mensajesdetextomóvil)noestácifrado.Lafaltadeunainfraestructuraparacompartirinformaciónsobreamenazasmixtassepuedeconvertirenunaamenaza;permiteunagrancantidaddeataquesquedelocontrarionoexistirían.Loquesenecesitaesdiseñareimplementarestrategiasdedefensaeinfraestructurasqueinvolucrenentidadestécnicas,políticas,policialesyjurídicasenvariospaíses.


MODIFICACIÓNDEDISPOSITIVOSMÓVILESMuchosfabricantesdeequiposoriginales(OEM)ylosoperadoresderedmóvil(MNO)establecenentornosmóvilesysegurosparamantenerlaestabilidadyseguridaddeldispositivo,ylograrunaexperienciadeusuariopositiva.Enmuchoscasos,lamodificacióndeestosentornoscreavulnerabilidadesdeseguridadquepuedenexponerlainformacióndeusuario,habilitaelrobodeservicioenlaformadellamadastelefónicasomensajesdetextosinautorización,habilitaelcontrolremotodelosrecursosdeldispositivo,comomicrófonosocámarasquepermitenescucharoversinconsentimientodelusuarioohabilitaaunenemigopararealizarunalargalistadeotrasactividadesnoautorizadas.Existennumerosastécnicasparamodificarelhardwareysoftwaredeundispositivo,perotresdelasmodificacionesmásconocidassonel"jailbreaking",el"rooting"yel"desbloqueo".JAILBREAKINGDEUNDISPOSITIVO"Jailbreak"escuandounapersonareemplazaloscontrolesincrustadosenundispositivo.ElfabricantepuedeutilizarcontrolesOEMparaaplicarpermisosdelaaplicación,protegeráreascríticasdelsistemadearchivosenundispositivo,forzarlaautenticacióndeaplicacioneseneldispositivo,hacercumplirlacomplejidaddelacontraseña,entremuchasotrasfuncionesadministrativas.¿Porquésehacejailbreakingenundispositivo?Unarazónesque,inclusoconcientosdemilesdeaplicacionesdisponibles,algunaspersonasquierenunaversiónpersonalizadaomodificadadelasaplicacionesmóviles.Enalgunoscasos,unaaplicaciónmodificadapuedecostarmenosquelaaplicaciónoficial(peropuedeviolarlosderechosdeautor);sinembargo,laaplicaciónmenoscostosapuedetambiéncontenercontenidomalicioso.ROOTINGDEUNDISPOSITIVOEljailbreakinglepermiteaunusuariosuplantarcontrolesyelevarelaccesodelusuarioparaobtenerlosprivilegiosderaízdeundispositivo,queenúltimainstanciaconcedealusuariotodoslosprivilegiosdelsistemaoperativo.El"rooting"deundispositivolepermitealusuariolosmásaltosprivilegiosdeunsistemaoperativo.¿Porquésehacerootingaundispositivo?Ademásdecargaraplicacionespersonalizadasonoautorizadasyevitandocontroles,elaccesoalaraízhabilitaqueunusuariomodifiqueloscomponentesylafuncionalidaddelOS,oloreemplaceporcompleto,enundispositivo.AlgunossistemasoperativosinstaladosendispositivosmóvilessebasanenunaformaUNIXconungrupolimitadodecomandos;mediantelamodificacióndelsistemaoperativo,losusuariospuedenliberaralmacenamientoeliminandofuncionesinnecesariasparalamayoríadelosusuariosdedispositivosmóviles.Elrootingdeundispositivotambiénlepuedepermitiraunusuariocargarcomandosadicionalessegúnlodesee.DESBLOQUEODEUNDISPOSITIVOLosoperadoresderedesmóviles(MNO)puedensubvencionarlasventasdeteléfonosmóvilesbajouncontratoquerequiereelusodelareddelMNOduranteunperíododetiempo.Paraayudaraprevenirelfraudeyelrobo,losMNOutilizanconfrecuenciaunmediotécnicoconocidocomo"bloqueo"querestringeelusodelteléfonoensupropiared.Undispositivosepuededesbloquearnormalmenteintroduciendounúnico"códigodedesbloqueo"proporcionadoporunMNOsegúnseasolicitadooporcumplimientodeuncompromisocontractual.Losconsumidorestambiénpueden


Ejemplo:ZeusMitmo(Hombreenelmedio/móvil)ZeusesuntroyanoqueseatacaaequiposqueutilizanWindowseintentarobarinformaciónbancariamediantelapulsacióndeliniciodesesiónenelnavegadorjuntoconlarecuperacióndeformularios.LosmecanismostípicosdelaproliferacióndeZeuseranmedianteactividadesdedescargaocultaeintentosdephishingqueengañanalusuarioanavegarhaciaunsitiomalicioso.Seidentificóporprimeravezallápor2007yharecibidomuchasactualizacionesquehanincrementadosusofisticación;másrecientemente,seobservóelataqueenlaesferamóvil.EstaactualizaciónbeneficiaalmalwareZeusyaquemuchasempresas,inclusolasinstitucionesfinancieras,estánusandoSMScomounsegundovectordeautenticación,porloquetenerelnombredeusuarioenlíneaylacontraseñayanoessuficienteparaelrobodeidentidad.LaevolucióndeestevectordeamenazaestableceunaalternativaplaneadaporunapandilladeZeus:infectareldispositivomóvily"olfatear"todoslosmensajesSMSqueseentregan.Elescenariosedescribeacontinuación.● Elatacanterobaelnombredeusuarioenlíneayla

contraseñamedianteunmalware(ZeuS2.x).● Elatacanteinfectaeldispositivomóvildelusuario

porqueloobligaainstalarunaaplicaciónmalintencionadamedianteunSMSounmalwarequeimitaunaaplicaciónproductivaobancarialegítima.

● Elatacanteiniciasesiónconlascredencialesrobadasmedianteelequipodelusuariocomoproxy/socksyrealizaunaoperaciónespecíficaquerequiereautenticaciónmedianteSMS.

● SeenvíaunSMSaldispositivomóvildelusuarioconelcódigodeautenticación.ElmalwareinstaladoeneldispositivoreenvíaelSMSaotraterminalcontroladaporelatacante.

● Elatacanteescribeelcódigodeautenticaciónycompletalaoperación.

Lospiratasinformáticosluegoutilizanestainformaciónparacontrolarcuentasbancariasdelasvíctimasyrealizartransferenciasnoautorizadasaotrascuentas,típicamentedirigidasacuentascontroladasporredesdemulasdedinero.

encontrarocompraruncódigodedesbloqueoenlínea.Asimismo,siseobtieneelcódigodefuentesdeterceros,losusuarioscorrenelriesgodeperderdatosotenermalwareinstaladoporunvendedordeconfianza.LASMEJORESPRÁCTICASRECOMENDADASAUNINDIVIDUOSOBRELAMODIFICACIÓNDEDISPOSITIVOSMÓVILES:

1. Eljailbreaking,elrootingyeldesbloqueodedispositivosnoserecomiendaacualquierpersonaquebuscaundispositivoestándar,estableconelsoportedelOEMalargoplazo,yaquepuedenintroducirvulnerabilidadesdesconocidasparaelusuario.

2. Noutiliceserviciosnooficialesdedesbloqueoofrecidospor"terceros".

LASMEJORESPRÁCTICASRECOMENDADASPARALAINDUSTRIAYELGOBIERNOEN

RELACIÓNCONLAMODIFICACIÓNDE

DISPOSITIVOSMÓVILES:

1. Desarrolleypromuevalaeducaciónyconcientizacióndelconsumidorsobrelosriesgosdelamodificacióndedispositivosmóviles.

2. CreefuertesproteccionescontralamodificacióndelosOEM.

3. Hagacumplirlaleycontraaquellosquepromuevenataquesalasplataformasmóviles.

AMENAZASDEBANDABASEExistenvariostiposdeamenazasdebandabase.AlgunaspuedenimplicarlacreacióndeunaredGSM(sistemaGlobalparacomunicacionesmóviles)ilícitaqueatraealosdispositivosconectarseaella.Otrospuedenimplicarataquesqueinvolucranmensajesespecialmentediseñadosparaatacarvulnerabilidadesdeseguridadendispositivosmóviles.ConelcrecimientodelainvestigacióndebajocostoylasinstalacionesGSMdelictivas,estasamenazashanproliferado.


Tradicionalmente,laoperacióndeunaredGSMrequiereunainversiónconsiderable,queprácticamentenopermitiólainvestigaciónfueradelasgrandesinstituciones,yrestringióeldescubrimientoylaexplotacióndelosataquesbasadosenlared.Porejemplo,parasuplantaraunaredGSM,unatacantetendríaqueoperarunaBTS.CuandoseimplementólatecnologíaGSM,losataquesbasadosenlaredcontradispositivosfinalesnoocasionabanmayorpreocupación,porloquelosteléfonosnosolicitabanautenticacióndelasredesalaqueconectaban.Sinembargo,recientementeelsoftwarelibredecódigoabierto,comoOpenBTS,hapermitidoquecualquierpersonacreesupropiaredGSMaunafraccióndelcostodelosequiposaniveldeloperador,yseiniciaronestudiosdeseguridadGSMalalcancedelosinvestigadoresdeseguridadydelincuentes.LASMEJORESRECOMENDACIONESPARALAINDUSTRIAYELGOBIERNOPARAEVITARLASAMENAZASDEBANDABASE:Comoportadoresdeadoptannuevastecnologías(porejemplo,3Gy4G/LTE),losteléfonosmóvilesdeberíansolicitarlaautenticacióndelainfraestructuradeloperadoralaqueseconecta.

1. Losproveedoresdeserviciospuedentrabajarconfabricantesdeteléfonosparanotificaralosusuarioscuandoelauricularabreunasesiónquenoutilizaautenticaciónmutua.Estoalertaríaalusuariodeesteposiblevectordeamenaza.

ATAQUEMEDIANTEELSERVICIODETARIFAELEVADANormalmente,estosserviciosseofrecencomoserviciosparaaplicacionesdevozytextofacturadasalacuentamóvilprepagaopostpagadeunsuscriptor;losserviciosdetarifaelevadacomprendenhoróscopospagosporúnicavezyrecurrentes,donacionesdedineroantedesastres,créditosparajuegos,asesoramientoyserviciosdechat,consejosamorososmensualesporSMSyunaampliagamadeotrosesquemas.

ELMODELOCOMERCIALDETARIFAELEVADA:Eldeseodecrearunecosistemadeaplicaciónamigableyampliamenteutilizadohaconducidoadesarrollarentornosdefacturacióncomplejosylargosconvariosmodelosdeparticipaciónenlosingresos,comolatípicasuscripciónmensualaSMSporUSD9,99/mes,quesonampliamenteatacable(serepresentamásabajo).

Enesteejemplo,unoperadorderedmóvilpermiteque"agregadoresdeSMS"independientesobtenganlarutadeunbloquede"códigosbreves"(normalmente,setratadenúmerostelefónicosde4-7dígitosenrutablesdentrodealgunaporcióndelareddetelefoníamundial).ElagregadordeSMSluegovendeconectividadbidireccionalymóvildeSMSaunpropietarioconocidodeaplicacióndehoróscopo,llamadoproveedordecontenidos.Elproveedordecontenidospagaunacomisiónporcadasuscripcióndeunafiliadoalapublicidad.Laspartesadyacentessólopuedenestarrelacionadasenformalibre.


MalwaredetarifaelevadaPhonepayPlus,elreguladordeserviciosdetarifaelevadadelReinoUnidoemitiómultaspor£330000entresempresasdiferentesendiciembrede2014trasdescubrirqueestabanusandomalwaremóvilparagenerarcargosapropietariosdeteléfonosAndroid.Elmalwareresidíaenaplicacionesquesedescargabanautomáticamentesinelconsentimientodelusuariocuandovisitabanciertossitioswebparaadultos.Unavezinstaladas,losconsumidoresiniciabandemanerainvoluntariaunasuscripciónmedianteunclicencualquierlugarenlapantalla.Laaplicaciónentoncesenviabamensajesdetextodetarifaelevadaocultosparaqueel

Laspartesylasrelacionessevuelvencadavezmásproblemáticashacialaderechadeestediagrama.Enalgunoscasos,losproveedoresdecontenidopermitenrelacionessóloporInternetconunaautenticacióndeficienteyconafiliadosalapublicidadquefacilitanunaposibledenegacióndelspamy/ofraudepropioodesusafiliados.Losmecanismosdepagocasianónimos,comotransferenciasabancosextranjeros,lastransaccionesenefectivovirtualnoreglamentadaenInternetolosmecanismosdepagoenlíneareducenlasbarrerasyfacilitanelfraudealspam.Lasestafasmedianteelserviciodetarifaelevadahanestadoocurriendodurantemuchosaños,perolamayorpenetracióndelosserviciosmóviles,laevolucióndedatosmóvilesyelestablecimientodeunecosistemadeciberdelincuenciamundialhanllevadounaumentoenlacantidadyvariedaddelosataques.Elfraudepuedeocurrirencasicualquierpasodelprocesodelservicioodelpago,desdeengañaralusuarioparaquedeformainvoluntariauseosesubscribaaunservicio,unafiliadoquereclamaunasubscripciónfalsa,hastaunmalwaremóvilquesigilosamenteenvíamensajesalosserviciosdetarifaelevadasinelconocimientodelabonado.Unataquefrecuenteinvolucraaestafadorqueestableceunnúmerodeserviciodetarifaelevadayrealizaunallamadadevozde"unring"oenvíaunmensajedetextoaunavíctima,conlaesperanzadequerespondan.Estoconduceaquelapersonaquellamalohaceaunserviciodepagoporllamadasinsuconocimientooconsentimiento.Tambiénsehaobservadolasuscripciónnoautorizada,"forzada"alos"consejosamorosos"detarifaelevadaoaotrosserviciosdemensajesdetextodeafiliadosy/oproveedoresdecontenidos.EstohacausadoquemuchosagregadoresdeSMSimplementenunaverificaciónsecundaria,normalmentemedianteunmensajedeconfirmaciónounintercambiodepinesentrelossuscriptoresalSMSyelagregadordeSMS.Peroinclusoestoshansidoatacados;porejemplo,elmalwareparaAndroidGGTrackerenvíaunmensajeSMSdesuscripciónyconfirmaciónsinconocimientodelossuscriptores.lvLasuplantacióndeidentidaddelsuscriptor,atravésdelaccesonoautorizadoaredesoataquescriptográficosesotrométodoparacometerfraudecontarifaelevada.


LASMEJORESRECOMENDACIONESPARAAINDUSTRIAYELGOBIERNOPARAEVITARLASESTAFASMEDIANTELOSSERVICIOSDETARIFAELEVADA:Elfraudemedianteserviciosdetarifaelevadaessimilaramuchosotrostiposdedelitoscibernéticos;seaborda,porlotanto,demaneraapropiadaporunaseriedetécnicasfrecuentes,comolaautoprotección,lacapacitacióndelconsumidorylaproteccióndelconsumidorymedidasantimalware.MuchosoperadoresmóvileshanestablecidounserviciodenotificaciónparapermitirquelossuscriptoresinformenspamporSMSmedianteelreenvíodemensajesauncódigobreve(porejemplo,7726quedeletrealapalabra"spam").MuchosgobiernosyagenciasdeordenpúblicoresponsablesdelspamporSMSspamenalgunospaíseshandefinidosuspropiosnúmerosparaenviarinformes,como1909enIndia,33700enFrancia,y0429999888enAustralia.Lasmedidasespecíficasparaevitarlosfraudesdetarifaelevadasonladefensatemprana,lasaccionessocialesylaconfirmaciónadicional.

1. ReclamosaTSPoreguladores:Fomentelapresentacióndereclamosdeconsumidores.EstosreclamospermitenquelosTSPidentifiquenlafuentedelaamenazaeimplementarlosmecanismosdedefensaquepermitanladeteccióntemprana,antesdequesehayatransferidodinero.Lainclusiónyelcumplimientodelascláusulassobrelaluchacontraataquesensustérminosycondiciones,losTSPylasplataformasdeserviciodetarifaelevadapuedebloquearlospagosrealizadosalosdelincuentesantesdequeocurran.SeadviertealTSPenunaetapatempranaatravésdedenunciashacecumplirsustérminosycondiciones,desautorizandoelcasodeldelincuente.Demanerasimilar,losreclamosantelosreguladoresylasagenciasdeordenpúblicoproporcionanunainteligenciaabundantequepuedellevaralaaplicacióndelaleycontralosestafadores.

2. Accionesdelossociosrespectodelasrelacionesylospagos:Elfraudedependedelaextraccióndedinerohaciaunaubicaciónocultaoirrecuperable.Laspartessepuedenprotegerasímismosalexigirunaidentificación,calificacionesyautenticaciónválidasdeterceros,medianteelusodemecanismosdepagodebuenareputaciónopordemorarelpagoduranteunperíodosuficiente.

3. Otrasconfirmaciones:Comomuchosdelosataquesimplicanunacomunicaciónfalsificadaoforzadaentrepartesadyacentesdelacadenadepago,lasnotificacionesyconfirmacionesentrepartesmásrespetadaspuedenpreveniroidentificarrápidamenteelfraude.EjemplosdeestocomprendenunMNOounagregadordeSMSqueconfirmalasuscripciónconelsuscriptorenlugardeconfiarexclusivamenteenlasafirmacionesdelelementoqueprecedeenelflujodepago.

SPAMMÓVILElsiguienteescenariodescribelarecienteactividadspaminternacionalydemuestraelpapelfundamentalquejuegalacolaboracióninternacional,enparticularentreempresas,comofundamentalparaladefensaredesysuscriptores.EloperadorAyeloperadorBestánendiferentespaíses;ambospaísestienenmuchoshablantesdelmismoidioma.ElspamqueseoriginaenlareddeloperadorArepresentalamayoríadelspamqueingresaenlareddeloperadorB.EloperadorArastreaelspamensuredmedianteelinformedelspambasadoencódigobreveyelanálisisdelosregistrosdelservidordemensajería.EloperadorB


tambiéntieneinformesdespambasadoenelcódigo,peronorecopilalosnúmerosdeorigendelosmensajesquesonreportadoscomospam.Sinembargo,eloperadorBrealizaunaexploraciónantispamautomatizadaeneltráficodemensajería.Comoresultado,lareddeloperadorBrecopilainformaciónacercadefuentesyelcontenidodespam.EloperadorAyeloperadorBdescubrieronporseparadoelspamprocedentedelareddeloperadorAydestinadoaloperadorB.EloperadorAeliminaalosspammersqueidentificaensured,perosólosiharecibidounciertovolumendelosinformesdespamcontraunnúmerodadodeorigen.Porlotanto,siemprequeunspammerenlareddeloperadorAenvíespamsolamenteanúmeroseternosdelareddeloperadorA,estepuedeenviarspamsinlímitesalossuscriptoresdeloperadorB,porque:

a) EloperadorAnuncarecibiráinformesdespamdesuspropiosabonados,surequisitoparalaactivacióndeunainterrupción;y

b) Noexisteinformaciónalgunasobrecompartirprácticasparafrustraralosspammersinternacionales.

Enausenciadedatoscompartidosentrelosoperadores,losspammerspuedenfuncionarlibrementedentrodeundeterminadopaíssiellosenvíansuspamsóloparalossuscriptoresdelosoperadoresquenopertenezcanalaredenlaquetienensuscuentas.LASMEJORESRECOMENDACIONESPARALAINDUSTRIAYELGOBIERNOPARAEVITARELSPAMMÓVIL:Diálogoeintercambiodeinformación:Losspammersaprovechanlasvulnerabilidadesentreproveedoresdeserviciosenlaspolíticascontraelabuso,lasdefensasyelconocimiento.UnadelasleccionescentralesaprendidasapartirdelaproliferacióndelspamdeInternetdesdesusiniciosen1993hastalaactualidad,cuandoelspamyarepresentaaproximadamenteel90%deltráficodecorreoelectrónicodeInternet,esquecuandolosparticipantesdelecosistemacomparteninformación,cambiaeljuegoparalosspammers.Eldiálogoentreempresasyelintercambiodedatoscontercerosfacilitadores,comodesarrolladoresdetecnologíayorganismosindustrialesesvitalparaprotegerelecosistemamóvildelamigracióndeherramientasylastécnicasperfeccionadasdespamydelosspammersenInternetdurantemásdeunadécadaomáshaciaelmundomóvilinterconectadomundialmentecadavezmásbasadoenIP.

Mientrasquelossiguientespuntosdedatosnosoncríticosparalacolaboraciónentrelosproveedoresdeservicios,sonútilesparafrustraralosspammers,ypuedensercapturadosatravésdeinformesdespam:

Elementosdedatos

Notas

Númeromóvildeloriginadorspam

MSISDN(elnúmeroúnicoasociadoconelmicroteléfonodeunabonado)oIMSI(elnúmeroúnicodeunatarjetaSIM)

Cantidadrecibidadeinformessobrespam

Requierelarecopilaciónylacorrelacióndeinformes

Cantidaddeinformantesúnicosdespam

Útilperonocrítico

Reddeloriginadordespam

Derivadodeoperacionesdebúsqueda


Tengaencuentaqueningunodeloselementosdedatosidentificadosanteriormentebrindaninformacióndeidentificaciónpersonaldelinformantedespam.Lainformaciónsóloserecogeenelnúmeroqueseinformócomospamdeorigen.ComoenelejemploanteriordeloperadorAyeloperadorB,elintercambiodedatosdeloselementosanteriormenteayudaacombatirelcorreonodeseadodentrodeunpaísdeterminado,tantocomolohaceatravésdelasfronterasdelpaís.Haybeneficiosyriesgosparaelintercambiointernacionalentreoperadoresdelosdatosseleccionadosapartirdeinformesdespam.Losbeneficiosincluyenactivandosolucionesdequejasdesuscriptoresvoluntarios.Elintercambiodedatosyeldiálogoantispamentreoperadorestambiénfacilitalasaccionesdevigilancia,refinamientoycumplimientodesuspropiaspolíticasdeusoaceptable.Porúltimo,elintercambiodedatospuedeproporcionarevidenciaquecorroboralasdecisionesdeinterrupcióndeloperador,asícomoparalaaplicacióndelaley,ylosagentesreguladores.Lacolaboracióninternacional,entreoperadoreshaciaestasmetasharáqueseamásdifícilparalosspammersmóvilesparaocultar.Porotrolado,sedebenestudiarcuestioneslegales,deprivacidadydeseguridaddurantelaimplementacióndetodacolaboracióninternacionalenestaesfera.Enlaactualidad,estascuestionesactúancomounimpedimentoparalacolaboraciónentrepaíses.Algunoshanseñalado,sinembargo,queestosproblemasdeprivacidadsoninjustificadosporque1)losinformessobrespamsonenviadosvoluntariamenteporlossuscriptores;2)noesnecesarioincluirningunainformacióndeidentificaciónpersonal(PII)cuandoseintercambiandatosdelreclamo;y3)noescríticoincluirelcontenidodelmensajeenelintercambiodedatosdelreclamo.(CompartirelcontenidodelmensajepuedeaumentarelriesgodeintercambioaccidentaldePIIdelosinformantesolaspersonasquenoseanelspammer.Sinembargo,elcontenidodelosmensajesinformadoscomospamtambiénpuedeserútilparaidentificarybloquearelspam).Enresumen,elintercambiointernacionaldeciertoselementosdedatosentreoperadorescambiaeljuegoparalosspammers,yaquelesdejamenoslugaresdondeesconderse.Elintercambiodedatosrequeriráeldiálogoyelconsensosobrelosdatosquesepuedencompartir,asícomolosformatosdeintercambiodedatosentrelosparticipantesdelecosistema.Laindustriatambiénsedebeesforzarparainformaralasagenciasdeordenpúblicocuandoseadviertanuncomportamientoilegaldesusredesysistemas.Lacoordinaciónconlasagenciasdeordenpúblico,enlaesferapenalyregulatoria,amenudo,puedellegaralorigendelaamenaza,yeliminalasganasdetercerosdeparticiparendichaconducta.

ELAUMENTODELOSATAQUESINTERNACIONALESAmedidaquelasnacionescombatenataquesyamenazasinternos,losatacantesdirigensuatenciónaotraparteparaidentificaryatacarvulnerabilidadesinternacionales.Porejemplo,lacampañadeluchacontraelspam"LiberenaiPad/iPhone"realizadaenAméricadelNorteestabadirigidainicialmentealosEstadosUnidos.LosoperadoresdeCanadáylosEE.UU.implementarondefensastécnicasparabloquearelspamenviadoasussuscriptores.LosatacantesrápidamenteidentificaronestoycomenzaronaenviarelspamdeSMSalosabonadoscanadiensesdeteléfonosbasadosenlosEstadosUnidos,evitandoasílasdefensas.Existencasossimilaresentérminosdefraude,phishing,malwareyspyware.Enlamayoríadeloscasos(porejemplo,elspamyelmalwarededefensa),sehaencontradoqueesnecesariodetenerelataqueenelorigen,yaquelasnacionesreceptoraspuedenno


sercapacesdeidentificarelataqueocultoenlosflujosdecomunicacionesdealtovolumen.AligualquelaInternet,lasredesdecomunicacionesmóvilessonglobalesyrequierenunenfoquededefensaycolaboracióninternacional.

CONSIDERACIONESINTERNACIONALESLosciberdelincuentestienenunafuertepreferenciaporoperarenunentornointernacional.Porejemplo,unvendedorenlíneademedicamentosilegalesqueviveenlosEstadosUnidospodríaenviarcorreoelectróniconodeseadopublicitandosusmedicamentosdeunequipoafectadosenBrasil,dirigiendoapotencialescompradoresaunsitiowebconunnombrededominioruso,mientrasquefísicamenteelservidordeesesitiowebestáubicadoenFranciaElpagodelacompracontarjetadecréditosepodríaprocesaratravésdeunbancoenAzerbaiyán,elpedidopodríaserenviadoenbarcodesdeunsitioenlaIndiayelingresopodríasercanalizadohaciaunbancoenChipre.Losdelincuentessabenquealactuardeestamaneraexistenmuchosfactoresquecomplicanlasinvestigacionesoficialesdesusdelitosenlíneayreducensuprobabilidaddecaptura.Estosfactoressonlafaltadecolaboración,lasdiferenciasentrejurisdiccionesyelcostodelasinvestigacionesinternacionales.

COOPERACIÓNINTERNACIONALYJURISDICCIÓN

Losagentesdelordenpúbliconoposeenunpoderilimitado.Enparticular,unoficialdepolicíadeunaciudadopaís,normalmentenocompetenteparacitardocumentosodetenerauncriminalmásalládesupropiajurisdicción.Lasinvestigacionestransfronterizasrequierenlacooperacióninternacionalentrelosorganismospolicialesnacionaleseinternacionales,unprocesoquepuedeimplicarprocesosformalesenormementecomplejos,pornomencionareltiempoylosrecursosnecesarios.Lascomplicacionesasociadasconestosprocesospuedendemorarlasinvestigaciones,ohacerquealgunasinvestigacionesseanimposibles.

Víctimas(elcolorrepresentalaconcentración)

Distribuidores

Serviciosde

Casasdecambioymulasdedinero

Programador

Piratasinformáti


Ejemplo:EstafaenuncallcenterenIndiaAproximadamente60000personasenelReinoUnidofueronrecientementevíctimasdeunaestafamultimillonariaenlibrasesterlinas.LosinvestigadorescreenqueelgrannúmerodevíctimasporlaestafadepréstamosconvierteaestehechoenunodelosfraudesmásgrandesjamásvistosenelReinoUnido.Ensuapogeo,másde1000personaspordíaquehabíansolicitadolegítimamentepréstamossingarantíaconbancosycompañíasfinancierasrecibíanla"llamadafría"deloscallcenterenNuevaDelhi;aproximadamente100personaspordíafueronengañadasparafirmarypagarlosgastosdeprocesamientodeunpréstamoinexistente.SegúnlapolicíadeIndiaserobaronalmenos£10millones.

COBERTURALEGALYJURISPRUDENCIAUnaactividadqueesilegalenunpaíspuedenoserilegalenotro.Porejemplo,algunospaísesnotienenleyesrelativasaspamporcorreoelectrónico,nihanpenalizadoladifusióndemalware.Enotrasjurisdicciones,elsistemalegalnopuedesercapazdemantenersealdíaconunflujoconstantedenuevosfármacos,químicamentediferentesperoequivalentes.Enotroscasos,unaleypuedeestarenloslibros,peroelpaíspuedenotenerantecedentesdeprocesarconéxitoaaquellosquehanvioladoeseestatuto.Cadaunadeestascondicionessonundesafíoparalasagenciasdeordenpúblicoylacolaboración.ELCOSTODELASINVESTIGACIONESINTERNACIONALESElcostodeoperacióninternacionalocasionaquelasagenciasdeordenpúblicosóloseocupendeloscasosestrictamentelocales.Siuninvestigadortienequeviajaraunpaísextranjero,elcostodelospasajesaéreosyotrosgastosdeviajepuedenserconsiderables.Porlotanto,lasagenciasconproblemasdeliquidezsimplementepuedennosercapacesdedarseellujodetrabajarencasosinternacionales.Irónicamente,almismotiempoqueescaroparaeloficialdepolicíatrabajarenundelitodeaspectointernacional,losdelincuentescibernéticossonamenudocapacesdeadquirirbienesoserviciosilegalesenelextranjeroatravésdeInternetapreciosirrisorios.Porejemplo,untalentosoautordemalwaredeunanacióneconómicamentedevastadapodríaestardispuestoacrearunmalwarequeprovocarámillonesdedólaresendañosyperjuiciosporunospocoscientosdedólares.Estascondicionesgeneranenlosciberdelincuentesungranincentivoparatrabajarinternacionalmente,ymuchos,dehecho,lohacen.LASMEJORESRECOMENDACIONESPARAELGOBIERNOYLAINDUSTRIADEACUERDOCONCUESTIONESDECOLABORACIÓNCRUZADA:

1. Colaboración:Laclavedeunadefensainternacionalefectivaeslacolaboración.Enprimerlugar,losorganismosgubernamentalesynogubernamentalesenlasnacionesafectadasdebentomarconcienciadelacuestión.Luego,serequierelacolaboraciónparadiseñareimplementarestrategiasyunainfraestructuradedefensaqueimplicanentidadestécnicas,políticas,policialesyjurídicasenvariospaíses.Losprincipalesdesafíosparalograrlacolaboraciónnecesariasonidentificarelconjuntoadecuadodeforosyobtenerlaasistenciaadecuada.


Elprotocolodeiniciodesesión(SIP)esunprotocolodecomunicacionesparalaseñalizaciónyelcontroldelassesionesdecomunicaciónmultimediayseencuentramásfrecuentementeenaplicacionesdetelefoníaporVoIPoInternet.

LaTDMesunmétododetransmisiónyrecepcióndeseñalesindependientesenunarutadeseñalescomunespormediodeconmutadoressincronizadosencadaextremodelalíneadetransmisión.

2. Intercambiodeinformaciónsobreamenazas/ataques:Elintercambiodeinformaciónsobreamenazasyataquesesesencialparaafrontarlosdesafíosqueexcedenlasfronteras.Sibiensenecesitancomunicacionesdehumanoahumano,laamplitudymagnituddelosataques(porejemplo,losmilesdemillonesdemensajesdespamydephishingrecibidosdiariamente)dictanlanecesidaddeenfoquesmecanizados.Tambiénenestecaso,paraunainfraestructurainternacionalmecanizadaqueseaimplementadaconéxito,sedebenconsiderarlosobstáculosparaunaimplementaciónylaadopcióngeneralizada,queincluyelafragmentaciónentremuchossistemasdispares,diferentesnecesidadesfuncionalesdelosdiferentespaíses(inclusolosimpedimentoslegalesycuestionestécnicas/tecnológicas)ylasdiferentesnecesidadesdelosdiferentesoperadores.Unainfraestructurageneralparaelintercambiodeinformaciónsobreataquestambiéndeberárespaldarmodelosdeservidorescentralizadosypuntoapuntoeidentificarlosprotocolosdeformatoytransferencia.

3. Capacitación:Conelfindereconoceryresponderalasamenazasmóviles,losprofesionalesylasagenciasdeordenpúblicotienenqueestaraldíaconlasnuevastendenciasyamenazas.

AMENAZASTELEFÓNICASDEVOZELENTORNODELATELEFONÍADEVOZLosconsumidorestienenmuchasopcionesconrespectoalasllamadastelefónicasdevoz:conectados,inalámbricos,fuentesalternativas(porejemplo,equipos).Estasllamadaspuedenatravesarlaredtelefónicapúblicaconmutada(PSTN)medianteunserviciodemultiplexaciónpordivisióndetiempo(TDM),vozsobreprotocolodeInternet(VoIP),ounacombinacióndeTDMyVoIP.LatelefoníaporInternetserefierealaintegracióndelosserviciosdetelefoníaenlasredesinformáticas.Básicamente,elprocesoconviertelasseñalesdevozanalógicasquefueronenviadastradicionalmenteatravésdeunteléfonofijoenseñalesdigitales.EstasseñalessetransmitenatravésdeInternetyluegoseconviertendenuevoenseñalesanalógicasdevoz.Elnúmerodesuscripcionesdetelefoníafijaentodoelmundoalcanzósupuntomáximoen2006yhadisminuidoenformaanualdesdeentonces.Porejemplo,lassuscripcionesdetelefoníafijaeranpocomenosde1110millonesdesuscripcionesen2014,frentealosmásde1,14millonesdedólaresen2013.Almismotiempo,elnúmerodeabonadosmóvilesycelularesestáaumentandoentodoelmundo,yseacercarápidamenteelnúmerodepersonasenlatierra.Losabonadosalatelefoníamóvilalcanzaronloscasi7000millonesafinalesde2014,quecorrespondeaunatasadepenetracióndel96%,perolastasasdecrecimientoestuvieronenelnivelmásbajodelahistoria(del2,6%anivelmundial),loqueindicaqueelmercadoseestáacercandorápidamenteanivelesdesaturación.Afinalesde2014,elnúmerodesuscripcionesdebandaanchamóvilalcanzólos2,3millonesanivelmundial,casi5vecesmásquetansóloseisañosantes(en2008).Lassuscripcionesdebandaanchamóvilfueronde2,1millonesen2013.Lapenetracióndelabandaanchafijasiguecreciendo,aunquelentamente(enun4,4%anivelmundialenelaño2014).Dadoquelosserviciossoncadavez


Estafasconunring:Losconsumidoresinalámbricosrecibenllamadastelefónicasautomatizadasdenúmerosdeteléfonoquetienencódigosdeáreaqueimitannúmeroslocales,peroenrealidadestánasociadosconnúmerosinternacionalesporpagar.Estasllamadasautomatizadasporlogeneralsedesconectanluegodehacerunring,ynoledatiempoalconsumidorpararesponderylotientanadevolverlallamada.Losconsumidoresquedevuelvenlasllamadasdirigenuntráficoadicionalaesosoperadoresinternacionalesyelscammerpuederecibirunaporcióndeloscargosfinales(oposiblementeporcargospremium)queeloperadorinternacionaldelserviciocobradeloperadorinalámbricodelcliente.

másaccesibles,laadopcióndelabandaanchafijahamostradounfuertecrecimiento,yparaelaño2013habíacasi700millonesdesuscripcionesdebandaanchafija,quecorrespondeaunatasadepenetraciónglobaldel9,8%.ElnúmerodeusuariosdeInternetanivelmundialhabráalcanzadoloscasi3000millonesafinalesdelaño2014,encomparaciónconlos2700millonesdepersonasen2013lvi.ConelcrecimientogeneralizadodelatelefoníaporInternet,esvitalquelainfraestructuraquesoportaestatecnologíasigasiendosegurayestédisponible.Unapequeñacantidadde"inactividad"tieneelpotencialdecostaralasempresasmillonesdedólareseningresosperdidosyproblemasdesoportealcliente.AMENAZASPORVOIPEstasecciónofreceunataxonomíadeamenazadetelefoníadevozsimple,cubriendolosproblemasqueafectanlavozylossistemasdecomunicacionesunificadas(UC)ymejoresprácticasrecomendadasparapreveniryremediarestasamenazas.Estasecciónsecentraenlavoz,perolasamenazaspuedenafectarotrasformasdecomunicación,inclusoelvideoylamensajería.Estasamenazasseaplicanprincipalmenteaempresas,perotambiénpuedenafectaralosproveedoresdeservicios,pequeñasempresasylosconsumidores.LLAMADASAUTOMATIZADASLasllamadasautomatizadas,queutilizansistemasdemarcaciónautomáticapararealizarllamadasdevoz,esunaformacadavezmásproblemáticadeabusodeserviciodevoz.Seutilizannormalmenteparallamadasrelacionadasconventas,marketingoencuestas.Porejemplo,cuandounaopiniónoalgúnotrotipodeencuestasellevaacabo,elmensajepregrabadolepuedesolicitaralapersonaquepulseundígitocorrespondientealarespuestapreestablecidadesuelección.Otrousocomúnesparanotificacionesdeemergencia,avisosorecordatorios.Estoseutilizaconfrecuenciaporfuncionariosdeseguridadpúblicamedianteunsistemallamadounsistemadenotificacióndeemergencia(SNE).Sinembargo,lasllamadasautomatizadassontambiénutilizadasgeneralmenteparaestafarconsumidoresoparaotrosfinesilícitos.EnlosEstadosUnidos,porejemplo,lasllamadasautomatizadasafectanespecialmentealosclientesfijos,quesondirigidosamenudoporvendedoressinescrúpulosylosestafadores.lviiLasllamadasautomatizadasrepresentaronelreclamomásfrecuentedeconsumidoressegúnlaFTCen2014.Recientemente,lasempresastambiénhancomenzadoapresentarunnúmerocrecientedereclamosdeclientesinalámbricos.Porejemplo,laestafade"unring"apuntórecientementeainduciraclientesinalámbricosamarcardeformainvoluntarianúmerosdepagoporllamadainternacionalessinsuconsentimiento.lviiiLasllamadasdephishingespecíficamentedirigidasaobtenerelaccesoainformaciónconfidencial,personalyfinanciera,conocidocomovishing,tambiénsonfrecuentes.


SeutilizantambiénconfrecuencialasllamadasautomatizadasparaabrumaraclientesconectadoseinalámbricosmedianteataquesTDoS:secreanllamadasenmasaqueevitanlarealizacióndellamadaslegítimas.

LASMEJORESPRÁCTICASRECOMENDADASPARACOMBATIRLASLLAMADASAUTOMATIZADAS:Losoperadoresoproveedorespuedenofrecerherramientasysolucionesparacombatirlasllamadasautomatizadas.Sinembargo,noexisteunaúnicasoluciónparaeliminartodaslasllamadasautomatizadasilegalesonodeseadas.Anzuelos:Unanzueloesunatrampaparadetectar,desviarocontrarrestarintentosdeusonoautorizadodeunaredosistema.Engeneral,losanzuelosimitanunequipo,datosounsitiodelared,perorealmentesonaislados,protegidosysupervisados.Estánconstruidosespecíficamenteparaatraparalosatacantes.Unavezquemuerdenelanzuelo,esposiblerastrearyvigilaralosdelincuentes.Recopilacióndedatosyherramientasdeanálisis:Lainformaciónesunapotenteherramientaenlaprevencióndelasllamadasautomatizadas.Recogiendoinformaciónsobreflujosdetráficoenunaredparticularycombinandodatosconanálisisparaidentificarpatronessospechososdellamadassegúnelvolumen,elenrutamiento,eldestinoyladuracióndellamadaylastasasderealización,losproveedorespuedenidentificareinvestigarpatronessospechososparaidentificarllamadasautomatizadasilegales.Esposibleutilizarestainformaciónparaestablecerlistasnegrasybloquearllamadasdeciertosnúmeros,olistasblancas,quedefinenlasllamadasquesepuedenrecibir.Unavezqueseidentificaunpatróndellamadasautomatizadas,losoperadorasylasagenciasdeordenpúblicopuedenutilizartécnicasderastreoparaidentificaryperseguiralosresponsables.


Equipolocaldelcliente(CPE):Sedisponendeherramientasdecompañíasyproveedoresparagestionarlasllamadasenlosteléfonos:Lostiposfrecuentesdeequiposon:

● Identificadordellamadas:Elidentificadordellamadasmuestraelnúmeroqueestállamando.Losclientespuedenutilizarestatecnologíabienconocidaparafiltrarllamadasdesdefuentesdesconocidas.Losserviciosydispositivosdebloqueodellamadassebasanenlainformacióndelidentificadordellamadasyenlasllamadasentrantesconelfindecolocarlosnúmerosenunalistanegra.

● DispositivosCAPTCHAlix:hacerqueciertasllamadasatraviesenmenúsdiseñadosparaeliminarlosllamadoresnohumanos.lx

● Aplicaciones:Losclientesinalámbricospuedendescargarunavariedaddeaplicacionesqueutilizanlafuncionalidaddeidentificadordellamadaspararechazarosupervisenllamadasdesdenúmerosdeteléfonoquelasaplicacionesidentificancomosospechosossegúnlasdiversastécnicas,comoelcrowdsourcing,algoritmosolistasnegras.lxiLosusuariostambiénpuedenaprovecharlascaracterísticasintegradasdesusteléfonosinteligentesquepermitenconfigurarquéllamadassuenanensusteléfonosycuálesno.

● Identificacióndeclavepública/privada:estesistemaestásiendodesarrolladoparaautenticarladireccióndelaredolapersonaquellamaasociadaconeloriginadordelallamada.

Regímenesregulatorios:Muchoscomercializadoreshanutilizadolatelefoníaparapromovercampañasdemarketing.Lamayoríadelosregímenesnoprohíbenlasllamadasautomatizadasamenosqueelconsumidorhayadadosuconsentimientopararecibirestetipodellamadasdesdelaentidadquellama.Porotraparte,lamolestiageneradaenelconsumidorporlassolicitudesnodeseadashallevadoamuchospaísespararegulartodaslasllamadascomerciales:algunasjurisdiccionesoperanregímenesqueseleccionanlaopción"nollamar"(porejemploAlemania,AustriaeIsrael)yotrosoperanregímenesquenoseleccionanlaopción"nollamar"(obligatoriosovoluntarios).EnpaísescomoAustralia,losEstadosUnidosyCanadá,losregistrosnacionales"nollamar"secomplementanconleyesqueregulanalostelemarketersencuantoalasnormassobretiemposdellamada,identificacióndelaempresaquellama(CLI)ydeclaracionesobligatorias.Lassancionespuedenserimportantesy,juntoconelaltoriesgodedañosalareputación,hansidofundamentalesparaasegurarquelosbuenosciudadanoscorporativoscumplanpolíticasyprocedimientos.LaRedInternacionalNoLlamar,partedelLAP,establecióunforoanualyllamadasdeconferenciaperiódicasparaladiscusióndetemascomunesyemergentesenlagestióndellamadasnosolicitadasdetelemarketinganivelmundialylasoportunidadesdeaplicacióndelaleydecolaboración.Estándaresdelaindustria:Losproveedoresdeservicios,organismosdeestándaresdelaindustriayagenciashanestadotrabajandoconjuntamenteydemaneraindependienteparamitigarestetipodellamadasilegales.Losproveedoresdeserviciosylasentidadesprivadasestándesarrollandooactualmentetienenservicioseinstalacionesdisponiblesparaquelosconsumidoresabordenlasllamadasautomatizadasilegaleslxiiydeberánseguirdesarrollandoeimplementandoestosestándares.Losproveedoresdeserviciostambiéndebenconsiderarunamejoraenlaatencióndeprimeralíneauotroscallcenterdellamadasentrantes,enelaccesoenlíneaparalosclientes,asícomoenlacorrecciónycentrosdesoportetécnicoydebecapacitarasupersonalsobrelascaracterísticasdelidentificadordellamadas,losusoslegítimosdesuplantacióndellamadasysuplantacionesmalintencionadasyreconocidasactualmente.


Algunosproveedorespuedenconsiderarelestablecimientooficinasdellamadasmolestasoequiposdeseguridadparatratartemascomoestos.Losclientesquecontinúanconproblemasdespuésdesucontactoconempleadosdeatenciónalclienteorecursosenlíneasepuedenderivaraesegrupoparaunaasistenciaadicionalsegúnlosprocesosespecíficosdelosproveedores.Sepuedesolicitaralosclientesquecompartaninformaciónrelevantecomolasfechasyépocasenlasquehanrecibidollamadasdeestetipoyotrascaracterísticasapropiadasparalainvestigacióndelasllamadas.Laoficinadellamadasmolestasolosequiposdeseguridadpuedenproporcionarvaliososesfuerzosparaabordarestascuestiones,como:

● Aprovisionamientoycontroldeequipodeseguimientodellamadaenserviciostelefónicosdelosclientes;

● Seguimiento,traduccióneidentificacióndefuentesdellamadamedianteubicacionesdeconmutadoresdelaoficinacentralysistemasdesupervisiónyanálisisdered;

● Utilizaciónladireccióndefacturaciónylossistemasdeinstalacionesparaidentificarfuentesdellamadassiemprequeseaposible;

● Trabajodirectoconoperadoreslocales,adistancia,inalámbricosyotrosproveedoresdecomunicaciónyoficinasdellamadasmolestas;

● Colaboraciónconlasagenciasdeordenpúblicoparacomunicarinformaciónidentificada;y

● Contactoconpartesidentificadasennombredelclientecuandoseaapropiadopararesolverlosproblemasconllamadasqueponenenriesgolavidaoacosanaldestinatarioyllamadasgeneradasporequiposyautomarcadas,suplantacióndellamadas,faxqueexplosivosycualquierotratipodellamadasmolestasidentificadasporlosclientes.

Organismosencargadosdelcumplimientodelaley:Mientrasquelosregímenesdecumplimientopuedenfrenteallamadasnodeseadasdenegocioslegítimos,nosonunaadecuadadisuasiónaquienespretendenengañaralpúblico.Paraaquellosactores,aplicacióndelaleyfuerteesamenudoelúnicomedioparaabordarestosabusos.Algunasnacioneshanadoptadounaposturaagresivacontraelusodelatelefonía,yaseaatravésdeVoIPodeotrosmedios,paraengañaralosconsumidores.Elprocesamientodecasosbajolasleyesdeprotecciónalconsumidorenprocesoscivilesypenaleshadadolugarasancionessustantivasasícomopenasdeprisión.Paraabordarplenamenteelproblemadelfraudeportelemarketing,esesencialquelosreguladores,laindustriaylaaplicacióndelaleycontinúenubicandoydenunciandoalosestafadorescuyousodelasuplantacióndellamadasyllamadasautomatizadashanresultadoencientosdemillonesdedólaresenelfraudeentodoelmundo.ATAQUESTELEFÓNICOSPORDENEGACIÓNDESERVICIO(TDOS)ElTDoSesunataquequeapuntaadesactivarelsistemadeteléfonodeunaempresaoserviciopúblico.Alsaturarunnúmerodeteléfonodesdeelexterior,oinclusolatotalidaddeloscanalesdecomunicacióndelaentidad,losatacantespuedendesactivarrápidamentetodaslasllamadasentrantesysalientes.ElTDoSesmuysimilaralaataquededenegacióndeservicio(DDoS)puntualensitiosweb.Losatacantessebeneficianporquemantienenelsistemadeteléfonocomorehényperturbarelsistemahastaquelavíctimapagaunasumaespecificada.ParainiciarunataqueTDoS,elatacantedebeteneraccesoavarioscanalesdecomunicaciónocuentasdeprotocolodeiniciodesesión(SIP)(generalmentepirateadas).Entoncesutilizanmáquinasautomatizadasquerealizanllamadassimultáneasyenvariasocasionesllamanaunoovarios


Protección de los servicios básicos El Comité Canadiense de Interconexión (CISC) exploró el tema de ataques de denegación de servicio de telefonía dentro de los grupos de trabajo de red y servicios de emergencia y ha sugerido las mejores prácticas recomendadas para la protección de sistemas esenciales.

http://www.crtc.gc.ca/public/cisc/nt/NTCO0570.docx

númerosdeteléfonodelavíctima.Las"herramientas"oel"kit"paraelataqueTDoSseencuentranfácilmenteenInternet.Tambiénesmuyfácilsolicitarquedichoataquelorealicentercerossinescrúpulos.Esteeseltipodeataquegeneralmentesehaceporperturbación,extorsión,oparaencubrirunfraude.LASMEJORESPRÁCTICASRECOMENDADASSOBRETDOS:

Puertasdeenlacedeniveldeaplicación:EsimportantequelasempresasdetodoslostamañosasegurensussistemasdeVoIPytelefonía.LossistemasdeVoIPsoncomocualquierotrosistemainformáticoderedyporlotantorequierenproteccióndelasmismasclasesdeataquescibernéticoscomocualquierotroservidordered.MientrasquelosfirewallsobsoletospuedentenerproblemasparamanejaradecuadamentelosrequerimientosúnicosdesistemasVoIP,muchosdispositivosdeseguridadmodernostienenpuertasdeenlacedecapasdeaplicación(ALG)diseñadosespecíficamenteparamanejarprotocolosespecíficosdeVoIP.AlgunosdeestosalgoritmospuedenproporcionarinclusounafuncionalidaddeseguridadespecíficadeVoIP,comolaprevencióndelacosechadedirectoriosSIPoataquesDoSdeniveldered.

Informealordenpúblico:LosataquedeTDoStienenelpotencialparadesactivarlainfraestructuracríticayclave,queincluyeserviciosdeemergencia,hospitalesyprimerosauxilios.Estopuedeplantearcuestionesdeseguridadnacionalyporlotantosedebereferiralaagenciadeordenpúblicoapenassedetecteunataque.

SUPLANTACIÓNDELLAMADASLasuplantacióndellamadasesunmétododefalsificacióndelainformacióndelallamadadeorigen.Mientrasqueestonoesunataqueperse,seutilizacomúnmenteparaocultarlaidentidaddeunatacanteorealizarataquesmáseficaces.Atravésdetalsuplantación,losestafadorestienenporobjetivoaconsumidoresyrealizanllamadasqueimitanlaciudaddelconsumidor,elcódigodeáreaounafuentedeconfianza.Algunaspersonashanutilizadonúmerosasociadosconlasagenciasgubernamentalesyhansuplantadoafuncionariosdelgobiernoenfraudesdeimpuestoseinmigración.Amenudo,elorigendeestasllamadasesdeotrocontinente,añadiendomáscomplejidadparaelseguimientoyladetenciónfraudes.

Informe/Bloqueoselectivodellamadas(*09)Loscódigosdeservicioverticales,como*09,sedebendefinirseporlaindustriaparapermitiralosconsumidoresiniciarfácilmentelacapturaautomáticayelanálisisdelainformacióndelaredrelacionadasconllamadasnodeseadas.Estesistemafuncionaalpermitirqueunconsumidorrecibaunallamadadetelemarketingfraudulentauotrotipodellamadanodeseada,paracolgarelteléfonoyoprima*09pararevelarlainformacióncompletasobrelallamadaasuoperador,agenciasdeordenpúblicoyreguladores,ytambiénbloquearautomáticamentefuturasllamadasdeese


LASMEJORESPRÁCTICASRECOMENDADASPARAPREVENIRLASUPLANTACIÓNDELLAMADAS:Legislaciónsobrefraude:Engeneral,deberíaserilegalentodoelmundotransmitirinformaciónengañosaoinexactasobreidentificacióndellamadasconlaintencióndedefraudar,dañaruobtenerindebidamentealgodevalor.lxiiiEnlosEstadosUnidos,porejemplo,laLeysobreidentificacióndellamadaslegítimasde2010prohíbelasuplantacióndellamadasolafalsificacióndeliberadadenúmerotelefónicosoelnombreidentificadocomoinformacióndelidentificadordellamadasparadisfrazarlaidentidaddelallamadaconfinesperjudicialesofraudulentos.lxivEstetipodedefiniciónpermiteelusodesuplantacióndeidentidadconfinesnofraudulentos,comoelusodenúmerodelconsultoriodeunmédicocuandollamadesulíneaprivada.Educaciónalconsumidor:Laconfianzadelconsumidorenelsistemadetelefoníaestáenriesgo,conelaumentodesuplantacióndellamadasylasllamadasautomatizadas.Paraprotegeralosconsumidoresdefraudesyotrosdañosquedependendemalusodelaplataformatelefónica,lasagenciasgubernamentaleshanlanzadocampañasdeeducación.Porejemplo,laComisiónFederaldeComerciodeEstadosUnidos(FTC)hapublicadoadvertenciasensuspáginasweb,publicadoentradasenelblogypromovidosusesfuerzosdeaplicacióndelaleyparaconcientizaralconsumidorsobrelasllamadasautomatizadasylasuplantacióndeidentificadoresdellamadas.lxvFomentarunamayorconcienciadelosconsumidoresdelusodelasuplantacióndeidentidadpuedeayudarareducireldañoresultantequepuederesultardelosfraudesquesepromuevenatravésdeestatécnica.Losesfuerzosdeeducaciónalconsumidortambiéndebendaraconocerlasdiversasherramientasquepuedenutilizarlosconsumidoresparaprotegersedellamadasnodeseadas.


SERVICIOSDEHOSTINGYENLANUBELosserviciosdehostingydelanuberepresentanunodeloscambiosrecientesmássignificativosenlatecnologíadelainformación.Lasempresasestánentusiasmadasporlaoportunidaddemejorarelcontroldeloscostosdecapital,deaumentarlaagilidadyeliminarlainfraestructuracomplejadetecnologíadeinformación.Sinembargo,lascuestionessobrelaseguridadylapérdidadecontroldirectoestánsofocandolaadopciónyelcrecimientodeestanuevatecnología.Lasamenazasmóvilesyenlíneaaumentanparalosserviciosdehostingyenlanube.SegúnunrecienteartículopublicadoenTheEconomist,seesperaqueelmercadomundialparalosserviciosdeinformáticaenlanubealcanceUSD176000millonesen2015.EstacantidadaúnrepresentaunapequeñaporcióndeltotaldegastosdeIT,peroelgastoenserviciosdehostingydelanubeestácreciendorápidamente.Actualmente,muchasotraspartesdelaindustriaestánestancadasoinclusoenvíasdedesaparición,peropara2017seesperaqueelgastoderivadodelanubealcanceauntotaldeUSD240000millonesporañolxvi.Estasecciónclasificalostiposdehostingydescribelasáreasdeinterés.Proporcionaunanálisisdelpanoramaactualdelasamenazasenlanubeyenlínea,yunbreverecorridoporlosmétodosdecorrecciónqueseutilizanparaabordarestascuestionescríticas.

TIPOSDEHOSTINGLosproveedoresdehostingfacilitanlaoperacióndelaInternetglobalyoperanlosaspectosbásicosquehacenfuncionarInternet.Losproveedoresdehostingvaríanentamaño,desdeempresasunipersonaleshastaempresasinternacionalesderenombremundial.LoquediferenciaalosproveedoresdeinfraestructuradeInternetdeotrosaspectosdeInternetessurelativoanonimato.EstosnegociosgeneralmenteoperandetrásdeescenaparafacilitarelusodeInternetparanegociosmuydiversos,desdeunatintoreríalocalounbancointernacional.FORMATODELAINFRAESTRUCTURADEINTERNET:LosserviciosdeinfraestructuradeInternetsecomprendenmejorentérminosdelasformatossubyacentesutilizadasporelproveedordeserviciosparabrindarlosserviciosalusuariofinal.Existentrescomponentesdeestosformatossubyacentes:

• Instalaciones:Lasinstalaciones,frecuentementeconocidascomocentrodedatos,sonelpilardeunproveedordeinfraestructuradeInternet.Puedeserpropiedaddelpropioproveedordeinfraestructuraoestaroperadoporuntercero.EstainstalaciónalbergalosenrutadoresyconmutadoresqueseconectanaInternetjuntoconlosservidores,físicosyvirtuales,queposeenelcontenido,losdatosylasaplicaciones.

• Servidorfísico:Elservidorfísicoresideenungabineteounaestanteríayseubicaenuncentrodedatos.Esdondesealmacenanyseasegurancontenidosyaplicaciones.

• Servidorvirtual:Elservidorvirtualesunaparticiónvirtualizadadeunservidorfísico.Elservidorvirtualactúayseejecutacomounservidorfísicoconunadiferenciamarginalenelrendimiento.Unúnicoservidorpuedealbergarliteralmentehastadocenasdeservidoresvirtuales.


Losproveedoresdehostinggeneralmentesepuedenclasificarenunadecincocategoríasprincipales:

i. Hostingcompartidoii. Hostingestándaradministradoiii. Hostingcomplejoadministradoiv. Infraestructuraenlanubev. Colocación

CATEGORÍASDEINFRAESTRUCTURADEINTERNETHostingcompartido:Elhostingcompartidoeselespaciocompartidoenunservidorfísicoquenoaíslausuariosyniasignaderecursosdefinidos.Secompartenlosrecursosfinitosdeunservidorfísico,amenudoenformadesigual,entretodoslosclientesqueresidenenél.Losproveedorespuedenalbergarliteralmentecientosdeclientesenunúnicoservidor.Elhostingcompartidoseutilizafrecuentementeparapublicarcontenidowebestáticoodinámico.Lasplataformasdeblogs,comoWordPressyaplicacionessimplesdecomercioelectrónico,amenudoseejecutanenentornosdehostingcompartidosyestánhabilitadosconinstalaciónautomática.LasorganizacionesconrecursosmuylimitadosutilizanelhostingcompartidoparacomunicarseyconstruirunapresenciaenInternet.Elhostingcompartidoexistenormalmenteenelpuntoinferiordelmercadodelainfraestructura.Losusuariosfrecuentesson:consumidores,pequeñasempresas,oficinasdomésticasyblogueros.

Hostingestándaradministrado:Unproveedordeinfraestructuraqueproporcionaunhostingestándaradministradoengeneralalquilaservidoresfísicosdedicados(avecessedenominanservidoresdesnudosdemetal)oservidoresvirtualesalojadosenlasinstalacionesdelcentrodedatosdelproveedordeinfraestructura.Losclientessuelenalquilarlosrecursosdelservidorsegúnuncontratofijo.Enelhostingestándaradministrado,losclientesposeenunaccesoraízalservidoryporlogeneralseautoadministran.Elproveedordeinfraestructuraproporcionaunnivelbásicodesoporteymanejaciertastareasdeadministración,aunquelimitadas,comoelmantenimientodelhardware,larealizacióndecopiasdeseguridadylainstalacióndesoftwaredeservidorwebysistemaoperativo.Elservidorrealespropiedaddelproveedoryelclienteloalquila.Comoresultado,elclientenoseenfrentaaunciclodeactualizacióndeIT.Simplementesepuedenmoveraotroservidorqueseajusteasusnecesidades.Nosuelenpagarlasactualizacionesdehardwareotienenlaobligacióndepermanecerenelservidorquehanalquilado.Elhostingestándaradministradoestádiseñadoparaacomodarlascargasdetrabajoyconfiguracionesrelativamentesencillas.LaspequeñasempresasgeneralmenteutilizanelhostingestándaradministradocomounaalternativaalacompraeinstalacióndeactivosdeIT.Hostingcomplejoadministrado:Elhostingcomplejoadministradotambiénseaplicaaservidoresvirtualesyservidoresfísicosdedicados.Haymuchassimilitudesentreelhostingestándaradministradoyelhostingcomplejoadministrado;peroladiferenciaclaveeselniveldesoporteadministrativoydeingenieríaquepagaelcliente.Estasdiferenciassurgendelaumentoeneltamañoylacomplejidaddelaimplementacióndeinfraestructura.Elproveedordeinfraestructuraasumeelcontroldelamayorpartedelaadministración.


Elhostingcomplejoadministradoimplicaadquirirunaampliagamadeconocimientosycapacidadesenlaadministracióndesistemas,gestióndebasesdedatos,seguridad,supervisión,administraciónderegistros,recuperaciónantedesastresyrespaldodedatos.Losserviciosdeadministraciónsepuedenextenderinclusoalacapadeaplicación,aunqueestotiendeaserinfrecuentefueradelamayoríadelasaplicacionesestándardelaempresa.Unaimplementacióntípicadeunhostingadministradotendráunnúmerodedispositivosadicionales,comobasesdedatos,servidoreswebyaplicaciones,firewallsyequilibradoresdecarga.Enlugardeutilizaralmacenamientolocal,losclientesamenudousanredesdealmacenamientooadjuntosalared.Tambiénadquiriránserviciosdecopiasdeseguridadyserviciosdereplicaciónoescenariosderecuperaciónantedesastres.Algunosproveedoresdeinfraestructuraaumentansuofertaestándarproporcionandoserviciosdeconsultoríaquevanmásalládelacapadeniveldeserviciosadministrados.Cuandosetrataunserviciodehostingcomplejoadministrado,larelacióndelhostingsetiendealimitaraunnúmeropequeñodeaplicacionesversuseltotalqueexistedentrodelaempresa.Elhostingcomplejoadministradoesutilizadocomounaextensióndelcentrodedatoslocal.Elhostingcomplejoadministradoseutilizaparacargasdetrabajoyconfiguracionesgrandesycomplejas.Tambiénesunaopcióncuandolasempresasnecesitanunacapacidadmuyespecíficayespecializada,comolaseguridadylaconformidad.ElhostingadministradoesunaalternativaalacompraeinstalacióndeactivosdeITytieneuncomponentedeahorrodecostos.EsunamaneradealiviarlacargadepersonaldeITinternoyliberarrecursos.Infraestructuraenlanube:Lainfraestructuradenubeesbásicamenteunaformamásflexibleyescalabledeservidordehostingvirtual.Lacaracterísticaclavedelainfraestructuraenlanubeesladisponibilidadderecursos.Eltamañodeunservidoraumentarodisminuirsobrelamarchaodentrodeunplazodetiempomuybreve.Asíqueenlugardeunacantidadfijaderecursos,elusuariofinalpuedeajustarcapacidaddeinfraestructurasegúnlademanda(olafaltadeella).Porlogeneral,lanubeseconsumeporhora,peroinclusoseestácomenzandoafacturarporminuto,permitiendoelconsumobasadoenlautilidad.Lanubeestambiénaltamenteresistente,ynotieneunúnicopuntodefalla.Losrecursosenlanubesonmóvilesysepuedenconmutarautomáticamentehaciaotrohostfísico.Sepuedereiniciarencualquierlugaryencualquiermomentoconelconjuntoadecuadodeherramientasycapacidades.Estaflexibilidadlepermitealanubeintegrarseenentornoshíbridosencualquiercentrodedatoslocalotercerizado.Colocación:Lacolocacióneselsuministrodecapacidaddelafuentedelcentrodedatosparaempresasquenecesitanunlugarexternoparaalojaro"colocar"losservidores,elalmacenamientoylosequiposderedesqueposeenyadministran.Lospilaresdelacolocaciónsonelespacio,lapotencia,larefrigeraciónylaconectividadaInternet.Enelmodelodecolocación,elclientetieneaccesoaunáreadesignadadentrodeuncentrodondeseinstaleelequipamientopropiooalquilado.Muchosproveedoresdecolocacióntambiénofrecenserviciosdesupervisiónyadministraciónremota.Algunosproveedoreslealquilanlosequiposalosclientes.LarealidaddelaindustriadelainfraestructuradeInternetpuedellegarasermáscompleja,dadoquelossegmentosdeserviciodeinfraestructurasesiguenconfundiendo.Porejemplo,ellímiteentreelhostingestándaradministradoyelhostingcomplejoadministradoestácadavezmásclaro,dadoquelosproveedoresamplíanelmercadoyseexpandenhaciaserviciosdevaloragregado.Lomismosepuededecirdellímiteentrehostingadministrado,delavariedaddeservidoresvirtuales,yla


infraestructuraenlanube.Unnúmerodeofertasdehostingconservidorvirtualparecenserpartedelainfraestructuraenlanube.Esposiblequenotengantodaslascaracterísticasdelanube,peromuestranlosuficienteparadifuminarellímiteycrearalgunaszonasgrises.

ELESCENARIODELASAMENAZASAcontinuación,seenumeranlostiposdeataquesmásfrecuentesenlosproveedoresdeserviciosdehostingyenlanube.Lalistanopretendesercompletaysiemprevaacambiarconeltiempo.

• Spam(saliente):Elspamescualquiercorreoelectrónicocomercialnodeseadoonosolicitado.LosproveedoresdebengarantizarquelosusuariosfinalesrespetenlasMejoresprácticasrecomendadasactualesdelM3AAWG.lxviiLosproveedoresdehostingtambiénquerránsuscribirseatantosinformessobrebuclesderetroalimentaciónpertinentescomoseaposibleprocesar.

• Spamvertising(redirigidoycarga):ElspamvertisingocurrecuandounusuariodelproveedordehostingcontrataaunterceroparaqueanunciesupresenciaenlaWeb.Lamayoríadelosreclamosdespamseoriginanporquelosusuariosfinalesenvíancorreoselectrónicosasusclientespotencialesquesolicitanalgúnproductooserviciosobrevaluado.Lomásprobableesquelosproveedoresquerecibenunodeestosreclamosesténenelbuclecomoelremitentedelcorreoelectrónicoocomoelhostdelsitioqueseanuncia.

• Phishingsaliente(hostingysalienteparalascredencialesdelcliente):Elphishingocurreprincipalmentecuandolacuentadeunusuariofinalhasidoafectada,casisiemprecomoresultadodeunscriptobsoletoejecutadoporelusuariofinal.Unsitiodephishingesunsitiofraudulentoquepretendeserunaempresalegítima,comounbanco,unatarjetadecréditooPayPalquedirigealindividuoaingresarinformaciónconfidencial.Lossuplantadoresentoncestienentodoquelonecesarioparadefraudaralapersona.(VéaselasecciónPhishingeingenieríaSocialparaobtenermayorinformación).

• Sitiosdesfiguradosopirateados(serviciodehostingporpartedelcliente):Mientrasquelosreclamosdephishingconfrecuenciacaeránenestacategoría,notodaslascuentaspirateadasseutilizaránparaphishing.Algunassimplementepuedenserdesfiguradasylosdatosdelosusuariosfinalespuedenserdañadosodestruidos.Confrecuencialospiratasinformáticostambiéninsertanuncódigomaliciosoocarganbotsqueseconfiguranparacausarotrosproblemas,comoataqueasitios,descargascultasoredireccionamientoacontenidomalicioso.Lostercerosylasagenciasdeordenpúblicoanalizanestoseventosyproporcionaninformaciónsobrecómocorregirsitiospirateados.Lamayoríadelascuentasestáenpeligrodebidoalainstalacióndeunsistemadeadministracióndecontenidos(CMS)noactualizados,porejemploJoomlaoWordPress.

• Materialsobreabusosexualdemenores(serviciodehostingporpartedelcliente):Paraelmanejoadecuadodeestostemas,lealasMejoresRecomendacionessobreMaterialsobreAbusoSexualdeMenoresdelM3AAWG(https://www.m3aawg.org/sites/maawg/files/news/M3AAWG_Disposition_CAM-2015-02.pdf).

• Cuestionessobrederechosdeautorydepropiedadintelectual/demarcascomerciales(serviciodehostingporpartedelcliente):ParaconsultarlaleysobrederechosdeautordelosEstadosUnidos,hagaclicenhttp://www.copyright.gov/reports/studies/dmca/dmca_executive.html.Otrosregímenesdederechosdeautorseaplicanenotrasjurisdicciones.


• DenegacióndeServicioDistribuidoyotrotipodetráficohostilsaliente:Mientraslosproveedoresdehostingoserviciosenlanubepuedentenerunamejorprotecciónquelaspequeñasempresasunipersonales,estosproveedoresdeserviciostambiénsufrenunriesgomayordeataquesDDoSqueotrasempresasenlíneadebidoaque,enefecto,acumulanelriesgodesusclientes.Unataqueaunclientepuedeafectaraotrosypotencialmenteatodalaoperacióndehostingdebidoalafuertedependenciaenlainfraestructuracompartida.

• Iniciosdesesiónmaliciosos:Lospiratasinformáticosconstruyenunbotnetsóloconlaspruebasgratisylascuentas"freemium"delosserviciosdehostingdeaplicacionesenlínea.Utilizanunprocesoautomatizadoparagenerardireccionesdecorreoelectrónicoúnicasysuscribirseenmasaalascuentasgratis,creandounbotnetbasadoenlanubedemilesdecomputadoras.

PRINCIPALESÁREASDEINTERÉSInstalacionesCRMvulnerables/desactualizadas:Siconsideramosqueexistenmásde67millonesdesitiosWordPress,querepresentael23porcientodetodosdesitiosweblxviii,delmundo—yqueloseditoresutilizanlaplataformaparacrearblogs,sitiosdenoticias,sitiosdelaempresa,revistas,redessociales,sitiosdelosdeportesyotros—noesdeextrañarquemuchosdelincuentesenlíneatienensumiradapuestaenobteneraccesoatravésdeestesistemadegestióndecontenidos(CMS).Porejemplo,Drupal,unaplataformaCMSenrápidodesarrollo,fueatacadaenel2014mediantesoftwaredetercerosinstaladoenlainfraestructuradeservidoresdeDrupal.org.Noessólolapopularidaddeestossistemasloqueloshaceobjetivosatractivos.Muchosdelossitiosdeestosservidores,aunqueesténactivos,hansidoabandonadosporsuspropietarios.Probablemente,existenmillonesdeblogsabandonadosydominioscompradossinuso,yesprobablequemuchosdeestossitioshansidocorrompidosporlosciberdelincuentes.LosexpertosenseguridaddeCiscopredicenqueelproblemasóloempeorarádadoquecadavezmáspersonasenlosmercadosemergentesdeInternetenelmundoestablecenunblogounsitiowebyloabandonanmásadelante.Tambiénsehademostradoqueelusogeneralizadodeplugins,quesondiseñadosparaampliarlafuncionalidaddeunCMSdecontenidosyjuegos,animacionesyvideospotentes,esunabendiciónparalosciberdelincuentesquebuscanobteneraccesonoautorizadoalasplataformas.Paraexacerbaresteproblemamuchospluginsquedansinactualizarporsusautoresyfuerzanaaquellosqueusanydependendelospluginsanoactualizarsuinstalaciónactualacostasdeperdernegociosofuncionalidadesdelsitio.MuchasafeccionesdelCMSobservadasporlosinvestigadoresdeCiscoen2013seremontanapluginsescritosenellenguajedecódigodeescriturawebPHPquefueronmaldiseñadosysinconsiderarlaseguridad.LasestadísticasrecogidasporlaempresadeseguridadSucurimuestranuntotalde3143vulnerabilidadesenWordPressen15categoríasdiferentes.lxixConestacantidaddevulnerabilidades,losconsumidoresdeWordPresshancomenzadoamantenersusoftwareactualizado;peromásdel30%delossitiosdeWordPresssigueutilizandolaversión3oinferiorlxxydejaasussitiosalacechodetercerosmaliciosos.


AtaquesDDoS:DadoquelosataquesDDoSsehabíanconsiderado"noticiasviejas"entérminosdetécnicasdeciberdelincuencia,muchasempresasestabansegurasdequelasmedidasdeseguridadqueteníanvigentesproporcionaríanunaprotecciónadecuada.Esaconfianza,recientementehasidosacudidaporataquesDDoSagranescalaentre2012y2013,queincluyelaoperaciónAbabil,queapuntóavariasinstitucionesfinancieras,probablementepormotivospolíticos.LoslíderesdelaindustriaadviertenquelosataquesDDoSdebenserunacuestióndealtaseguridadparalasorganizacionesdelsectorpúblicoyprivadoporqueseesperanfuturascampañasaúnmásextensivas.Lasorganizaciones,particularmentelasqueoperanotieneninteresesenlasindustriasqueyasonblanco,comoelsectorfinancieroyelsectorenergético,debenserextraordinariamentecautelosas.Entre2010y2013,lasinterrupcionesnoplanificadasporataquesDDoSaumentarondel2%al13%entotal.lxxiDehecho,unacomparaciónentreelúltimotrimestrede2013yelde2014mostróunaumentodelosataquesDDoSenun90%,resaltandoquelosataquescontinúanenaumento.lxxiiElcostopromediototaldeestasinterrupcionestambiénhaaumentadodeUSD613000aUSD822000enelmismoperíodo.lxxiiiAlgunosataquesporDDoShandadoungiropreocupante.Sehanutilizadoparadesviarlaatencióndeotrasactividadesnefastas,talescomofraudeporcable.Estosataquespuedenabrumarapersonaldelbanco,impedirelenvíodenotificacionesalosclientesyevitarquelosclientesinformenelfraude.Lasinstitucionesfinancierasraramentesoncapacesderecuperarsuspérdidas financieras.Unataquequetuvolugarel24dediciembrede2012queapuntabaalsitiowebdeunainstituciónfinancieraregionalconsedeenCaliforniayayudóadistraeralosempleadosbancariosmientrassetomabaelcontroldeunacuentaenlíneadeunodesusclientes,quesetradujoenUSD900000enmanosdelosdelincuentes.LosconocimientosquerápidamenteseprofundizansobrecómoafectarunservidordehostingsólolesfacilitaráalosciberdelincuenteslanzarataquesDDoSyrobarorganizacionesespecíficas.PoringresaraunapartedelainfraestructuradeInternet,losactoresmaliciosossepuedenaprovechardegrandescantidadesdeanchodebanda,posicionándoseparalanzarcualquiercantidaddecampañasdegranalcance.Yaestásucediendo:enagostode2013,elgobiernochinoinformóqueelmayorataqueDDoSenlahistoriahabíainterrumpidoelserviciodeInternetenChinaduranteaproximadamentecuatrohoras.InclusolosspammersestánusandoataquesDDoSparacontraatacaralasorganizacionesquesecruzanenelcaminodesugeneracióndeingresos.Enmarzode2013,laorganizaciónsinfinesdelucroSpamhaus(querastreaalosspammersyhacreadolalistadebloqueodeSpamhaus,undirectorioquecontienedireccionesIPsospechosas)fueblancodeunataqueDDoSquetemporalmenteinterrumpiósusitiowebyredujoeltráficodeInternetentodoelmundo.LosatacantessupuestamenteestabanafiliadosCyberBunker,unproveedordehosting,consedeenlosPaísesBajos,queposeecondicionesdeusopermisivasySTOPhaus,quehaexpresadopúblicamentesudesagradoporlasactividadesdeSpamhaus.ElataqueDDoSsiguióalservicioampliamenteutilizadodeSpamhaus,quehabíacolocadoaCyberBunkerensulistanegra.Servidoresmalconfiguradosenentornosnoadministrados:Conlallegadadelanube,losusuariosahoratienenlacapacidaddecrearyconfigurarunentornodeservidorcompletoenunafraccióndeltiempoqueserequeríaparaelhardwarefísico.Estohapermitidoquelosusuariospuedancrearfácilmentesupropiainfraestructuraconpocooningúnconocimientodecómolossistemassoncreacióndetrabajo.Mientrasqueestecambiolehapermitido


alosusuarioslacapacidadparahacermuchomásdeloquehanhechoantesdeabrirunnuevodesafíoenlaprevenciónydetencióndeataquesaestossistemas.Muchosdelosservidoresvirtualizadosynoadministradosnorecibenelmantenimientoqueyasehadefinidoenelmundodelhardwarefísicoadministrado.Lossistemasoperativosyprogramasnoseactualizancorrectamente(onoseactualizan)paratratarparchesyvulnerabilidadesdeseguridad.Lospermisossecambianraramenteoseestablecenendondecualquierpersonaconaccesoalservidorpuedarealizarcambios,dejandolapuertaabiertadelservidorhaciaelmundoexteriorsusceptiblealaactividadmalintencionada.AlgunosprogramasusanmétodosdecomunicaciónentranteysalientequesinoseconfiguracorrectamenteconviertealservidorenunarmaquesepuedeutilizarenunareflexiónDDoS,iniciodesesiónSSH,inyeccióndeSQLyotrosataquesconcapacidadparainterrumpirlossistemasespecíficosduranteunperíodosignificativo.Además,estoserroresdeconfiguraciónlespermitenalosactoresmaliciososaccederasitiosoinformaciónalojadaenelservidorqueresultanenelrobodedatos,sitiosdephishingyhostingdemalware.Elseguimientodeestossistemasmalconfiguradosyactualizadosesunatareamonumentalparalascompañíasqueofrecenestosservidores;porlotanto,pocoselehaceaestossistemashastaqueyahansidoatacados.

LASMEJORESRECOMENDACIONESPrevención:1) Investigaralosclientesantesdequecausenproblemas:Losproveedoresdehostingestána

merceddelaspeoresprácticasdesusclientes.Losproveedoresdebenincorporarunprocesodeinvestigaciónparaidentificardeformaproactivaclientesmaliciososantesdequerealicenactividadesilegales.realizaresfuerzosparaseleccionarclientesquetendránunbuencomportamientoparalaempresadehostingesotraformadepreservarlaseguridaddelentornodehosting.

2) Requeriralosclientesquemantenganelsoftwareactualizado:Laimposibilidaddemanteneractualizadoelsoftwareyhardwareofirmwareenelentornoesunadelasprincipalescausasdeabusoenelespaciodehosting.Losacuerdosconlosclientesdeberíanespecificarquelosclientesharánunmejoresfuerzoparamantenersussistemasactualizados.

3) Capacitaralpersonaldeatenciónalclienteenlaconcientizaciónsobreseguridad:Los

equiposorientadosalcliente,comosoporte,ventasymarketingnoseenfrentanalamayoríadelosdesafíosdiariosquesonlanormaparalosequiposdeseguridadodecontraataques.Lacapacitacióndebebrindarleaestosequiposelconocimientodecuándodecirleaunclienteoprospectoquesusprácticasnoserigenporlostérminosylaspolíticasdeusoaceptabledelsistemaenelqueestán,oendondeestántratandodeproporcionarunentorno.

4) Prevenirelabusoenelbordedelared:a) Considereutilizarunsistemadedeteccióndeintrusionesdehardware(IDS).b) Utiliceunsoftwaredeseguridadyunfirewall.c) Promuevaelusodefirewalldeaplicaciónweb.d) Utilicelaasignaciónpornivelesparaclientesvaliosos.e) Contrateclientesparaprotegerlaseguridad.f) Maximiceelcontactoconlosclientesyprotejalaidentidaddelcliente.


g) Fomenteelusodecontraseñasseguras.h) UtilicelasmejoresprácticasrecomendadasenredesIPv6:ElIPv6proporcionatantas

direccionesquenoesnecesario—ynohayrazón—compartirunaúnicadirecciónIPentrevariosclientes.Lamejorprácticaesasignaracadacliente1/64delespaciodedireccionesIPV6.Inclusoenlossistemasfísicosycompartidosmáspequeños,cadaclienteycadasitiowebdeberíatenerunadirecciónúnica.Estofacilitaelrastreodelafuentedelataque,posibilitaquelosdestinatariosdelataquebloqueenalclienteinfractorsinbloquearalrestodelosclientesdelmismohostypuedefacilitarlasuspensiónyrenovacióndelserviciocuandoseanecesario.

i) Losproveedoresdehostingdebenmantenersistemasyprácticasdeseguridadinterna.Todaslasmedidasrecomendadasanteriormentesoninútilessilosactoresmaliciosospuedenadivinarlascontraseñasqueutilizaelpersonaldelproveedor.LosproveedoresdehostingdebencumplirlosestándaresdecumplimientodePCI.

Deteccióneidentificación:1) Utilizaridentificadoresconfidencialesdelcliente:Lasempresasdebencrearunidentificador

únicoparacadaclienteespecífico.Esteidentificadordebeserevidentesóloparalaempresadehostingyserincomprensibleparaterceros.Estomantienelaprivacidaddelaidentidaddelclientey,sinembargo,leotorgaalaempresadehostingunamanerasimpleyefectivaparaidentificaralosclientes.

2) Establecercuentasdepapelparalosdominiosdelared:Lascuentasdecorreoelectrónicode

prácticacomúnyrolesdefinidosporRFCsedebenconfigurarparacadadominioydominiodelclientesuministradoenunared.

3) MantenerregistrosprecisosdeSWIPeIPWHOIS:Lasempresasdebenmanteneringresos

clarosyprecisosensuRIRparalaasignacióndeespacioIP,eincluyenlassubasignacionesmayoresal1/27delosclientes.LaslistasWHOISdeberíanincluircuentasfuncionalesparainformarsobreataques.

4) Configurarlatelemetríainternaqueinformaelestadodelared:Losejemplosson:

a) Autoverificacióndelared;b) Análisisdeltráfico;yc) Verificacióndelfiltrodespamsaliente.

5) Facilitarelinformedeataques:Losproveedoresdehostingdebenproporcionarinstalaciones

paraquelosmiembrosdelpúblicopuedanpresentarinformessobreelataquequepercibendesdedelaredencuestión.Losproveedoresdebenentoncesreconocerlapresentacióndeestosinformesyactuarsegúncorresponda.Debenmantenercanalesdecomunicaciónredundantesquefundamentenlafalladeuncanaldado.a) Correoelectrónico;b) Teléfono;c) Mensajeríainstantánea(chat);d) Sistemasdeventasdeboletos;e) Informesdeestadodelsitio;yf) Participaciónenredessociales.


6) Responderconrapidezlosreclamos:Laspresentacionesindividualesdebentenerunmensajeautomáticodereconocimiento(AUTO-ACK)consuficienteespecificidadparaserdiscretosentreotraspresentacionesquelaorganizaciónquerellantehayahecho.Debenincluirladenunciaoriginal,unnúmerodereclamooriginalycualquierotrainformaciónquelegaranticealusuarioqueelreclamohasidorecibidoyestásiendoanalizado.

7) Considerarladesignacióndeinformantesdeconfianza:Quienespresentenunreclamose

puedendefinircomodealtacalidadodealtaprioridad.Estasfuentespuedenserinternasyexternas.Sedebepreverunservicioprioritariomanteniendonivelesdeprioridadespecificada.Porejemplo,esposibledesignarelcontactodeunaDNSBLampliamenteutilizadacomouninformanteadecuadodeprioridad,aunqueunreclamodespamdeesafuenteobviamenteseríamenossignificativoqueunacuestiónDDoSquesucedesimultáneamente.

8) Establecerbuclesderetroalimentación(FBL)einformesautomatizados:Elconsumodel

registrodedatosporFBLparaFBLcolaboraenqueelproveedorevitelaslistasDNSBL,restrinjaeldañodereputaciónypermitaqueelpersonaltrateenformaproactivaconlosclientesatacantesyatacados(afectados).

9) Implementarunamétricadecomparación:Establecermétricassistemáticasparaquelos

proveedoresdehostinglasutilicenlespermiteaestosyalasagenciasdeordenpúblicoidentificarcasosdeataqueycomparareficazmentelosdatosentodalaindustria.lxxiv

Corrección:Lasprioridadesdecorrecciónproporcionanalasempresasdehostingyalosclientesconlaspautaspararesolverproblemas.Lasrecomendacionesacercadelaprioridaddelosreclamostambiéndebenconsiderarlagravedadylaseriedaddelataqueyelalcancedeunacuestióndeterminada.Además,sedebentenerencuentalafuentedelinformeylagravedaddelosdañosalareputacióndelaempresadehostingydelcliente.Unacampañadespammasivopuedeserdemayorprioridadquelapresenciadeunbotnetlatente.Debehaberunaevaluacióncasoporcasodecuestionesquepuedanalterarelniveldeprioridaddeundeterminadoproveedorocliente.Responderrápidamentealascuestionesdealtacalidad/altaprioridad:Lamayoríadelasdenunciasrecibidasdesdecualquierempresadehostingsólorequiereunacusederecibo.Sinembargo,enalgunoscasos,comoreclamosdealtoperfil,solicitudesdecierreyeliminacióndelalistanegra,seexigenunarespuestaadicional.Elclienteolaagenciainformantesedebecontactarinicialmenteparacomunicarqueelreclamoseencuentraenanálisis.Sedeberealizarunsegundocontactounavezqueseresuelvelacuestión.Sóloenelcasodecuestionespersistentesoexcepcionales,sedeberánrealizarlascomunicacionesqueseannecesarias.Comuníqueseproactivamentecuandoocurreneventosqueafectanalaindustriaoatodaunaempresa.Encasodeunataqueounavulnerabilidadgravequepodríaponervariosclientesoungrupoespecíficodeclientesenpeligro,sedeberádesarrollarunplandecomunicacióninformarlesdelproblemayproporcionarlesinstruccionesgeneralessobrecómoresolverlo.Silaviolaciónimplicóelaccesoalainformacióndeidentificaciónpersonal,sedebesabercuálessonsusobligacionessegúnlosrequisitosregionalesonacionales,inclusoelalcancedelanotificaciónalaspersonasafectadasyelavisoalasautoridadespolicialescorrespondientes.Estascomunicacionessedebenenviarentiempoyforma.Además,elpersonaldeberátomarconcienciadelacuestiónydisponerdelasinstruccionesadecuadaspararesolverelasuntoencasodequeunclientenecesiteasistencia.


Tratarconclientesdifíciles:1) Confirmelavalidezdelreclamo.2) Notifíquelealclientedeunataque.Infórmelealclientelasinstruccionesaprobadasquele

ayudaránaresolverlacuestión.3) Proporciónelealclientelostérminosylascondicionespertinentesycualquierregulación

gubernamentalaplicablequepuedanhabersidoincumplidosyhabercausadolanotificacióndelaviolaciónolasuspensióndelservicio.Conestasacciones,elacuerdoconelclientepermaneceintacto.Lanotificacióndelclienteprotegelaempresadehostingdeposiblesreclamosdelclienteodelterceroquerellantequepodríanprovocarlitigios.

4) Concédaletiempoalclienteparasolucionarelproblemao,siexisteunacuerdoenvigencia,permítalealproveedorsolucionarlo.

5) Confirmequeelreclamoseharesuelto.6) Cierreelincidente.Siesnecesario,notifíquelealaparteinformantequeelproblemahasido

resuelto.Suspendaelserviciodealosclientesquenorespondan.


ACOSOENLÍNEANopasaundíasinrecibiruninformedelosmediosenlíneaytradicionalessobrealgúntipodeacosoenlínea.Apesardequevaríaentrelasmolestiasylasaccionesquesonenverdadgraves,quedaclaroquecomolosserviciosdeInternetestáncadavezmásdisponiblesanivelmundiallomismosucedeconelproblemadelacosoenlínea.Elacosoenlíneapuedeincluirdesdelapublicaciónenlíneademensajesofotosdigitalesperturbantesocrueles,amenazasenlínea,casosdebullyingocomentariosnegativoshastaelacosomediantecorreoselectrónicos,sitiosweb,redessocialesymensajesdetexto.

Cadagrupodeedadesvulnerablealacosoenlínea,queesunproblemacrecienteenlasescuelasenloscampusuniversitarioseinclusoenellugardetrabajo.ElacosoenlíneasehaconvertidoenunproblemaporqueInternetofreceunanonimatoqueesatractivoaagresoresporqueesdifícilrastrearsuintimidación.Lamentablemente,losrumores,lasamenazasylasfotossepuedendifundirenInternetmuyrápidamente.

Sehanproducidointentosdeviabilidadpararegularlxxveinclusosancionarleyeslxxvi,lxxviiparacombatiralgunosaspectosdelacuestión,peroengeneralsetratadeunazonaquees,todavía,omnipresenteyennecesidaddeexamenydesarrollodebuenasprácticas.

Acontinuación,seproporcionaunalistadelasdiferentesformasdeacosoenlíneayseguidadeunaguíasimplesobrecómoevitarelacoso.

Catfishing:Seconfiguraunperfilfalsoensitiosdecitasyredessocialesparaengañaraunaposiblevíctimaenunarelaciónenlíneamedianteunaestafaconsudinero.

Acosoclasificado(Craigslist):Secreananunciosqueafirmanqueunapersonabuscasexodurouotrotipodecomportamientoatípicoconrespuestasconfiguradasparadirigirsealteléfonodelacasadelavíctimaodireccióndecorreoelectrónico.

Cyberbullying:Básicamenteesuncasodecyberstalking,peroseasociamásconniñosyadolescentesquesonacosadosenlíneaporotrosestudiantesatravésdesitiosweb,redessociales,tablerosdemensajes,correoelectrónicooaplicacionesdeteléfonosinteligentesomensajeríadetexto.

Cyberstalking:Cuandoselehasolicitadoalacosadorenlíneaquesedetengaycontinúacontactandoenlíneaenrepetidasoportunidadesalavíctima.Estopuedetomarmuchasformas:correoelectrónico,sitioweb,mensajesocomentarios,tablerosdemensajes,mensajesdetextoenelteléfonomóvil,comentariosymensajesmedianteenaplicacionesparateléfonosinteligentes,etc.

Doxing:Averiguacióndeinformaciónpersonalidentificablesobreunindividuo;acontinuación,sepublicarlainformaciónenlínea,condirección,númerodeteléfonoparticular,teléfonomóvil,direcciónynúmerodeteléfonolaborales,informaciónsobrefamiliares,etc.lxxviii

Imitación:Cuandounusuariocreaperfilesocuentasconotronombre,fotoseinformacióndeidentificación,yluegopublicacomosifueraesapersona.Estopuedeusarseparadesacreditaralavíctima,oenalgunoscasoscomounprimerpasohaciaactividadesfraudulentasparabeneficioeconómico.Porejemplo,medianteelrobodefotoseinformacióndeunperfilderedessocialesylacreacióndeunonuevo,undelincuentepuedeentablaramistadconamigosyparientesdelavíctimaycontactarlosmedianteunesquemade"viajerovarado"lxxixendondelapersonaqueafirmahaberviajadohaciaalgunaparteperohaperdidosubilletera.Losamigoscercanossonmáspropensosacaerenestatrampayenvíandineroporquecreenqueelperfilfalsificadoesreal.


Mobbing:Cuandoungrupodeusuariosenlíneaapuntahaciaunoomásindividuosycomouna"banda"acosayacechaalasvíctimas,conlaesperanzadeexpulsarlosdeInternet,delaescuelaodesutrabajo.lxxx

Outing:Revelar(odenunciar)elhechodequealguienseagay,lesbiana,transgéneroocompartirinformaciónsobrefetiches,condicionesmédicas,etc.enlíneasinautorización.

Robodeidentidadenlínea:Robarinformaciónpersonalyasumirlaidentidadovenderlainformación,paraobtenertarjetasdecréditouotrosinstrumentosfinancieros,enformafraudulenta,comopréstamosohipotecas.

Comentariosporvenganza:Publicarcomentariosfalsosoextremadamentecríticosensitioscomoripofferport.com.Tambiénesposiblepublicarinformaciónpersonal,prejuiciossobreunapersonaensitioscomothedirty.com.

Pornografíadevenganza:Publicacióndefotosovideoscondesnudososemidesnudosensitioswebyenotrosforossinelconsentimientodelaparte.Comosucedeconotrosmétodosdeacosoenlínea,lamayoríadelosautoresintentanpermanecerenelanonimatoalrealizarlapornovenganzacreandoperfilesfalsosocuentasdecorreoelectrónicogratuitasparapublicarsobresusvíctimas.

Sexting:IntercambiodefotosovideoscondesnudososemidesnudosenlíneaatravésdeaplicacionescomoSnapchat,Instagram,VineositioswebcomoFacebook.Mientrasqueel"sexting"ensímismonoesacosoenlínea,sepuedeconvertirenacososilasfotosseenvíanadestinatariosquenolashansolicitadoosielreceptorasuvezlosredistribuye.

SWATting:Hacerunallamadafalsaalapolicíaparainvocarunarespuestaarmada,generalmenteporelequipoSWATlxxxi.Estoavecespareceunaamenazafalsadebombaouninformefalsosobreunatomaderehenes.

Trolling:Losusuariosenlíneaquetratandeincitaralareacciónporpublicarcomentariosintencionalmentetangencialesoagresivamentegroseros.Estotambiénincluyetrollscontratados:porejemplo,personasrelacionadasconcampañaspolíticaspuedenrecibirunpagoparainiciardiscusionesopublicarpuntosdevistaridículosyextremossobresusoponentesparadesacreditarlos.

Lasmejoresprácticasrecomendadaspararestringirelacosoenlínealxxxii:

Restringir los lugares dónde publicar información personal:Sea consciente de quién puedeaccederainformacióndecontactoolainformaciónsobresusintereses,hábitosotrabajoparareducirlaexposiciónalosagresores.Estopuederestringirelriesgodeconvertirseenvíctima;puederesultarmásfácilidentificaralagresorsiseconvierteenvíctima.Evitarlaescalacióndelasituación:Responderconhostilidadprobablementeprovoqueaunagresor.Segúnlascircunstancias,considereignorarlacuestión.Amenudo,loscyberbulliesyagresoresprosperanenlareaccióndesusvíctimas.Siustedosuhijorecibenmensajeselectrónicosnodeseados,yaseanmensajesSMSocorreoelectrónico,considerecambiarladirecciónelectrónica.Esposibledetenerelproblema.Sicontinúarecibiendomensajesenlacuentanueva,puedellevarsucasoaunaacciónlegal.Documentarelcyberbullying:Registrarcualquieractividadenlínea(correoselectrónicos,sitiosweb,mensajesenredessociales,etc.),incluyendolasfechasyhoras.Mantenerunaversiónelectrónicayunacopiaimpresa.


Informarelacosocibernéticoalasautoridadescompetentes:Siustedosuhijoestásiendoacosadooamenazado,informedelaactividadalasautoridadeslocales.Lapolicíalocalonacionalamenudoesunbuenpuntodepartida.Hayunadistinciónentrelibertaddeexpresiónylaagresiónpunible.Losfiscalesyfuncionariosencargadosdehacercumplirlaleypuedenayudaraclasificarlasimplicacioneslegales.Tambiénpuedeserapropiadoinformaralosdirectivosdelaescuelaquienespuedendisponerdediferentespolíticasparaabordarlaactividadqueinvolucraalosestudiantes.Serpropietariodesupropiaparticipaciónenlínea:Cuandoseaposible,establezcalaconfiguracióndeprivacidadyseguridadenlossitioswebasuniveldecomodidadparaelintercambiodeinformación.Porejemplo,cambielaconfiguracióndesussitiosderedessocialesparalimitarlavisibilidaddelosmensajesa"sóloamigos".Esaceptablelimitarelintercambiodeinformación.Utilizar contraseñas seguras y preguntas de seguridad: No utilizar la misma contraseña endiferentessitios.Si tieneproblemaspararecordar lascontraseñas,utiliceungestordecontraseñascomoiPassword(Agilebits)yautenticaciónbifactorialsiemprequeseaposibleenlasredessocialesycuentas de correo electrónico. Si publica información personal como su escuela y el nombre desolterade sumadrea losmediosde comunicación social, utilicediferentes respuestas apreguntasquese lepuedepedira su institución financiera,paraque las respuestasnosepuedandeterminarfácilmente. También, en lugar de utilizar la información real personal, considere elegir una fraseabsurdaquepuedarecordaryqueusaparaestascuestiones(porejemplo,nombredesolterade lamadre:Batman).Másseguroparamí,másseguroparatodos:Loqueustedhaceenlíneapuedeafectaratodos:encasa,eneltrabajoytodoelmundo.Practicarbuenoshábitosenlíneabeneficiaalacomunidaddigitalmundial.Educaralacomunidad:Haymuchosrecursosdisponiblesquepuedenayudaradesalentarelacosocibernético.Provistosatravésdelasautoridadesgubernamentaleslxxxiii


CONCLUSIÓNEnlosúltimosaños,elambientedelasamenazasenlíneaymóvileshacambiadodramáticamente,yapuntaaunagamamásampliadeindividuos,empresasyredes.Laaparicióndenuevastecnologíaspermiteataquesmássofisticadosquesedesarrollaránmedianteelaprovechamientodevulnerabilidadesdeunagamamásampliadeservicios,canalesyplataformas.Losmétodostradicionalesparaabordarlasamenazasenlínea,conantivirus,firewallsycampañasdeeducaciónsiguensiendounaparteimportantedeladefensa.Elmalwareylasbotnetsquesurgieronenlosúltimosañossehantransformadoparaevitarsudetecciónycorrección.Parahacerfrenteaestasamenazasnuevasyemergentes,lacomunidadinternacionaldebedarunpasomásenelecosistemadeInternety,demaneracolaborativa,desarrollarenfoquespolifacéticosymultilateralesparacombatirlas.Esteinformeproporcionalasmejoresprácticasrecomendadasparaquelosconsumidores,laindustriaylosgobiernosabordenlasamenazasmóvilesyenlínea.Seincluyenrecomendacionesparaquelosconsumidoresseanmásproactivosenlaproteccióndesuspropiosdispositivos;paraquelosproveedoresdeserviciosimplementenprácticasytecnologíasdeseguridadrecomendadasdeinmediato;paraquelosgobiernosgaranticenentornosregulatoriosylegislativosmodernosvigentesytrabajenconlasorganizacionesinternacionalesparalograresfuerzosdecolaboración.Estasrecomendacionessonunconjuntodeherramientasparamanejaramenazasmóviles,enlíneaydevoz.Sinembargo,lasamenazasdescritasenesteinformesonsólounpanoramadelentornoactualdelasamenazas.Dadoquelasactividadesenlíneacambian,elusodelainformáticamóvilaumenta,ylosusuariosdeInternetylasempresascambiansusrespuestasydefensasalasamenazasexistentes,estasamenazassemodificanyadaptanparaatacarotrasvulnerabilidadesyperseguirnuevosobjetivos.Laimplementacióndeestasrecomendacionestendráunenfoquemultilateralycoordinado.Conesefin,losautoresdeesteinformerecomendamosalaOCDEyotrasorganizacionesinternacionalesunirsealM3AAWGyalLAPyparticiparconlasorganizacionesquegobiernanyadministranlasinfraestructurasdeInternet.Además,parahacerlefrentedelentornocambiantedelasamenazas,lasorganizacionesinteresadasdeberíancolaborarmásproactivamenteenlasupervisióndeamenazasylaimplementacióndenuevasmedidascomoseanecesario.


GLOSARIO§ Estafadel 419LlamadaasíapartirdelCapítulo38,Sección419,delCódigoPenalnigerianoqueabordaeltemadelfraude."Cualquierpersonaquemedianteunpretextofalso,yconintencióndedefraudar,obtengadeotrapersonacualquiercosapasibledeserrobado,oinduzcaaotrapersonaaentregaraun tercerocualquiercosapasibledeserrobado,esculpablededelitoyserácastigadoconprisióndetresaños". Estasfueronlosfamososcorreoselectrónicosoesquemasdepagoporadelantadodelpríncipenigerianoenlosquesesolicitagastardineroacambiodeobtenerriquezasincalculablesafinaldelrégimen.

§ Fraude por pago adelantado: Se tratadecorreoselectrónicosqueofrecenunpagoadelantado,por ejemploun sobrepago, por servicios ofrecidos. En la formamás frecuente, se solicita que elsobrepago se realice aun tercero. Despuésdequeel tercero liquidaelpago, sedescubrequeelpagooriginalesfalsoyseretiradelestadodecuentadelbancodelavíctima.

§ Protocolo de puerta de enlace de borde (BGP): Es el protocolo que toma decisiones sobreenrutamiento central en Internet. Mantiene una tabla de "prefijos" o redes IP que designan lacapacidaddealcancedelaredentresistemasautónomos.1

§ Memoria caché: Almacenamiento de información utilizada recientemente en un lugar donde sepuedeaccedermuyrápidamente.Porejemplo,unnavegadorwebutilizaunamemoriacachéparaalmacenarinformaciónsobrepáginaswebrecientementevisitadaseneldiscorígido.DadoqueelaccesoaldiscorígidodelequipoesmuchomásrápidoqueelaccesoaInternet,elalmacenamientoenlamemoriacachédepáginaswebpuedeacelerarsignificativamentelanavegaciónweb.2

§ Denegación de servicio distribuido (DDoS): Es un tipo de ataque cibernético que apunta aavasallarointerrumpirdemaneraalgunalacapacidaddelsistemablancopararecibirinformacióneinteractuarconotrossistemas.Porejemplo,elenvíodeunoounenormenúmerodemensajesnodeseadosparaevitarqueunservidorounaredfuncionacorrectamente.

§ Descargaoculta:SetratadeladescargainvoluntariadesoftwaredesdeInternet.Unusuariopuedeautorizarunadescargasinentenderlasconsecuencias,porejemplounprogramaejecutablefalso,oladescargapuedeocurrirsinconocimientoalgunodelusuario.3

§ Proveedoresdeserviciosdecorreoelectrónico(ESP):Esunaempresaqueofreceserviciosdecorreoelectrónicoaotrasempresas.Estosserviciospuedenincluirlarecolecciónyarmadodelistasde direcciones de correo electrónico, el envío de correo masivo a las direcciones de la lista, laeliminacióndedireccionesquerebotanloscorreosyelmanejodereclamoseinformesdeataquescausadosporcorreoselectrónicosmasivos.

§ Firewall:Esundispositivodehardwareosoftwareinstaladoenunequipoquecontrolaelaccesoentre una red privada y una red pública, como Internet. Un firewall está diseñado paraproporcionarprotecciónmedianteelbloqueodelaccesonoautorizadoalequipooalared.

§ Sistema global para comunicaciónmóvil (GSM): Es un conjunto estándar desarrollado por elInstituto Europeo de Estándares de Telecomunicaciones (ETSI) para describir los protocolos desegundageneración(2G)pararedesmóvilesydigitalesutilizadasporlosteléfonosmóviles.4

§ Filtrado de ingresos: Es una técnica que se utiliza para garantizar que los paquetes entrantespertenezcan en verdad a las redes que dicen pertenecer mediante el bloqueo de paquetes queprovienendedireccionesdeIPfalsas.5


§ CorporaciónparalaasignacióndenúmerosynombresenInternet(ICANN):EselorganismoquecoordinaelSistemadeNombresdeDominio(DNS),laasignacióndeespaciodedireccionesIP(Protocolo de Internet), la asignación del protocolo de identificación, la gestión del Sistema deNombres de Dominio genéricos (gTLD) y de nivel superior con código de país (ccTLD) y lasfuncionesdegestióndelsistemadeservidorraíz.6

§ Muladedinero:Sellamaasíaunapersonaquetransfieredinerorobadoomercancíasdeunpaísaotro,yaseaenpersona,atravésdeunserviciodemensajeríaopormedioselectrónicos.Lasmulasdedineroenlíneageneralmenteexistencomoresultadodeestafasporphishingomalware7

§ Nodo:Enlacomunicacióndedatos,unnododeredfísicapuedeserunequipodeterminacióndecircuito de datos (DCE), por ejemplo un módem, un núcleo, un puente o un conmutador; o unequipo terminal de datos (DTE), como un teléfono digital, una impresora o un equipo host, porejemplounenrutador,unaestacióndetrabajoounservidor.

§ JavaScript:Esunlenguajedecódigodeescrituraquepermitealosautoresdiseñardepáginaswebinteractivas.

§ Phishing: Es el intento de obtener información personal para robar una identidad u otrainformación confidencial, como números de tarjeta de crédito o datos bancarios con finesfraudulentos. Por ejemplo, un mensaje de correo electrónico que parece ser del banco deldestinatario le solicita que visite un sitio web para confirmar los detalles de la cuenta, pero encambiolodirigeaunsitiowebfalsodondeserecopilalainformaciónpersonal.

§ SMShingophishingmedianteSMSomensajedetexto:SeenvíaunenlacequeconduceaunsitiowebfalsovíaSMS,oelmensajelesolicitaaldestinatarioquellameaunnúmerodeteléfonodondecontinuaráelataquedeingenieríasocial.

§ Spoofing:Esfingirserotrapersonauorganizaciónyhacerqueunmensajedecorreoelectrónicoounallamadatelefónicaoriginadaenunlugarquedistadesuorigenlegítimoparezcareal.

§ DominiosdeAltoNivel(TLD):LosTDLsonelmásaltonivelenlajerarquíadelSistemadeNombresdeDominiodeInternetyrepresentalaúltimaporcióndelnombrededominio.Porejemplo,enelnombrededominiowww.example.com,eldominiodealtoniveles.com.LaresponsabilidaddegestionardominiosdemásaltonivelesdelegadaaciertosorganismosporlaCorporaciónparalaAsignacióndeNombresyNúmerosenInternet(ICANN),quemanejalaAutoridaddeNúmerosAsignadosenInternet(IANA),ytieneacargoelmantenimientodelazonaraízdelDNS.

§ Typosquatters:SonerrorestipográficosquecometenlosusuariosdeInternetcuandoescribenladireccióndeunsitiowebenunnavegadorweb.Encasodequeunusuarioaccidentalmenteingreseunadirecciónwebincorrecta,puedeconduciraunsitiowebalternativodeuncybersquatter.Unavezenelsitiodeltyposquatter,elusuariopuedetambiénserengañadopensandoquesondehechoenelsitiorealmedianteelusodecopiadoosimilareslogotipos,diseñoswebocontenido.8

§ VoIP:EselenrutamientodeconversacionesdevozporInternet.Difieredeunallamadatelefónica,quesehacedesdeel teléfonodelhogaro laoficinaquepasaa travésde lared telefónicapúblicaconmutada.

§ Vishing o phishingmediante voz sobre IP: Se realizauna llamadaaldestinatario,utilizandoamenudo una capacidad común de VoIP para establecer un identificador falso de llamadas, se lesolicita a la persona que llama a visitar un sitioweb o a llamar a un número de teléfono donde


continuaráel ataquemediante ingeniería social. Variosesquemascomunes incluyenun "soportetécnico deMicrosoft", cuestiones de impuestos atrasados o "usted será arrestado si no paga unamulta".

§ Inyecciones web: Es un tipo de ataque a la seguridad en el que el atacante añade código a uncuadrodeformulariowebparaaccederarecursosorealizarcambiosenlosdatos.Loscuadrosdeentrada se suelen utilizar para la autenticación de un usuario; sin embargo, la mayoría de losformularios web no tienen mecanismos que bloqueen la entrada de distintos nombres ycontraseñas.Sinosetomanprecauciones,unatacantepuedeutilizar loscuadrosdeentradaparaenviarsusolicitudalabasededatos,quepodríapermitirledescargarlabasededatosointeractuarotramanerailícita.9

REFERENCIAS● 1.http://en.wikipedia.org/wiki/Border_Gateway_Protocol● 2.http://www.techterms.com/definition/cache● 3.http://en.wikipedia.org/wiki/Drive-by_download● 4.http://en.wikipedia.org/wiki/GSM● 5.http://www.expertglossary.com/security/definition/ingress-filtering● 6.http://www.icann.org/en/about/welcome● 7.http://en.wikipedia.org/wiki/Money_mule● 8.http://en.wikipedia.org/wiki/Typosquatters● 9.http://searchsoftwarequality.techtarget.com/definition/SQL-injection


iDCWG,http://www.dcwg.org/iiGrupodeTrabajoparaConficker,http://www.confickerworkinggroup.org/iiiWinFixer,Wikipedia,http://en.wikipedia.org/wiki/WinFixerivSymantec,2015InternetSecurityThreatReport,Volume20,http://www.symantec.com/security_response/publications/threatreport.jspvMcAfee,McAfeeLabs2014ThreatsPredictions,http://www.mcafee.com/ca/resources/reports/rp-threats-predictions-2014.pdfviMicrosoft,DownloadCenter,http://www.microsoft.com/en-us/download/details.aspx?id=44937viiSecunia,http://secunia.com/vulnerability_scanning/personal/viiiPCMag,“TheBestPasswordManagersfor2015”,http://www.pcmag.com/article2/0,2817,2407168,00.asp;PCMag,“YouCan’tRememberGoodPasswords,SoYouNeedaPasswordManager”,http://securitywatch.pcmag.com/security-software/332153-you-can-t-remember-good-passwords-so-you-need-a-password-managerixPCMag,“TheBestFreeAntivirusfor2015”,http://www.pcmag.com/article2/0,2817,2388652,00.aspxInternetEngineeringTaskForce(IETF),“RecommendationsfortheRemediationofBotsinISPNetworks”,http://tools.ietf.org/html/rfc6561xiAquilina,James,EoghanCaseyyCameronMalin,MalwareForensics:InvestigatingandAnalyzingMaliciousCode,Elsevier,Inc.,2008.xiiSafeCode,http://www.safecode.orgxiiiM3AAWG,“ABCsforISPs”,https://www.m3aawg.org/abcs-for-ISP-codexivNationalSecurityAgency,SecurityConfigurationGuides,http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/operating_systems.shtmlxvNationalVulnerabilityDatabase,“NationalChecklistProgramRepository”,http://web.nvd.nist.gov/view/ncp/repositoryxviVerizon,2014DataBreachInvestigationsReport,http://www.verizonenterprise.com/DBIR/2014/xviiIbid.xviiiAPWG,“APWGPhishingAttackTrendsReports”,https://apwg.org/resources/apwg-reports/xixAPWG,“APWGGlobalPhishingSurvey1H2014:TrendsandDomainNameUse”,http://docs.apwg.org/reports/APWG_Global_Phishing_Report_1H_2014.pdfxxRSA,“2014CybercrimeRoundup”,www.emc.com/collateral/fraud-report/h13929-rsa-fraud-report-jan-2015.pdfxxiCenterforStrategicandInternationalStudies,“2014McAfeeReportontheGlobalCostofCybercrime”,http://csis.org/event/2014-mcafee-report-global-cost-cybercrimexxiiO’Connor,Fred,PCWorld,“MonetisingMedicalDataisBecomingtheNextRevenueStreamforHackers”,March21,2015xxiiiITGovernance,“123MillionHealthCareRecordsBreachedsofarthisYear”,March26,2015,http://www.itgovernanceusa.com/blog/123-million-health-care-records-breached-so-far-this-year/xxivSenderPolicyFramework,“ProjectOverview”,http://www.openspf.org/xxvDKIM.org,http://dkim.org/xxviICANN,http://www.icann.org/xxviiDMARC,http://dmarc.orgxxviiiEnlamayoríadelospaísesdeoccidente,lasinstitucionesfinancieraslesreembolsaráalosconsumidoreslaspérdidasporfraudegeneradasmediantelainstituciónfinanciera.xxixMcAfee,“McAfeeLabsReportHighlightsSuccessofPhishingAttackswith80%ofBusinessUsersUnabletoDetectScams”,September4,2014,http://www.mcafee.com/us/about/news/2014/q3/20140904-01.aspxxxxSANS,“BuildinganEffectivePhishingProgram”,http://www.securingthehuman.org/media/resources/presentations/STH-Presentation-PhishingYourEmployees.pdfxxxiStop.Think.Connect.,“Resources”,www.stopthinkconnect.org/resources/xxxiiStaySafeOnline.org,“NationalCyberSecurityAwarenessMonth”,https://www.staysafeonline.org/ncsam/xxxiiiAPWG,“HowtoRedirectaPhishingSiteWebPagetotheAPWG.ORGPhishingEducationPage”,http://phish-education.apwg.org/r/how_to.htmlxxxivGrupodeTrabajoAnti-Phishing(APWG,eninglés),www.apwg.orgxxxvGrupodeTrabajoAnti-AbusodeMensajes,MalwareyMóvil,www.m3aawg.orgxxxviAlianzadeConfianzaenLínea,otalliance.orgxxxviiConsejodeRiegodelComerciante,merchantriskcouncil.orgxxxviiiForodelosEquiposdeRespuestaaIncidentesySeguridad,first.orgxxxixFBI,“DNSChangerMalware”November9,2011,http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf


xlRFCEditor,"NetworkIngressFiltering:DefeatingDenialofServiceAttackswhichemployIPSourceAddressSpoofing",May2000,http://www.rfc-editor.org/info/bcp38xliRFCEditor,“IngressFilteringforMultihomedNetworks”,March2004,http://www.rfc-editor.org/info/bcp84xlihttps://www.arin.net/policy/nrpm.htmlxliiRFCEditor,“IngressFilteringforMultihomedNetworks”,March2004,http://www.rfc-editor.org/info/bcp84xliiihttps://www.arin.net/policy/nrpm.htmlxlivCounterpoint,“MarketMonitor:HandsetandSpartphoneMarketsQ42014”,January29,2015,http://www.counterpointresearch.com/marketmonitor2014q4xlvTheRealtimeReport,“MobileComemerce:OnlineRetailSalesfromMobileDevicesDoubleinLastYear”,May3,2012,http://therealtimereport.com/2012/05/03/mobile-commerce-online-retail-sales-from-mobile-devices-double-in-last-year/xlviCorra,“MobileShoppingTrendsbyDevice”,February3,2015,http://corra.com/mobile-ecommerce-trends-2015xlviiGSMAIntelligence,“GlobalData”,https://gsmaintelligence.com/xlviiiWorldometers,“CurrentWorldPopulation”,http://www.worldometers.info/world-population/xlixIDC,Llamas,Ramon,AnthonyScarsella,WilliamStofega,“WorldwideMobilePhone2015-2019ForecastandAnalysis”,April2015,http://www.idc.com/getdoc.jsp?containerId=prUS23455612(subscriptionrequired)lSymantec,“InternetSecurityThreatReport”,April2015,Volume20,

https://www4.symantec.com/mktginfo/whitepaper/ISTR/21347932_GA-internet-security-threat-report-volume-20-2015-social_v2.pdf

liIbid.liiAdaptiveMobile,“Selfmite:AttackUsingSMSWormtoIncreasePay-Per-InstallIncome”,June25,2014,http://www.adaptivemobile.com/blog/selfmite-wormliiiAustralia,Bulgaria,Belgium,France,Germany,Ghana,Greece,Ireland,Kenya,Netherlands,USA,SouthAfrica,Spain,Sweden,SwitzerlandlivLookout,“2014MobileThreatReport,”https://www.lookout.com/static/ee_images/Consumer_Threat_Report_Final_ENGLISH_1.14.pdflvBibat,Aerol,“GGTrackerMalwareHidesasAndroidMarket”,AndroidAuthority,June21,2011http://www.androidauthority.com/ggtracker-malware-hides-as-android-market-17281/lviICT,“Statistics”,http://www.itu.int/en/ITU-D/Statistics/Pages/stat/default.aspxICT,“ICTFactsandFigures,TheWorldin2014”,http://www.itu.int/en/ITU-D/Statistics/Documents/facts/ICTFactsFigures2014-e.pdf;http://www.itu.int/en/ITU-D/Statistics/Documents/facts/ICTFactsFigures2013-e.pdflviiCompareforexample:47U.S.C.§227(b)(1)(A)(iii)with47U.S.C.§227(b)(1)(B)and47U.S.C.§227(b)(2)(B).lviiiFCC,“‘OneRing’PhoneScam,”availableathttp://www.fcc.gov/guides/one-ring-wireless-phone-scam.lixCAPTCHAstandsfor"CompletelyAutomatedPublicTuringtesttotellComputersandHumansApart"lxSeefore.g.,T-LockCallBlocker–VersionN2,http://hqtelecom.com/callblocker?gclid=CMmt_raT6cECFc1_MgodhnEAWg;CPRCallBlockerProductPage,http://www.cprcallblocker.com/purchase.html;DigitoneCallBlockerPlus,http://www.digitone.com;andSentryDualModeCallBlocker,http://www.plugnblock.com/?gclid=CJmKkbaT6cECFSFgMgodJRIAGA;PrivacyCorpCallerIDManager,http://www.privacycorps.com/products/.lxiWeisbaum,Herb,“Wanttogetridofthose$#%@robocalls?There'sanappforthat,”http://www.cnbc.com/id/101758815#.lxiiAllianceforTelecommunicationsIndustrySolutions,“NextGenerationInterconnectionInteroperabilityForum(NGIIF)AutoDialersReferenceDocument,”https://www.atis.org/docstore/product.aspx?id=26137lxiiiPreparedStatementofTheFederalTradeCommissionBeforetheUnitedStatesSenateCommitteeonCommerce,ScienceandTransportation,SubcommitteeonConsumerProtection,ProductSafety,andInsuranceon‘StoppingFraudulentRobocallScams:CanMoreBeDone?’,Washington,DC,July10,2013(“SenateHearing”),http://www.commerce.senate.gov/public/index.cfm?p=Hearings&ContentRecord_id=c1eec086-3512-4182-ae63-d60e68f4a532&ContentType_id=14f995b9-dfa5-407a-9d35-56cc7152a7ed&Group_id=b06c39af-e033-4cba-9221-de668ca1978a&MonthDisplay=7&YearDisplay=2013lxivTruthinCallerIDAct,47U.S.C.§227(e);cf.16C.F.R.Part310.4(a)(8).lxvFederalTradeCommission,“RobocallsGoneWrong”,https://www.consumer.ftc.gov/media/video-0027-robocalls-gone-wronglxviTheEconomist,“TheCheap,ConvenientCloud,”April18,2015,http://www.economist.com/news/business/21648685-cloud-computing-prices-keep-falling-whole-it-business-will-change-cheap-convenient?fsrc=scn/tw/te/pe/ed/thecheapconvenientcloudlxviiM3AAWG,“M3AAWGSenderBestCommonPractices,Version3,UpdatedFebruary2015,”https://www.m3aawg.org/sites/maawg/files/news/M3AAWG_Senders_BCP_Ver3-2015-02.pdf


lxviiihttp://w3techs.com/technologies/history_overview/content_management/all/ylxixhttps://wpvulndb.com/statisticslxxhttp://w3techs.com/technologies/details/cm-wordpress/all/alllxxihttp://www.emersonnetworkpower.com/documentation/en-us/brands/liebert/documents/white%20papers/2013_emerson_data_center_cost_downtime_sl-24680.pdfPage13lxxiihttp://www.stateoftheinternet.com/resources-web-security-2014-q4-internet-security-report.htmllxxiiihttp://www.emersonnetworkpower.com/documentation/en-us/brands/liebert/documents/white%20papers/2013_emerson_data_center_cost_downtime_sl-24680.pdfPage14lxxivNoroozian,A.etal.,“DevelopingSecurityReputationMetricsforHostingProviders,http://www.tudelft.nl/fileadmin/Faculteit/TBM/Onderzoek/Publicaties/hosting-metrics.pdf lxxvTwitterbossvowstocrackdownontrollsandabuse:http://www.theguardian.com/technology/2015/feb/26/twitter-costs-dealing-abuse-harassing-dick-costololxxviSuicideofRehtaehParsons:https://en.wikipedia.org/wiki/Suicide_of_Rehtaeh_ParsonslxxviiGranby,Quebec,Canadamovestofinepeopleinsultingpoliceonsocialmedia:http://www.cbc.ca/news/canada/montreal/granby-moves-to-fine-people-insulting-police-on-social-media-1.3045816lxxviii4chanBulliesFitnessGuruScoobyOffYouTubeWithDoxxingandThreats:http://newmediarockstars.com/2013/07/4chan-bullies-fitness-guru-scooby-off-youtube-with-doxxing-and-threats-video/lxxixHowIgotcaughtupina'strandedtraveller'phishingscam:http://www.theguardian.com/money/2013/nov/13/stranded-traveller-phishing-scamlxxxHowOneStupidTweetBlewUpJustineSacco’sLife:http://www.nytimes.com/2015/02/15/magazine/how-one-stupid-tweet-ruined-justine-saccos-life.html?_r=0lxxxiTheWorldHasNoRoomForCowards:http://krebsonsecurity.com/2013/03/the-world-has-no-room-for-cowards/lxxxiiStaySafeOnline,https://www.staysafeonline.org/stay-safe-online/for-parents/cyberbullying-and-harassmentlxxxiiiFromtheUSFTC,https://www.consumer.ftc.gov/articles/0028-cyberbullying;Nigeria,http://www.mamalette.com/parenting-3/cyber-bullying-nigerian-parents-need-know/;ACMA,http://www.cybersmart.gov.au/Schools/Cyber%20issues/Cyberbullying.aspx;RCMP,http://www.rcmp-grc.gc.ca/cycp-cpcj/bull-inti/index-eng.htm;SouthAfricanPoliceService,http://www.saps.gov.za/child_safety/teens/cyber_bullying.php;

0 1 1 1 0 1 0 1 1 1 0 E V A L U A T E 0 1 0 0 0 1 0 1 0 0 1 1 0 R E S P O N D 1 0 1 0 0 0 1 0 0 1 1 1 0 1 0 0 1 0 D E V E L O P 1 0 0 1 1 0 1 1 1 1 1 0 D E T E C T 0 1 0 0 C O L L A B O R A T E 0 1 T E S T 1

690 1 1 1 0 1 0 1 1 1 0 0 1 P R E V E N T 1 0 0 0 1 0 1 0 0 1 1 T R A C K 0 1 0 1 0 0 0 0 1 0 0 9 6 1 U P D A T E 1 1 0 0 1 1 0 0 1 1 0 R E P O R T 0 1 1 0 0 0 1 E D U C A T E 0 0 1 0 S H A R E 0 1 1 1

Steering CommitteeAndre Leduc, Manager, National Anti-Spam Coordinating Body, Industry Canada

Alyson Hawkins, Policy Analyst, Industry Canada

Christina Adam, Policy Analyst, Industry Canada

Jerry Upton, Executive Director, Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG)

Lisa Foley, Policy Analyst, Industry Canada

Neil Schwartzman, Executive Director, CAUCE.org

ContributorsAlex Bobotek, Lead, Mobile Messaging Anti-Abuse Strategy and Architecture, AT&T

Amy Hindman, Principal Engineer, Verizon

Betsy Broder, Counsel for International Consumer Protection, Federal Trade Commission

Bruce Matthews, Manager, Anti-spam Team, Australian Communications & Media Authority

Carlo Catajan, iCloud Mail & iMessage Anti-Abuse, Apple Inc.

Carlos Alvarez, Sr. Manager, Security Engagement, SSR Team, ICANN

Chris Boyer, Assistant Vice President, Global Public Policy, AT&T

Christian Dawson, President, ServInt and Chairman, i2Coalition

David Jevans, Chairman, Anti-Phishing Working Group (APWG)

Eric Freyssinet, Ministère de l’intérieur, France

Foy Shiver, Deputy Secretary-General, APWG

Francis Louis Tucci, Manager, Network Repair Bureau, Verizon Wireless

Frank Ackermann, M3AAWG Public Policy Committee Co-chair

Gary Warner, Director of Research in Computer Forensics, University of Alabama at Birmingham

Jay Opperman, General Manager, CSP, Damballa

Jayne Hitchcock, President, WOAH

Jeff Williams, Dell SecureWorks

Jessica Malekos Smith, Student, UC Davis School of Law

John Levine, President, CAUCE.org

Jonathan Curtis, Norse Corporation

Justin Lane, Anti-Abuse Manager, Endurance International

Karen Mulberry, ISOC

Lee Armet, Senior Investigator, TD Bank Group

Mary Retka, Director, Network Policy, CenturyLink

Matthew Bryant, Ofcom

Matthew C Stith, Manager, Anti-abuse, Rackspace Hosting

Michael Hammer, American Greetings

Michael O’Reirdan, Comcast Fellow

Patrick Tarpey, Ofcom

Paul Vixie, CEO, Farsight Security

Peter Merrigan, Government of New Zealand

Phil Shih, Structure Research

Richard Feller, Hedgehog Hosting

Rod Rasmussen, President and CTO, Internet Identity (IID)

Sanjay Mishra, Distinguished Member of Technical Staff, Verizon

Sara Roper, Manager Information Security, CenturyLink

Sid Harshavat, Symantec

Steven Champeon, Enemieslist

Terry Zink, Program Manager, Microsoft

TR Shaw, SURBL

Venkata Atluri, Associate Professor, Alabama A&M University

Operación Safety Net 96

0 1 1 1 0 1 0 1 1 1 0 E V A L U A T E 0 1 0 0 0 1 0 1 0 0 1 1 0 R E S P O N D 1 0 1 0 0 0 1 0 0 1 1 1 0 1 0 0 1 0 D E V E L O P 1 0 0 1 1 0 1 1 1 1 1 0 D E T E C T 0 1 0 0 C O L L A B O R A T E 0 1 T E S T 1

0 1 1 1 0 1 0 1 1 1 0 0 1 P R E V E N T 1 0 0 0 1 0 1 0 0 1 1 T R A C K 0 1 0 1 0 0 0 0 1 0 0 1 1 1 0 1 0 0 1 U P D A T E 1 1 0 0 1 1 0 0 1 1 0 R E P O R T 0 1 1 0 0 0 1 E D U C A T E 0 0 1 0 S H A R E 0 1 1 1

97

ParticipantsAdam Panagia, Adria Richards, Alexander Falatovich, April Lorenzen, Autumn Tyr-Salvia, Bill Wilson, Bulent Egilmez, Chris Lewis, Dave Crocker, David Dewey, David Levitt, Donald McCarthy, Donald Smith, Dylan Sachs, Eric Chien, Franck Martin, Hein Dries-Ziekenheiner, Jacek Materna, Jack Johnson, Jared Mauch, Jean Marie Norman, John Cunningham, Julia Cornwell McKean, Kaio Rafael, Karmyn Lyons, Ken Simpson, Lucas Moura, Mark Collier, Matteo Lucchetti, Michael Shoukrey, Mustaque Ahamad, Nabeel Koya, Nitin Lachhani, Olivier Caleff, Patricia B. Hsue, Paul Ebersman, Peter Cassidy, Raymond Choo, Richard Clayton, Richard Gane, Rudy Brioche, Sid Harshavat, Steve Jones, Steven M. Wernikoff, Suresh Ramasubramanian, Toni Demetriou, Trent Adams, Will Clurman