informe sobre investigaciones de brechas en los … · 2 resumen ejecutivo el año 2011 pasará a...

Un e

stud

io ll

evad

o a

cabo

por

el e

quip

o RI

SK d

e Ve

rizon

con

la co

oper

ació

n de

la P

olic

ía F

eder

al A

ustr

alia

na, la

Uni

dad

Naci

onal

de

Delit

os d

e Al

ta Te

cnol

ogía

de

los P

aíse

s Baj

os, e

l Ser

vici

o de

Seg

urid

ad d

e la

Info

rmac

ión

e In

form

es d

e Irl

anda

, la

Uni

dad

Cent

ral d

e De

litos

Info

rmát

icos

de

la P

olic

ía M

etro

polit

ana

de L

ondr

es y

el S

ervi

cio

Secr

eto

de E

stad

os U

nido

s .

INFO

RM

E S

OB

RE

INV

ESTI

GA

CIO

NES

DE

BR

ECH

AS

EN

LO

S D

ATO

S D

E 20

12

INFORME SOBRE INVESTIGACIONES DE BRECHASEN LOS DATOS DE 2012

Un estudio llevado a cabo por el equipo RISK de Verizon con la cooperación de la Policía Federal Australiana, la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos, el Servicio de

Seguridad de la Información e Informes de Irlanda, la Unidad Central de Delitos Informáticos de la Policía Metropolitana de Londres y el Servicio Secreto de Estados Unidos.

Contenido

Resumen ejecutivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2Metodología . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Clasificación de incidentes con la ayuda de VeRiS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6La parcialidad de la muestra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Recopilación y análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Grupos demográficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10dBiR de 2011: los eventos de amenaza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13Acciones de amenaza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

Malware (69% de las brechas, 95% de los registros) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26Hacking (81% de las brechas, 99% de los registros) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30Social (7% de las brechas, 37% de los registros) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33Uso indebido (5% de los brechas, <1% de los registros) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35Física (10% de las brechas, <1% de los registros) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36error (<1% de las brechas, <1% de los registros) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37Medioambiental (0% de las brechas, 0% de los registros) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38

Los activos comprometidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38Los datos comprometidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41dificultad del ataque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45Selección en los ataques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47intervalo de los eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48Métodos de descubrimiento de brechas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51técnicas antiforenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55PCi dSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56el impacto de las brechas en los datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58

dBiR de 2012: Conclusiones y recomendaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61Apéndice A: examen de las relaciones entre acciones de amenaza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67Apéndice B: Un caso de éxito deL USSS de ciberdelincuencia industrializada a gran escala . . . . . . . . . . . . . . . . . . . . .72Los contribuidores del dBiR de 2012 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74

equipo RiSK de Verizon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74Policía Federal Australiana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74Unidad de delitos de Alta tecnología de los Países Bajos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74Servicio de Seguridad de la información e informes de irlanda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75Unidad Central de delitos informáticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75Servicio Secreto de estados Unidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .76

Informe sobre InvestIgacIones de brechas en los datos de 2012

Para más noticias y comentarios en inglés, visite verizon.com/enterprise/securityblog .

http://www.verizon.com/enterprise/securityblog

2

resumen ejecutIvoel año 2011 pasará a la historia como un año de agitación civil y cultural . Los ciudadanos se rebelaron contra sus gobiernos, los retaron y llegaron incluso a derrocarlos en el efecto dominó que se conoce como la primavera árabe, aunque se prolongó más allá de esta estación . Muchos, indignados con la acumulación de riqueza del “1%”, ocuparon Wall Street y otras muchas ciudades del mundo . existen multitud de ejemplos de este fenómeno .

esta inestabilidad que ha caracterizado al año 2011 no se ha limitado al mundo físico . el mundo de internet también reflejó un enfrentamiento de ideales en forma de activismo, protestas, represalias y ataques por pura diversión . Aunque estas actividades abarcan mucho más que brechas en los datos, por ejemplo, ataques ddoS, el robo de información corporativa y personal fue sin duda una de las tácticas más empleadas . el espectro del “hacktivismo” reimaginado y revigorizado supuso una amenaza para organizaciones de todo el mundo . Muchos, preocupados por el carácter clandestino de sus orígenes y su tendencia a avergonzar a sus víctimas, consideraban esta amenaza más temible que cualquier otra, tanto real como imaginaria . Más preocupante para muchas organizaciones y ejecutivos fue el hecho de que estos grupos no seguían un patrón lógico en sus ataques, atacando a quién tenía más dinero o información valiosa . Los enemigos son aún más peligrosos cuando no puede predecirse su comportamiento .

no obstante no todo fueron protestas y bromas . Los ciberdelincuentes habituales siguieron automatizando y simplificando su método favorito de emplear ataques de gran volumen y bajo riesgo contra objetivos débiles . Menos frecuentes, pero posiblemente más perjudiciales, fueron los ataques continuados contra secretos comerciales, información clasificada y otra propiedad intelectual . durante el año pasado, hemos observado multitud de facetas, tácticas y motivos, y en muchos aspectos, el informe sobre investigaciones de brechas en los datos, o dBiR, de 2012 recapitula las muchas caras del hurto de datos corporativos .

855 incidentes, 174 millones de registros comprometidos.

el dBiR de este año incluye más incidentes, derivados de más contribuidores, y abarca un espectro más amplio y diverso desde el punto de vista geográfico . el volumen de registros comprometidos volvió a subir hasta los 174 millones después de haber alcanzado su mejor nivel —o peor, según como se vea— con los cuatro millones del informe del año pasado . de hecho, en 2011 se registró la segunda pérdida más alta de datos desde que se empezó a recopilar información en el año 2004 .

Un año más, es un placer anunciar que el Servicio Secreto de estados Unidos (USSS) y la Unidad de delitos de Alta tecnología de los Países Bajos (nHtCU) han colaborado con nosotros en la elaboración del informe . este año damos la bienvenida a la Policía Federal Australiana (AFP), el Servicio de Seguridad de la información e informes de irlanda (iRiSSCeRt) y la Unidad Central de delitos informáticos (PCeU) de la Policía Metropolitana de Londres . estas organizaciones han ampliado tremendamente el alcance del dbIr en lo que respecta a brechas ocurridas en todo el mundo. Queremos hacerles llegar a todos ellos nuestro agradecimiento por su cooperación y esperamos que este informe sirva para aumentar la concienciación sobre el cibercrimen y nuestra capacidad colectiva para combatirlo.

Gracias a la combinación de los casos de Verizon de 2011 y los datos que han aportado las organizaciones mencionadas anteriormente, la serie de informes dBiR abarca ahora ocho años, más de 2000 brechas y más de mil millones de registros comprometidos . Ha sido una experiencia fascinante e informativa y queremos darles las gracias a todos los que han decidido compartirla con nosotros . Como siempre, nuestra meta es que los datos y el análisis que ofrece el informe sean de utilidad en las labores de planificación y seguridad de nuestros lectores . Comencemos mencionando algunos de los datos más destacados .

el espectro del “hacktivismo” reimaginado y revigorizado supuso

una amenaza para organizaciones de todo el mundo .

no obstante no todo fueron protestas y bromas . Los ciberdelincuentes habituales siguieron automatizando y simplificando su método favorito de emplear ataques de alto volumen y bajo riesgo contra objetivos débiles .

3

¿QuIénes son los responsables de las brechas en los datos?

98% agentes externos (+6%)este dato era de esperar; los agentes externos siguen dominando la escena de los robos de datos corporativos . La delincuencia organizada siguió con sus fechorías típicas, siendo responsable de la mayoría de las brechas de 2011 . Los grupos activistas también han sembrado el caos y la confusión, y robaron más datos que ningún otro grupo . Su irrupción en escena ha servido para transformar el abanico de motivaciones . Aunque la codicia y la avaricia siguen siendo los móviles principales, la disidencia ideológica y el deseo de perjudicar a otros han ido adquiriendo un papel más protagonista . Como se podría esperar de este ascenso en los atacantes externos, la proporción de incidentes internos ha vuelto a disminuir hasta un 4% .

4% empleados (-13%)

1% partners del negocio(<>)

58% de todos los robos de datos vinculados a grupos activistas

¿cómo se producen las brechas?

Los incidentes de hacking y malware experimentaron un marcado ascenso, con el hacking como responsable de la mayoría de los recursos comprometidos . esto tiene sentido, ya que estas herramientas siguen siendo las favoritas de los agentes externos que, como ya se mencionó, están detrás de la mayoría de las brechas . Muchos ataques combinan credenciales robadas o adivinadas (para obtener acceso) con puertas traseras (para retenerlo) con el fin de eludir la autenticación . Se produjeron menos casos de skimming en cajeros automáticos y gasolineras, lo que sirvió para reducir la proporción de ataques físicos . dada la caída de los agentes internos, lo mismo ha ocurrido con la categoría de uso indebido . Las tácticas sociales disminuyeron ligeramente, pero fueron responsables de grandes pérdidas de datos .

81% utilizó alguna modalidad de hacking (+31%)

69% incorporó malware (+20%)

10% involucró ataques físicos (-19%)

7% empleó tácticas sociales (-4%)

5% resultó del uso indebido de privilegios (-12%)

¿cuáles son los puntos en común?

79% de las víctimas resultaron ser blancos de oportunidad (-4%)

Los datos del año pasado confirman que la elección de objetivos se basa más en la oportunidad que en una decisión previa . La mayoría de las víctimas lo son porque se les descubrió un punto débil fácil de explotar, a menudo con facilidad, más que porque se les eligiera para el ataque .Ya se trate de ataques preconcebidos o no, la gran mayoría de las víctimas sucumben a ataques que no son complicados en absoluto . Los más sofisticados solo lo fueron en las etapas más avanzadas después de haber ganado acceso .esto sugiere que la mayoría de las brechas podrían haberse evitado —por lo menos en retrospectiva— sin contramedidas complicadas ni costosas . Los bajos niveles de adherencia a la norma de seguridad de los datos del sector de las tarjetas de pago (PCi dSS) ponen de relieve problemas muy variados para las organizaciones afectadas .Aunque suelen existir indicios de las brechas, la mayoría de las víctimas no descubren sus propios incidentes . el descubridor suele ser un tercero y por desgracia esto suele ocurrir semanas o meses después del ataque .¿Se ha dado cuenta de que muchos de estos incidentes han empeorado en 2011?

96% de los ataques no eran complicados (+4%)

94% de todos los datos comprometidos estaban en servidores (+18%)

85% de las brechas se tardó semanas o meses en descubrir (+6%)

92% de los incidentes los descubrió un tercero (+6%)

97% de las brechas podrían haberse evitado con controles sencillos o intermedios (+1%)

96% de las víctimas sujetas a la norma PCi dSS no la cumplían (+7%)

4

¿dónde deben concentrarse los esfuerzos de mItIgacIón?

de nuevo, este estudio nos recuerda que nuestra profesión ya cuenta con las herramientas que necesita para hacer su trabajo . Ahora, el desafío consiste en elegir las más apropiadas para cada tarea y no dejar que se queden anticuadas y se oxiden . La experiencia demuestra que cuando esto ocurre, nuestros adversarios están listos para aprovechar cualquier descuido .Como verá, a lo largo de este informe contrastamos los datos de organizaciones grandes y pequeñas . es una forma de poner de manifiesto lo distintos, y a veces lo similares, que son sus problemas . Por eso es lógico que las soluciones a los problemas sean también diferentes . La mayoría de las recomendaciones que se ofrecen al final de este informe están relacionadas con las organizaciones de mayor tamaño . no es que queramos ignorar a las pequeñas, sino que aunque el cibercrimen moderno es una plaga para ambas, el antídoto es bastante sencillo y casi universal .Las organizaciones grandes exhiben problemas más diversos que deben abordarse mediante acciones correctoras igualmente diversas . esperamos que los resultados de este informe ayuden a priorizar estos esfuerzos, pero crear una estrategia adaptada a las necesidades de cada organización exige una evaluación documentada e interna de su panorama de amenazas .

las organizaciones más pequeñasimplementar un cortafuegos o una lista de control de acceso en servicios de acceso remotoCambiar las credenciales automáticas de los sistemas PoS y otros sistemas de internet

Si un proveedor se encarga de los dos puntos anteriores, comprobar que los haya implementado

organizaciones de mayor tamañoeliminar datos innecesarios; vigilar los que quedan

Asegurar que se cumplan los controles esenciales; verificar periódicamente que siguen activos

Supervisar y extraer información de los registros de eventos

evaluar el panorama de amenazas para priorizar la estrategia de tratamiento

Las conclusiones de este informe detallan los indicadores y mitigantes de las amenazas más frecuentes .

¿tiene alguna pregunta o comentario sobre el dbIr?escríbanos a [email protected], búsquenos en facebook, o publique en twitter con hashtag #dbir .

mailto:dbir%40verizon.com?subject=

http://www.facebook.com/verizonbusiness

https://twitter.com/#!/verizonbusiness

5

metodologíaLos comentarios que hemos recibido nos dicen que una de las cosas que más valoran los lectores es el rigor y la honestidad con que recopilamos, analizamos y presentamos los datos . esto es importante para nosotros y agradecemos su aprecio . elaborar el informe no es tarea fácil (examinar 855 incidentes no es lo que se dice una carga ligera) . Si nadie lo conociera o a nadie le importara, nos podríamos ver tentados a tomar atajos para ahorrarnos tiempo y esfuerzo, pero sabemos que usted lo conoce y que le importa . de eso trata esta sección .

metodología de verizon para la recopilación de datosen gran medida, Verizon ha empleado la misma metodología que en años anteriores . todos los resultados se basan en evidencia de primera mano recopilada durante investigaciones forenses externas que Verizon ha llevado a cabo entre 2004 y 2011 . Los casos de 2011 son el foco analítico del informe, pero con frecuencia se hace referencia al resto de los datos . Aunque el equipo RiSK trabaja en diversos proyectos, más de 250 el año pasado, solo se consideran para el informe los casos confirmados de brechas en los datos . en 2011, hubo 90 de estos proyectos que se completaron en el marco del informe . Para garantizar que los resultados fueran fiables y sistemáticos, todos los investigadores han trabajado dentro del marco de trabajo Verizon enterprise Risk and incident Sharing (VeRiS) para registrar datos y otros detalles relevantes de los casos . Los analista recopilan puntos de datos de VeRiS durante toda la investigación y los completan al cerrar el caso . A continuación, otros miembros del equipo RiSK los analizan y validan . durante el proceso de agregación, se elimina del depósito de datos la información de identidad de los afectados .

metodología de recopilación de datos de otros contribuidoresAunque las organizaciones contribuyentes —USSS, nHtCU, AFP, iRiSSCeRt, y PCeU— emplean métodos diferentes para aportar datos al informe, comparten el mismo enfoque básico . todas tienen VeRiS como denominador común pero utilizan varios mecanismos para introducir los datos . Por ejemplo, los agentes del USSS utilizaron una aplicación interna basada en VeRiS para registrar los detalles de los casos . Con la AFP, entrevistamos a los agentes a cargo de cada caso, registramos los puntos de datos y solicitamos información de seguimiento . el mecanismo de recopilación de datos que se emplea no es tan importante como que todos los datos se basan en incidentes reales y, lo que es más importante, en hechos reales sobre dichos incidentes . estas organizaciones utilizan notas tomadas durante la investigación, informes facilitados por los afectados u otras firmas forenses, y su propia experiencia adquirida durante el caso . Los datos recopilados se limpian de cualquier información que pudiera identificar a las organizaciones o personas involucradas en cada caso y se transfieren al equipo RiSK de Verizon para su análisis .

de entre las numerosas investigaciones emprendidas por estas agencias en 2011, se eligieron solo aquellas que involucraron brechas confirmadas en los datos de organizaciones, en consonancia con el enfoque del dBiR .1 después se eliminaron los casos investigados por el equipo forense de Verizon .2 en total, nuestros colaboradores contribuyeron al informe un total de 765 brechas . Algunos pueden sorprenderse de que los casos de Verizon representen una proporción relativamente pequeña del informe, pero para nosotros es un dato muy positivo . Pensamos que más información da una idea más precisa y completa del problema al que todos nos enfrentamos . Si eso exige que nuestros datos sean secundarios en una publicación de Verizon, no nos importa compartir el crédito si al mismo tiempo podemos compartir los datos .

en esa misma vena, si su organización investiga o gestiona brechas de datos y tiene interés en contribuir a futuros dBiR, díganoslo . La familia dBiR sigue creciendo y admitimos nuevos miembros .

1 “Brecha de datos de organizaciones” se refiere a incidentes (acceso no autorizado, robo, divulgación, etc.) en los que se ve comprometida información no pública mientras una organización la almacena, procesa, utiliza o transmite.

2 Con frecuencia trabajamos de un modo u otro con estas agencias durante la investigación. Para evitar la redundancia, se utilizan los datos que contribuye Verizon cuando tanto Verizon como otra de las agencias trabajan en el mismo caso.

en gran medida, Verizon ha empleado la misma

metodología que en años anteriores . todos

los resultados se basan en evidencia de primera

mano recopilada durante investigaciones forenses

externas .

6

IntroduccIón a VErISVeRiS es un marco de trabajo diseñado para proporcionar un lenguaje común para describir incidentes de seguridad de forma estructurada y repetible . el sistema parte de la narrativa de “quién ha hecho qué a qué (o a quién) y cuál ha sido el resultado” para transformarla en el tipo de datos que aparecen en el informe . en respuesta a la solicitud por parte de muchos de nuestros lectores de información sobre la metodología del dBiR y para fomentar el intercambio de datos de incidentes de seguridad, a principios de este año pusimos VeRiS a disposición del público general de forma gratuita . en nuestro sitio web3 se explica brevemente VeRiS, mientras que en el wiki de la comunidad verIs se encuentra todo el marco de trabajo .4 Ambos son excelentes referencias a la hora de leer este informe y entender la terminología y el contexto .

clasificación de incidentes con la ayuda de verIsLa sección de clasificación de incidentes del marco de trabajo VeRiS traduce la narrativa de “quién ha hecho qué a qué (o a quién) y cuál ha sido el resultado” a un formato más adecuado para las labores de tendencias y análisis . Para conseguirlo, VeRiS emplea el modelo de amenazas A4 creado por el equipo RiSK de Verizon . en el modelo A4, un incidente de seguridad se ve como una serie de acontecimientos que afecta de forma negativa a los activos de información de una organización . todos los eventos están compuestos de los siguientes elementos (las cuatro As):

• agente: los actos de quién afectaron el activo• acción: qué actos afectaron el activo• activo: qué activos se vieron afectados• atributo: cómo se ven afectados los activos

nosotros pensamos que las cuatro As representan la información mínima necesaria para describir un incidente o amenaza . Además, esta estructura proporciona un marco de trabajo óptimo dentro del cual puede medirse la frecuencia, asociar controles, vincular el impacto y muchos otros conceptos necesarios en la gestión del riesgo .

Si se calculan todas las combinaciones de los elementos de alto nivel del modelo A4, (tres agentes, siete acciones, cinco activos y tres atributos), emergen 3155 eventos de amenaza distintos . La tabla de la figura 1 es una representación gráfica que asigna un número de evento de amenaza (de aquí en adelante eA más número) a cada uno . eA1, por ejemplo, coincide con malware externo que compromete la confidencialidad de un servidor . Puede observarse que no todas las 315 combinaciones de A4 son viables . Hasta donde sabemos, el malware no infecta a

las personas… aunque siempre puede servir para escribir un argumento de ciencia ficción muy interesante .

la transformación en métrica de la narrativa de incidentesComo ya indicamos anteriormente, los incidentes suelen involucrar varios eventos de amenaza . La forma en que se modela un incidente para generar las estadísticas es identificar los eventos involucrados y emplearlos para reconstruir la cadena . Por ejemplo, a continuación

describimos un incidente hipotético simplificado en el que se utiliza un ataque de “spear phishing” para extraer de una organización datos confidenciales y propiedad intelectual .

el organigrama que representa el incidente incluye cuatro eventos de amenaza principales y uno condicional .6 Se incluye una descripción breve de cada evento junto con el número de eA y las categorías A4 de la matriz anterior .

3 http://www.verizonbusiness.com/resources/whitepapers/wp_verizon-incident-sharing-metrics-framework_en_xg.pdf4 https://verisframework.wiki.zoho.com/5 Algunos de ustedes recordarán que esta tabla mostraba 630 intersecciones en el DBIR de 2011. La diferencia se debe a la cantidad de atributos de seguridad reflejados. Aunque seguimos

reconociendo los seis atributos de la hexade de Parker, hemos decidido, con las recomendaciones de terceros, utilizarlos y presentarlos en pares (por ejemplo, “pérdida de confidencialidad y posesión”). Por lo tanto, se conservan los conceptos de confidencialidad frente a posesión, pero se simplifica análisis y visualización de datos (una de las solicitudes más comunes de los usuarios de VERIS). En la sección sobre atributos del wiki de VERIS puede encontrarse más información sobre este cambio.

6 En la sección de errores dentro de acciones de amenaza encontrará una explicación de los eventos condicionales.

nosotros pensamos que las cuatro As representan la información mínima necesaria para describir un incidente o amenaza .

http://www.verizonbusiness.com/resources/whitepapers/wp_verizon-incident-sharing-metrics-framework_en_xg.pdf

https://verisframework.wiki.zoho.com/

http://www.verizonbusiness.com/resources/whitepapers/wp_verizon-incident-sharing-metrics-framework_en_xg.pdf

https://verisframework.wiki.zoho.com/

7

Una vez completada la construcción de la cadena de eventos, una clasificación más detallada puede hacer más específicos los elementos que conforman cada evento (es decir, el tipo particular de agente externo, las tácticas sociales empleadas, etc .) . el incidente se ha convertido ahora al sistema VeRiS y pueden utilizarse medidas para informes y análisis .

Un último comentario antes de concluir con esta subsección . el proceso descrito anteriormente no solo sirve para describir el incidente mismo, sino que también ayuda a definir lo que se podría haber hecho o no hecho para prevenirlo . el objetivo está claro: romper la cadena de eventos para interrumpir el curso del incidente . Por ejemplo, la concienciación sobre la seguridad y un filtro de correo electrónico podría impedir eA1 . Si esto no lo consigue, un antivirus y la concesión de menos privilegios en los portátiles podrían evitar eA2 . La progresión de eA2 y eA3 puede interrumpirse mediante filtros de salida y análisis de flujos de red para detectar y bloquear accesos por puertas traseras . La implementación de procedimientos de formación y control de cambios podría evitar que el administrador configurara el sistema de forma incorrecta, como ocurre en el evento condicional, e impedir que la propiedad intelectual se vea comprometida en eA4 . estos son solo algunos ejemplos de controles para cada evento, pero son suficientes para demostrar que se crea un enfoque multinivel hacia la detención, prevención y detección de incidentes .

Malware Hacking social uso indebido físico error medioambientalext int Soc ext int Soc ext int Soc ext int Soc ext int Soc ext int Soc ext int Soc

serv

idor

es

Confidencialidad y posesión 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

integridad y autenticidad 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

disponibilidad y utilidad 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63

rede

s




disp

ositi

vos d

e usu

ario

s




dato

s offl

ine Confidencialidad

y posesión 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210



pers

onas




figura 1. matriz a4 de verIs con los 315 eventos de amenaza de alto nivel

el proceso descrito anteriormente no solo sirve para describir el incidente mismo, sino que también ayuda a definir lo que se podría

haber hecho o no hecho para prevenirlo . el objetivo está claro: romper la cadena de eventos para interrumpir el curso del incidente .

8

la parcialidad de la muestraQueremos reiterar que los resultados del informe no tienen por qué ser representativos de todas las brechas que puede sufrir una organización . Aunque en teoría la combinación de todos los grupos de datos es un mejor reflejo de la realidad que cualquiera de ellos por separado, no hay que olvidar que no deja de ser una muestra limitada . Aunque pensamos que muchas de las conclusiones del informe pueden generalizarse, de lo cual estamos cada día más seguros según recopilamos más datos y los comparamos, también hay que admitir que son parciales . el problema es que no puede determinarse exactamente en qué medida existe sesgo, para poder dar un margen de error preciso . es imposible saber la proporción representada de todas las brechas de datos, ya que no hay forma de saber todas las brechas ocurridas en todas las organizaciones en 2011 . Muchas de las brechas no se dan a conocer, aunque aún así nuestra muestra contiene muchas de las brechas sin declarar . en muchos casos, el afectado todavía no es consciente de la brecha y por eso a nosotros nos es desconocida . Lo que sí sabemos es que nuestro conocimiento crece con lo que estudiamos y que en 2011 creció más que nunca . Al final, lo único que nosotros los investigadores podemos hacer es transmitirle nuestros resultados para que usted los evalúe y los utilice como crea conveniente .

¿tiene alguna pregunta o comentario sobre el dbIr?escríbanos a [email protected], búsquenos en facebook, o publique en twitter con hashtag #dbir .

Agente externo envía un mensaje de phishing que convence a un ejecutivo de que abra un archivo

adjunto .

el malware infecta el portátil del ejecutivo,

creando una puerta trasera .

el agente externo accede al portátil del ejecutivo a

través de la puerta trasera y lee mensajes

electrónicos y otros datos confidenciales .

el administrador del sistema configura

incorrectamente los controles de acceso al

crear un nuevo servidor de archivos .

el agente externo accede al servidor de

archivos correlacionado desde el portátil y roba propiedad intelectual .

ea280externoSocial

Personasintegridad

ea148externoMalware

dispositivos de usuariosintegridad

ea130externoHacking

dispositivos de usuariosConfidencialidad

ea38interno

errorServidoresintegridad

ea4externoHacking

ServidoresConfidencialidad

figura 2. ejemplo de incidente de verIs

e1 e2 e3 e4ce1




9

recopIlacIón y análIsIsel volumen de datos combinados de 2011 es el mayor que hemos analizado nunca en un solo año, con 855 incidentes y más de 174 millones de registros comprometidos (el segundo total más alto) . Los párrafos siguientes explican la estructura del informe .

en varias partes del texto, hacemos referencia a todos los datos de 2004 a 2011 . Cuando estudie estos datos, no olvide que los grupos de datos de muestra no son estáticos . La cantidad, la naturaleza y las fuentes de los casos cambian radicalmente con el tiempo . Por este motivo, es sorprendente la estabilidad que presentan algunas de las tendencias, un hecho que a nuestro ver confirma su validez . Por otra parte, es casi seguro que algunas tendencias son resultado de inestabilidad en la muestra misma, más que de cambios importantes en el entorno de amenazas . Como ya ocurrió en informes anteriores, se presentan todos los datos combinados intactos y se destacan algunas diferencias o similitudes interesantes cuando resulta apropiado . Algunos de los puntos de datos solo se recopilan en los casos de Verizon; esto se indica en el texto y en las figuras .

todas las figuras del informe tienen el mismo formato . Los valores en color gris oscuro se refieren a brechas mientras que los valores en rojo indican registros de datos. Una brecha es un incidente que se investiga en un caso y los registros son la cantidad de unidades de datos (archivos, números de tarjeta, etc .) que se ven comprometidas en la brecha . en algunas figuras no se facilita el número específico de registros, sino que se emplea el símbolo “#” rojo para indicar una alta proporción de pérdida de datos . Si alguno de estos valores supone un cambio importante con respecto a años anteriores, se marca con el signo “+” o “-” en color naranja (para denotar incremento o disminución) . Las sumas de muchas de las figuras y tablas del informe ascienden a más del 100% . esto no es un error, sino que simplemente se debe al hecho de que los componentes de la tabla no son siempre mutuamente excluyentes y por lo tanto varios son aplicables al mismo incidente .

debido a que la cantidad de brechas del informe es muy elevada, el uso de porcentajes es un poco engañoso en ocasiones: el 5 por ciento puede parecer una cifra insignificante, pero representa más de 40 incidentes . Siempre que sea apropiado, mostraremos el número de brechas en lugar o además de los porcentajes . La tabla 1 muestra la conversión de porcentaje a cifra . no todas las figuras y tablas muestran todas las opciones posibles, sino solo aquellas que tienen un valor superior a cero (y algunas truncan incluso más) . Para ver las opciones de una figura en particular, consulte el marco de trabajo VeRiS .

Algunas de las críticas constructivas que hemos recibido sobre el informe de 2011 sugieren que la base de datos está tan llena de empresas pequeñas que no era tan aplicable a las organizaciones de mayor tamaño como lo había sido en años anteriores . ¿Cómo se atreven a criticarnos?

Por supuesto que no lo decimos en serio; esta crítica está justificada y al mismo tiempo es útil . Uno de los problemas de evaluar una gran cantidad de datos de organizaciones variadas es que los promedios no son más que eso… promedios. debido a que las cifras representan a todas las organizaciones, no representan a ninguna organización ni grupo demográfico en particular . esto es inevitable . Se tomó la decisión consciente de estudiar todo tipo de brechas en los datos ya que afectan a todo tipo de organizaciones, y si las pequeñas empresas son las más afectadas, no podemos excluirlas solo porque dominen los datos . Lo que sí podemos hacer es presentar los resultados de forma que puedan aplicarse más fácilmente a ciertos grupos .

855 brechas

% #1% 95% 43

10% 8625% 21433% 28250% 428

tabla 1. clave para cambiar los porcentajes a números para los datos del dbIr de 2012

Los valores en color gris oscuro se refieren a brechas mientras que los valores en rojo indican registros de datos. Una brecha es un incidente que se investiga en un caso y los registros son la cantidad de unidades de datos (archivos, números de tarjeta, etc .) que se ven comprometidas en la brecha . En algunas figuras no se facilita el número específico de registros, sino

que se emplea el símbolo “#” rojo para indicar una alta proporción de pérdida de datos. Si alguno de estos valores supone un cambio importante con respecto a años

anteriores, se marca con el signo “+”

o “-” en color naranja (para denotar incremento o disminución).

10

Podríamos haber dividido los conjuntos de datos de distintas formas, pero, debido en gran parte a las críticas mencionadas, hemos decidido resaltar las diferencias y similitudes entre organizaciones pequeñas y grandes (1000 empleados como mínimo) . esperamos que esto despeje las dudas y haga que los resultados del informe sean informativos en general y útiles en particular .

Por último, aunque no es que nos parezca bien alegrarse del mal ajeno, esperamos que lo disfrute .

grupos demográficostodos los años comenzamos con los datos demográficos de las víctimas de brechas del año anterior porque esto establece el contexto para el resto de la información . determinar la distribución de las brechas en los diversos sectores, tamaños de empresas y zonas geográficas sirve para poner en perspectiva los datos que se presentan en las secciones siguientes .

este año hemos cambiado la forma en que recopilamos algunos de los datos demográficos . decidimos dejar de utilizar nuestra lista de sectores y adoptar el sistema de clasificación de sectores de norteamérica, que se correlaciona con otras clasificaciones comunes . Como consecuencia, algunas de las tendencias y comparaciones de las clasificaciones por sectores del año pasado pierden consistencia, pero las clasificaciones se corresponden lo suficiente como para que sean de utilidad .

Como muestra la figura 3, los tres primeros puestos son los mismos que en el informe anterior . de nuevo, el sector más afectado es el de hostelería y restaurantes, que consiste en restaurantes (alrededor del 95%) y hoteles (alrededor del 5%) . el sector financiero y de seguros cayó del 22% en 2010 a alrededor del 10% el año pasado . Aunque hemos alcanzado conclusiones bastante plausibles sobre el incremento de la diferencia entre los sectores de finanzas y restaurantes, nos las reservamos para secciones más relevantes del informe . digamos solamente que la “sectoralización” de la ciberdelincuencia que tanto influyó en los resultados del último informe —y de lo que se han hecho eco otros informes—7 sigue con su tendencia al alza .

no obstante, al observar en la figura 4 el desglose de los registros por sector, observamos un resultado muy distinto . el gráfico lo dominan dos sectores, información y manufacturación, que apenas se hacen notar en la figura 3 y que hasta la fecha no habían contribuido mucho a la pérdida de datos . Hablaremos más de ello a lo largo del informe, pero este sorprendente dato se debe a unas pocas brechas de gran envergadura que estos sectores sufrieron en 2011 . Sospechamos que estos ataques iban dirigidos a estas organizaciones específicas por sus datos en lugar de a todo el sector .

7 Por ejemplo, lea 2012 Global Security Report de Trustwave en el que se habla del aumento de los ataques contra franquicias.

Podríamos haber dividido los conjuntos de datos de distintas formas, pero, debido en gran parte a las críticas

mencionadas, hemos decidido resaltar las diferencias y similitudes entre organizaciones pequeñas y grandes (1000

empleados como mínimo) .

«el north American industry Classification System (nAiCS) es la norma que emplean las agencias de estadística de estados Unidos para clasificar los establecimientos comerciales con fines de recopilación, análisis y publicación de datos estadísticos relacionados con la economía empresarial del país .

el nAiCS se creó bajo los auspicios de la office of Management and Budget, o oMB, y se adoptó en 1997 para reemplazar el sistema Standard industrial Classification (SiC) . Lo redactaron en colaboración el economic Classification Policy Committee (eCPC) de estados Unidos, Statistics Canada y el instituto nacional de estadística y Geografía de México para facilitar la comparación de las estadísticas empresariales en los países de norteamérica» .

Fuente: http://www.census.gov/eos/www/naics/

http://www.census.gov/eos/www/naics/

11

Volver a generar la figura 5 sin estos datos anómalos revela un panorama más típico de las brechas en todos los sectores . La figura 4 está más en consonancia con los datos históricos y también se parece a la figura 3 anterior .

Una vez más, se incluyen organizaciones de todo los tamaños entre los 855 incidentes del grupo de datos . Las organizaciones de menor tamaño representan la mayoría de estas víctimas, al igual que ocurría en el último dBiR . Al igual que algunas de las tendencias sectoriales, esto se debe a los ataques “sectorializados” mencionados anteriormente, que pueden lanzarse contra un gran número de empresas en poco tiempo con poca o ninguna resistencia, aunque esto es solo por parte de la víctima, ya que los cuerpos de seguridad del estado no dejan de vigilar y resistir . A este respecto, consulte la sección sobre métodos de descubrimiento del apéndice B . Las empresas pequeñas son el objetivo ideal de tales ataques masivos, y los delincuentes amantes del dinero y

adversos al riesgo lo saben muy bien . Por lo tanto la cantidad de víctimas de esta categoría no deja de crecer .

es necesario aclarar el motivo de la gran cantidad de brechas vinculadas a organizaciones de tamaño desconocido . Aunque siempre pedimos datos demográficos a los contribuidores del dBiR, en ocasiones no se conocen o no se nos comunican . existen situaciones válidas en las que se conocen detalles de los métodos de ataque y otras características pero no sobre los datos demográficos de los afectados . no es que sea lo ideal, pero ocurre . en lugar de descartarlos como inútiles, aprovechamos los datos que pueden validarse y marcamos su origen como "desconocido" . (Ver la tabla 2) .

Como ya se mencionó en la sección sobre metodología, siempre que sea apropiado desglosaremos los resultados para las organizaciones de mayor envergadura . con esto nos referimos a las empresas de 1000 empleados como mínimo. Recuerde este dato cuando lea el informe . Para que tenga una idea más clara de los componentes de este subgrupo, la figura 6 muestra los sectores de las 60 organizaciones que cumplen este criterio .

figura 4. registros comprometidos por sector

otros

Manufacturación

información52%+

45%+

3%

figura 5: registros comprometidos por sector con brechas >1m de registros robados

otros

Minorista

informaciónHostelería y restaurantes

Finanzas y seguros40%

28%

10%

9%

7% 6%

figura 3. sectores representados por porcentaje de brechas

6%otros

Minorista 20%

Finanzas y seguros 10%–

Hostelería y restaurantes 54%

Salud y asistencia social 7%+información 3%

tabla 2. tamaño de la organización por cantidad de brechas (empleados)

1 a 10 4211 a 100 570101 a 1 .000 481 .001 a 10 .000 2710 .001 a 100 .000 23Más de 100 .000 10Se desconoce 135

Administración y servicios secundarios

12

Como suele ocurrir, es complicado sacar conclusiones basadas en el lugar donde tiene su sede el afectado, ya que el atacante no tiene que encontrarse presente . el listón se situó muy alto en 2010 con la inclusión de 22 países, pero el récord se pulverizó en 2011 con la presencia de organizaciones de 36 países . este es un aspecto en el que las contribuciones de nuestros socios en los cuerpos de seguridad del estado ponen de relieve que las brechas en los datos no son un problema regional .

figura 6. sectores representados por porcentaje de brechas (grandes empresas)

5%

otros

información 22%

Minorista 12%

Finanzas y seguros 28%

Manufacturación 8%

Administraciones públicas 7%

18%

transporte y almacenamiento

figura 7. países representados por casos combinados

AlemaniaAustraliaAustriaBahamasBélgicaBrasilBulgariaCanadá

dinamarcaemiratos Árabes Unidosespañaestados UnidosFederación RusaFilipinasFranciaGana

Grecia india irlanda israel Japón Jordania Kuwait Líbano

LuxemburgoMéxiconueva ZelandaPaíses BajosPoloniaReino UnidoRumaniaSudáfrica

tailandiataiwánturquíaUcrania

países en los que se confirmó una brecha

el listón se situó muy alto en 2010 con la inclusión de 22 países, pero el récord se pulverizó en 2011 con la

presencia de organizaciones de 36 países .

13

dbIr de 2011: los eventos de amenazaen el dBiR del año pasado, la matriz de eventos de amenaza de VeRiS se presentó por primera vez con los recuentos de frecuencia . Junto con la incorporación de nuestros nuevos socios, esta fue una de las características mejor recibidas . Las estadísticas facilitan un análisis independiente de los agentes, las acciones, los activos y los atributos observados, mientras que la matriz los vincula para mostrar las intersecciones . ofrece una visión unificada de los eventos de amenaza presentes en las brechas de 2011 . La figura 8 (grupo general de datos) y la figura 9 (grandes empresas) utilizan la estructura de la figura 1 de la sección de metodología, pero sustituyen los números eA por el total de brechas en las que cada evento fue parte de todo el incidente .8 esta es la perspectiva más consolidada de las 855 brechas analizadas este año y hay varios aspectos dignos de mención .

Al observar el grupo de datos desde el punto de vista de la gestión de amenazas, solo 40 de los 315 eventos posibles tienen valores superiores a cero (13%) . Antes de continuar, tenemos que reiterar que no todas las intersecciones son posibles . el lector debe también recordar que el informe solo se concentra en las brechas en los datos . en los proyectos en los que hemos trabajado con organizaciones para “VeRiSar” todos sus incidentes de seguridad del año, es interesante señalar lo distintas que son estas matrices en comparación con los grupos de datos del dBiR . Como era de esperar, son mucho más frecuentes los errores y usos indebidos, junto con las pérdidas de disponibilidad .

8 En otras palabras, en 381 de las 855 brechas de 2011 estaba involucrado malware externo que afectaba la confidencialidad de un servidor (el evento de arriba a la izquierda).


serv

idor

es

Confidencialidad y posesión 381 518 1 9 8 1 2 1

integridad y autenticidad 397 422 1 6 1 1

disponibilidad y utilidad 2 6 5

rede

s

Confidencialidad y posesión 1

integridad y autenticidad 1 1

disponibilidad y utilidad 1 1 1

disp

ositi

vos d

e usu

ario

s

Confidencialidad y posesión 356 419 1 86

integridad y autenticidad 355 355 1 1 86

disponibilidad y utilidad 1 3

dato

s offl


y posesión 23 1

integridad y autenticidad

disponibilidad y utilidad

pers

onas

Confidencialidad y posesión 30 1

integridad y autenticidad 59 2


figura 8. matriz a4 de verIs con la frecuencia de los eventos de amenaza de alto nivel

14


serv

idor

es

Confidencialidad y posesión 7 33 3 2 1

integridad y autenticidad 10 18 1

disponibilidad y utilidad 1

rede

s

Confidencialidad y posesión


disponibilidad y utilidad 1 1

disp

ositi

vos d

e usu

ario

s

Confidencialidad y posesión 3 6 10

integridad y autenticidad 4 2 10

disponibilidad y utilidad 1

dato

s offl


y posesión 1 1



pers

onas

Confidencialidad y posesión 7

integridad y autenticidad 11


figura 9. matriz a4 de verIs con la frecuencia de los eventos de amenaza de alto nivel (grandes empresas)

VErIS para La gEStIón dEL rIESgo baSada En La EVIdEncIaesto puede sonar como un anuncio, pero no lo es: todo esto lo podrá hacer con VeRiS (¡y además es gratis!) . imagínese, como gerente de riesgo, que puede acceder a todos los incidentes de seguridad de su organización clasificados con VeRiS y, si quiere ir aún más lejos, imagínese que dispone de todos los datos similares de otras organizaciones como la suya . Con el tiempo, se crea un grupo de datos históricos que ofrecen información detallada sobre lo que ha ocurrido, con qué frecuencia ha ocurrido y lo que no ha ocurrido en su organización . La incertidumbre se esfuma . Le pasa los datos al encargado de hacerlos visibles que genera una matriz similar a la de la figura 9 para los grupos de negocios . Los puntos álgidos de la matriz le ayudan a concentrarse en áreas críticas y a diagnosticar las carencias subyacentes . A partir de ahí, pueden identificarse estrategias para disuadir, prevenir, detectar o ayudar en la recuperación después de eventos de amenaza periódicos (o perjudiciales) . Pero eso no es todo: puede además medirse la eficacia de las

soluciones y ver si los incidentes y las pérdidas disminuyen después de aplicar las medidas . Como consecuencia, se alcanza una situación en la que mejores mediciones posibilitan una mejor gestión . Sus compañeros empiezan a llamarle el "mago del riesgo" y de repente su opinión es muy valorada en las conversaciones sobre los gastos de riesgo . ese podría ser usted .

Por supuesto que todo esto lo decimos en un tono un poco jocoso, pero de verdad pensamos que un enfoque así es de gran utilidad . este enfoque lo llamamos “evidence-Based Risk Management” (eBRM), o gestión del riesgo basada en la evidencia, un concepto que hemos tomado prestado del sector de la salud . el objetivo de la eBRM es aplicar la mejor evidencia extraída de la investigación empírica a la medición y gestión del riesgo de la información . Los incidentes de seguridad, ya sean grandes o pequeños, son una gran parte de esta evidencia . Por eso pensamos que analizarlos minuciosamente es una práctica muy beneficiosa .

15

Volvamos a las matrices, en las que los resultados del conjunto global de datos son muy similares a los del año anterior . Los mayores cambios son que los puntos álgidos de uso indebido y físico han bajado un poco, mientras que malware y hacking contra servidores y dispositivos de usuarios siguen teniendo protagonismo . de igual manera, la lista de los principales eventos de amenaza de la tabla 3 es muy familiar .

Al separar los eventos para organizaciones grandes en la figura 9 se observan algunos datos más . A algunos les sorprenderá que esta versión de la matriz esté menos dispersa que la figura 8 (22 de los 315 eventos, el 7%, se observaron una vez como mínimo) . Podría pensarse que la mayor superficie de ataque y los controles más estrictos de las organizaciones grandes dispersarían los ataques por una superficie más amplia de la matriz . este podría en realidad ser el caso y nuestros resultados no necesariamente contradicen este supuesto . Pensamos que la densidad de la figura 9 en comparación con la de la figura 8 se debe principalmente a las diferencias en tamaño de los grupos de datos (855 brechas frente a 60) . Con respecto a la diversidad de las amenazas, resulta interesante observar que las organizaciones más grandes muestran una distribución más uniforme en todos los eventos (menor acumulación alrededor de malware y hacking) . en este sentido, los eventos sociales y físicos están entre los 10 primeros en la tabla 4 . esto no es ninguna sorpresa a la luz de las descripciones de la prensa sobre ataques que implementan técnicas de ingeniería social .

Hablaremos de todo esto con más detalle en las demás secciones .

evento de amenazaevento

de amenaza

recuentos

1 externo .Hacking .Servidor .Confidencialidad 4 33

2 externo .Hacking .Servidor .integridad 28 18

3 externo .Social .Personas .integridad 280 11

4 externo .Malware .Servidor .integridad 22 10

5 externo .Físico .dispositivoUsuario .Confidencialidad 139 10

6 externo .Físico .dispositivoUsuario .integridad 160 10

7 externo .Malware .Servidor .Confidencialidad 1 7

8 externo .Social .Personas .Confidencialidad 259 7

9 externo .Hacking .dispositivoUsuario .Confidencialidad 130 6

10 externo .Malware .dispositivoUsuario .integridad 148 4

tabla 4. los 10 principales eventos de amenaza de verIs (grandes empresas)

evento de amenazaeventos

de amenaza

recuentos

1 externo .Hacking .Servidor .Confidencialidad 4 5182 externo .Hacking .Servidor .integridad 28 4223 externo .Hacking .dispositivoUsuario .Confidencialidad 130 419

4 externo .Malware .Servidor .integridad 22 397

5 externo .Malware .Servidor .Confidencialidad 1 381

6 externo .Malware .dispositivoUsuario .Confidencialidad 127 356

7 externo .Malware .dispositivoUsuario .integridad 148 355

8 externo .Hacking .dispositivoUsuario .integridad 151 355

9 externo .Físico .dispositivoUsuario .Confidencialidad 139 86

10 externo .Físico .dispositivoUsuario .integridad 160 86

tabla 3. los 10 principales eventos de amenaza de verIs

Los resultados del conjunto global de datos son muy similares a los del año anterior . Los mayores cambios son que los puntos álgidos de uso indebido

y físico han bajado un poco, mientras que malware y hacking contra servidores y dispositivos de usuarios siguen teniendo protagonismo .

Externo.Hacking.Servidor.Confidencialidad

Externo.Hacking.Servidor.Integridad

Externo.Social.Personas.Integridad

Externo.Malware.Servidor.Integridad

Externo.F�sico.DispositivoUsuario.Confidencialidad

Externo.F�sico.DispositivoUsuario.Integridad

Externo.Malware.Servidor.Confidencialidad

Externo.Social.Personas.Confidencialidad

Externo.Hacking.DispositivoUsuario.Confidencialidad

Externo.Malware.DispositivoUsuario.Integridad

Externo.Hacking.Servidor.Confidencialidad

Externo.Hacking.Servidor.Integridad

Externo.Hacking.DispositivoUsuario.Confidencialidad

Externo.Malware.Servidor.Integridad

Externo.Malware.Servidor.Confidencialidad

Externo.Malware.DispositivoUsuario.Confidencialidad

Externo.Malware.DispositivoUsuario.Integridad

Externo.Hacking.DispositivoUsuario.Integridad

Externo.F�sico.DispositivoUsuario.Confidencialidad

Externo.F�sico.DispositivoUsuario.Integridad

16

los agentes de amenazaLas entidades que causan o contribuyen a un incidente se llaman agentes de la amenaza . Puede haber más de un agente en un incidente en particular . Las acciones pueden ser maliciosas o no maliciosas, con o sin intención, causales o contribuyentes, y se deben a una gran diversidad de motivos, de todos los cuales se hablará en secciones específicas . identificar a los agentes responsables de un incidente es crítico para implementar las medidas necesarias, así como para tomar decisiones sobre estrategias de defensa . VeRiS especifica tres categorías principales de agentes de amenaza: externos, internos y socios .

• externos: las amenazas externas tienen un origen externo a la organización y a su red de socios . Algunos ejemplos son ex-empleados, hackers solitarios, la delincuencia organizada y entidades gubernamentales . también se incluyen eventos medioambientales como inundaciones, terremotos y cortes eléctricos . en general, no existe ningún tipo de confianza ni privilegio .

• Internos: las amenazas internas surgen de la propia organización . esto abarca a los ejecutivos, empleados, contratistas independientes, personas en prácticas, etc ., así como la infraestructura interna . estas personas son de confianza y tienen privilegios, aunque algunas más que otras .

• socios: un socio es cualquier tercero que sostiene relaciones comerciales con la organización . esto incluye a proveedores, distribuidores, proveedores de hosting, asistencia de ti externalizada, etc . Siempre existe algún nivel de confianza y privilegio .

La figura 10 muestra la distribución de los agentes de amenaza por porcentaje de brechas de los datos de este año, junto con todos los años previos . Hay que recordar que esta no es una muestra uniforme . en los primeros años solo se empleaban datos de los casos de Verizon, mientras que en años posteriores se fueron incorporando el USSS (2007-2011), la nHtCU (2006-2011), la AFP (2011), el iRiSSCeRt (2011) y la PCeU (2011) . Por lo tanto, las tendencias son una combinación de los cambios en el entorno de amenazas y dentro del grupo de datos de la muestra .

70%78%

39%

6%

72%

48%

6%

86%

98%

12% 2% 4%<1%

33%

11%

04–07 2008 2009 2010 2011

externo interno Socio

figura 10. agentes de amenaza a lo largo del tiempo por porcentaje de brechas

nota sobre la clasificación de verIs Si el rol del agente en la brecha es solo como contribuidor, no se le incluirá . Por ejemplo, si un agente interno configura incorrectamente una aplicación por accidente y la deja vulnerable a un ataque, no se le considerará un agente de amenaza si otro agente consigue abrir una brecha en la aplicación . Un agente interno que roba datos o cuya conducta inapropiada (por ejemplo, infracciones de la política) facilita una brecha se considerará un agente de amenaza .

17

en 2011 continuó el giro hacia los agentes externos con un alto porcentaje de participación en las brechas . Aunque siempre han sido mayoría, nunca antes la ventaja había sido tan abrumadora . el año 2009 fue la excepción a la regla, aunque el incremento de los agentes internos fue consecuencia de la incorporación de los numerosos casos del USSS (ver el dbIr de 20109 para más información en inglés) . desde entonces, los agentes externos conforman la mayoría de los casos analizados .

Aparte de las variaciones anuales en las muestras, existen varios factores que contribuyen al incremento de los agentes externos frente a los internos y socios como porcentaje del informe . el factor principal, que ya se analizó en detalle en el informe en inglés dbIr de 201110, es el efecto continuo de los ataques “industrializados” . La delincuencia organizada que lanza un ataque contra información de tarjetas de crédito de sistemas PoS abiertos a internet o cajeros automáticos y bombas de gasolineras puede atacar a cientos de víctimas en la misma operación . desde el punto de vista porcentual, tiene sentido el efecto que tienen en las tendencias estos ataques generalizados y altamente escalables . Por su carácter mismo, los agentes internos tienen una cantidad reducida de objetivos posibles .

otro contribuidor al alza constante de los agentes externos fue el recrudecimiento de los ataques de los grupos activistas . Comúnmente conocidos como “hacktivismo”, estos ataques son externos por naturaleza . no son tan frecuentes —más bien podría decirse “constantes”— como el ciberdelito corriente, pero como se verá más adelante, pueden ser bastante perjudiciales .

Hay que apuntar que en 2011, se llevaron a cabo varias investigaciones que no pueden considerarse brechas en los datos . Cuando agentes internos se apropian de forma indebida de información de la que disponen en el curso normal de sus funciones, pero no se la divulgan a un tercero, no se ve afectada la confidencialidad .11 estos incidentes no se incluyen en el informe .

otra observación interesante sobre 2011 es que el porcentaje de brechas debidas a agentes múltiples es mucho más bajo . en 2009, en más de un cuarto de todos los incidentes en los que estuvo involucrada más de un categoría de agentes . en ocasiones tales incidentes se debían a una colusión abierta, pero lo normal es que un agente externo solicitara la complicidad de uno interno en algún aspecto del delito . en 2011, esa cifra fue solo del 2% . esta bajada puede atribuirse a la tendencia de industrialización que se mencionó anteriormente .

Los socios como origen de la amenaza han ido descendiendo a lo largo de los años y este no ha sido una excepción .12 Con menos del 1% de las brechas, es difícil que esta cifra siga bajando . Al igual que ocurría con los agentes internos, el marcado incremento en los agentes externos explica en parte este declive, aunque existen otros factores . observe que la tendencia a la baja comenzó en 2008, antes de que se produjera un giro importante hacia los ataques escalables de agentes externos . en informes anteriores hemos adelantado algunas hipótesis, entre otras mayor concienciación, regulación y avances tecnológicos . Aún más importante es la forma en que definimos agentes causales y contribuyentes . no se incluyeron en los porcentajes los socios que no tuvieron un rol causal en el incidente . en las secciones Socios y Error de este documento se habla de estas situaciones .

también existe la posibilidad que no se detecte a los agentes internos y a los socios con intenciones maliciosas . Hemos lamentado en informes anteriores —y lo haremos de nuevo en este— que un alto porcentaje de las brechas se identifican durante la detección de fraudes . no obstante, cuando los datos comprometidos no son de carácter financiero no se pone en marcha ningún mecanismo de detección y por lo tanto es más difícil descubrir el problema .nuestros datos demuestran que hay muchas más probabilidades de que gente de confianza robe propiedad intelectual y otros datos confidenciales (no financieros) y que lo más probable es que nunca se detecte a los

9 http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf10 http://www.verizonbusiness.com/go/2011dbir/us/11 Un ejemplo frecuente es el empleado de un banco que abusa de sus privilegios para sacar dinero o transferir fondos. Aunque esto significaría una infracción de la seguridad, no es una brecha en los

datos.12 Algunos recordarán que el porcentaje ligado a los socios era mucho más alto en informes anteriores. No hay que olvidar que esos informes mostraban los datos de Verizon por separado, mientras que

estos son datos combinados de todas las organizaciones participantes adaptados a los datos históricos. Esto repercute en los resultados.

en 2011 continuó el giro hacia los agentes

externos con un alto porcentaje de

participación en las brechas . Aunque siempre

han sido mayoría, nunca antes la ventaja había sido tan abrumadora .

http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf

http://www.verizonbusiness.com/go/2011dbir/us/

problema.Nuestros

problema.Nuestros

http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf

http://www.verizonbusiness.com/go/2011dbir/us/

18

culpables . no incluimos este dato para excusarnos por la parcialidad o para sembrar la incertidumbre, sino solo para destacar que es muy probable que los agentes internos y los socios estén infrarrepresentados en la figura 10 (aunque, seguimos pensando que estas cifras no pueden compararse en lo absoluto con los agentes externos) .

Con la figura 12 cumplimos nuestra promesa de incluir resultados específicos para organizaciones grandes . Los que esperen ver cifras muy diferentes van a salir decepcionados . (no hay nada más molesto que cuando

los datos interfieren con una teoría .) teníamos una explicación tremendamente perspicaz y lógica de por qué los agentes internos y los socios tienden a atacar más a las organizaciones grandes, pero desafortunamente hemos perdido el tiempo .

Tamaño de la brecha por agente de amenazaLos datos que se han visto comprometidos, en registros perdidos, no son indicativos del impacto global de la brecha, pero son un indicador útil y mensurable . Sabemos que lo ideal sería incluir más información sobre pérdidas asociadas con respuestas, perjuicios a la marca, interrupciones de las operaciones, repercusiones legales, etc . en este sentido, hemos añadido una breve sección en la que se habla de algunas de estas consecuencias . Aquí vamos a concentrarnos exclusivamente en la cantidad de datos perdidos .

La figura 13 muestra la distribución entre agentes de amenaza de los cerca de 174 millones de registros comprometidos en los grupos de datos combinados de 2011 . no piense que nos hemos olvidado de incluir círculos para agentes internos y socios, es simplemente que los agentes externos lo ocupan casi todo . Cuando se compara con los datos globales de todos los años del estudio (Figura 14), el efecto es similar (aparte de que se ven otros colores aparte de este verde azulado) . Las megabrechas, que involucran millones de registros en un solo incidente, provocan un sesgo de las cifras de pérdidas de datos hacia los agentes externos . Los ataques de alto volumen y bajo rendimiento también favorecen esta tendencia .

es importante reconocer los diferentes tipos de datos comprometidos y su influencia en la métrica . Los datos de tarjetas de pago y la información personal se suelen almacenar y robar al por mayor, mientras que el robo de propiedad intelectual y datos clasificados suele ocurrir en un solo registro . Como se mencionó anteriormente, los agentes internos se dedican más a esto último .

figura 12. agentes de amenaza por porcentaje de brechas (grandes empresas)

externo interno Socio Se desconoce

87%

5% 5%3%

figura 13. registros comprometidos por agente de amenaza, 2011

Solo externos Solo internos Varios agentesSolo socios

153 .002 403 173 .874 .419 55 .493

figura 14. registros comprometidos por agente de amenaza, 2004-2011

Solo externos Solo internos Varios agentesSolo socios

978 .433 .619 28 .925 .291 43 .897 .579 46 .476 .153

figura 11. agentes de amenaza (exclusivos) por porcentaje de brechas

95%+ 2% <1% 2%

Solo externos Solo internos Solo socios Varios agentes

19

Agentes externos (98% de las brechas, más del 99% de los registros)Como ocurría con el resto de los dBiR, esta versión continúa reafirmando la conclusión de que los agentes externos son responsables de muchas más brechas de datos que los agentes internos y los socios . esta vez, estuvieron ligados al 98% de todos los incidentes . A primera vista, gran parte de los roles, las variedades y los motivos de los agentes externos en 2011 parecen la continuación de la misma historia de siempre .

Los agentes externos casi siempre emprenden acciones directas, intencionadas y maliciosas . Solo un 2% de los casos implican a agentes externos en roles indirectos, que implican que le pidan a otra persona que actúe contra la víctima o colabore de alguna forma . Los grupos de la delincuencia organizada fueron responsables de la mayor parte de las brechas (83%) . Si uno se pregunta por qué lo hacen —como lo hacemos nosotros; por eso empezamos a analizar los motivos el año pasado— la respuesta está bastante clara: lo hacen por dinero (96%) . en resumen: la mayoría de los ladrones de datos son delincuentes profesionales que roban información para convertirla en dinero . Como ya dijimos, la misma historia de siempre .

Pero esta no es toda la historia y ni siquiera es la más importante . el cambio más significativo de 2011 fue el auge del “hacktivismo” contra las grandes organizaciones del mundo entero . La frecuencia y la regularidad de los casos vinculados a los grupos activistas que irrumpieron en la escena en 2011 superan las cifras de todos los años

anteriores . esto se confirma en los casos de los demás contribuyentes al estudio, que han dedicado un gran esfuerzo a responder a las acciones de los hacktivistas, y a investigarlas y encausarlas . Resulta muy interesante combinar todas estas perspectivas para crear una visión global de las investigaciones de los grupos activistas y sus víctimas . el 3% de todos los ataques externos no parece mucho —aunque no hay que olvidar que se trata de más de 850 incidentes y el índice de motivos vinculados es más alto; además sospechamos que muchos de los agentes desconocidos son en realidad activistas—, pero este es el mayor cambio en el dBiR de este año .

Beneficio financiero o personal

desacuerdo o protesta

diversión, curiosidad o demostrar su habilidad

Rencor u ofensa personal

96%

71%

3%25%

2%

23%

1%2%

todas Grandes empresas

figura 15. motivos de los agentes externos por porcentaje de brechas dentro de la categoría de externos

en resumen: la mayoría de los ladrones de datos son

delincuentes profesionales que roban información para convertirla en dinero . Como ya dijimos, la misma historia

de siempre .

Pero esta no es toda la historia y ni siquiera es la más importante . el cambio más significativo de 2011 fue el auge del “hacktivismo” contra las grandes organizaciones del mundo entero .

20

Con esto no queremos decir que el hacktivismo sea nuevo; el término fue acuñado por el colectivo hacker Cult of the dead Cow a finales de los 90 .13 Por aquel entonces, solía consistir en alteraciones de páginas web, ataques de denegación de servicio coordinados y otros actos destinados a expresar desacuerdo, presumir ante los demás o simplemente porque sí . Lo que cambió en 2011 fue que los grupos activistas añadieron las brechas en los datos a su repertorio con gran intensidad y no poca publicidad . en otras palabras, en 2011 se dio una combinación de las fechorías clásicas con el peligro añadido de que ahora los atacantes también robaban los datos .

Pero eso no es todo . Aunque los activistas representan una porción relativamente pequeña de los casos de 2011, robaron más de 100 millones de registros . esto asciende a casi el doble de lo robado por los profesionales con motivos financieros . Además, aunque los ataques ideológicos son menos frecuentes, lo cierto es que conllevan enormes perjuicios .

¿Por qué esa disparidad entre la cantidad total de registros robados por los profesionales frente a los activistas? Cuando se estudian los datos, queda claro

que los ladrones con motivos monetarios se siguen concentrando más en ataques de oportunidad contra objetivos débiles . esto puede deberse en parte a que muchos de sus compinches se encuentran en prisión . en lugar de atracos importantes y arriesgados, prefieren llevarse cantidades pequeñas de datos de varias organizaciones de menor envergadura que suponen un menor riesgo . Puede considerarse como una forma de simplificar los negocios . Se trata de descubrir una manera de cebarse en el débil y el desprevenido para después repetir el ataque a mayor escala . el modelo de alto volumen y bajo riesgo se ha convertido en el modus operandi de la delincuencia organizada .

es importante apuntar antes de cerrar este tema que casi todos los datos que roban los activistas pertenecen a organizaciones grandes . A esto hay que añadir que la proporción de brechas ligadas al hacktivismo ha subido al 25 por ciento . es lógico que sea así porque es menos probable que una marca pequeña despierte la ira de estos grupos .

Al igual que los profesionales de la seguridad a los que se enfrentan, los delincuentes evalúan constantemente el riesgo, aunque en este caso el riesgo de que les arresten . Uno de los mayores retos para los cuerpos de seguridad del estado en la lucha contra la ciberdelincuencia es ligar la identidad del delincuente en el mundo real con su identidad en internet . en el 10% de los casos de 2011, los investigadores no pudieron identificar la variedad de agente externo . existen varios motivos válidos para ello . en primer lugar, muchos clientes no conservan suficientes datos de los registros que podrían permitir la atribución . Generalmente, esto no puede hacerse solo con el análisis forense de los discos . Por varios motivos, muchos de los afectados no quieren profundizar en la investigación para incluir este aspecto una vez contenida la brecha . Algunas veces el culpable es capaz de borrar sus huellas o esconderlas en sistemas intermedios . de vez en cuando, justo cuando pensamos que hemos identificado al asaltante, resulta que no es así.

origen de los agentes externosComo ocurre siempre, es complicado determinar el origen geográfico de un atacante si solo se tiene la dirección de iP . Aunque pueda descubrirse el país del que proviene la dirección de iP, puede que no sea donde reside el atacante . Lo más probable es que sea simplemente el anfitrión en un botnet o un punto desde donde saltar . en algunos casos, otros datos, como por ejemplo los que resultan de los análisis de los cuerpos de seguridad o el flujo net, pueden servir para descubrir el origen auténtico del atacante . en cualquier caso, es útil examinar el origen geográfico del ataque por diversos motivos .

13 http://www.wired.com/techbiz/it/news/2004/07/64193

todasgrandes

empresasdelincuencia organizada 83% 35%– 33% 36%

Se desconoce 10% 1% 31% 0%

Personas sin afiliación 4% 0% 10% 0%

Grupo activista 2% 58%+ 21% 61%

ex-empleado (ya no tiene acceso) 1% 0% 6% 0%

Pariente o conocido del empleado 0% 0% 2% 0%

tabla 5. variedades de agentes externos por porcentaje de brecha dentro de la categoría de externos y porcentaje de registros

http://www.wired.com/techbiz/it/news/2004/07/64193

21

Los resultados de 2011 parecen similares a los de años anteriores, ascendiendo los ataques procedentes de europa oriental a los dos tercios de las brechas externas (ver figura 16) . Sin embargo, cuando se considera únicamente a las organizaciones grandes, esta cifra desciende al 27% . esta estadística confirma la tendencia de la delincuencia organizada —a menudo de europa oriental— a atacar objetivos pequeños y más fáciles . Los ataques contra organizaciones de mayor tamaño tuvieron su origen en un grupo más diverso de regiones de todo el mundo .

Agentes internos (4% de las brechas, <1% de registros)Como ya se habló en la sección sobre agentes de amenaza, el declive de los agentes internos como porcentaje del grupo de datos se debe más a la subida continua de los ataques industrializados que a la desaparición de los agentes internos . nuestra hipótesis es que estos delitos no se declaran porque pasan desapercibidos o porque la organización decide por motivos políticos que prefiere gestionarlos internamente en lugar de iniciar una investigación independiente o llamar a la policía .

en cualquier caso, cuando un agente interno provoca directamente o contribuye a una brecha en los datos, lo hace de varias formas . nosotros vamos a clasificarlas de acuerdo a tres roles básicos . Los agentes internos pueden actuar de manera deliberada y maliciosa, inapropiada (pero no maliciosa) o inintencionada . Por tercer año consecutivo, casi todas las brechas internas fueron el resultado de actos deliberados y maliciosos (~90%) . Sin embargo, es interesante notar que hubo algunos errores inintencionados de agentes internos que fueron causa directa de la pérdida de datos . en estos casos, un empleado publica en la web por accidente información que no debe hacerse pública .

Los agentes internos pueden contribuir a un incidente de muchas formas indirectas,14 pero si esto ocurre no se les considera agentes de amenaza y por lo tanto no se les incluye en esta sección . Aquí se trata de situaciones en las que los agentes internos fueron la causa directa o principal de la pérdida de datos dentro de sus organizaciones .

este año también separamos la categoría de cajeros, empleados de banco y camareros de la categoría de empleados normales y usuarios finales . el motivo es que

los actos de las personas que manejan dinero son distintos de los de los usuarios finales . de esta forma, se obtiene una perspectiva más precisa de los responsables del gran porcentaje de incidentes que hasta ahora se habían atribuido a empleados normales . Las personas que manejan dinero son responsables del 65% de los incidentes internos . Con frecuencia se convierten en cómplices de bandas organizadas y su papel es pasar las tarjetas de los clientes por dispositivos de mano diseñados para capturar los datos de la banda magnética . Los datos pasan luego

14 Consulte las secciones sobre socios y errores para ver ejemplos de la forma en que un agente puede contribuir indirectamente a un incidente sin que se le considere un agente de amenaza.

67%27%

20%44%

4%27%

2%

2%

8%

8%

1%

1%

10%17%

4%

4%

europa occidental (incluye norte y sur)

América-norte

África

Asia-Sur/Sudeste

europa oriental (incluye Rusia y Turquía)

Asia-este

otras regiones

Se desconoce

todasGrandes empresas

figura 16. origen de los agentes externos por porcentaje de brechas dentro de la categoría de externos

nuestra hipótesis es que estos delitos no se declaran porque pasan desapercibidos o porque la organización decide por motivos políticos que prefiere gestionarlos internamente .

22

por toda la cadena delictiva hasta que se copian las tarjetas con codificadores magnéticos . Como era de esperar, estos incidentes ocurren más en pequeñas empresas o en franquicias de las marcas más importantes .

Por otra parte, cuando están involucrados los usuarios corporativos normales (12%), sus actos son muy diferentes . en la mayoría de los casos, estos empleados abusan de sus privilegios de acceso y de otro tipo para robar información confidencial . Casi todas las situaciones que se mencionan anteriormente tienen motivos financieros o de beneficio personal .

Aparte de estas variedades, observamos una mezcla de ejecutivos, gerentes y supervisores (18% en total) . Como ocurre con los usuarios finales y los empleados normales, estas personas explotan sus privilegios en beneficio propio . durante tres años consecutivos, se ha observado un declive en el personal financiero

y contable . Aún así, sus responsabilidades diarias, que implican la supervisión o acceso directo a activos e información de gran valor, les permiten cometer todo tipo de desaguisados . es inevitable preguntarse lo que mostrarían los datos si hiciésemos un seguimiento a lo largo del siempre cambiante entorno reglamentario, desde antes de Glass-Stegall, pasando por Graham-Leach-Bliley y ahora dodd-Frank . Hubiera sido interesante observar las fluctuaciones en estas cifras .

Finalmente, no podemos dejar de mencionar a los administradores de sistemas y redes . estos guerreros tecnológicos ayudan a las organizaciones de ti de todo el mundo a mantener un ritmo de productividad constante y con frecuencia poseen las proverbiales llaves del reino . Aunque hemos visto casos en los que ellos eran los responsables de las brechas, las cifras de los dos últimos años han sido insignificantes . Ya hemos mencionado que hemos analizado los incidentes de una misma organización durante todo un año . en estos grupos de datos, los incidentes relacionados con la administración ocurren con frecuencia, pero suelen tener que ver con la disponibilidad de los sistemas .

Socios (<1% de las brechas, <1% de los registros)Siguiendo la tendencia observada en 2010, las brechas causadas por socios son bastante infrecuentes . Hay exactamente tres brechas de socios —ha leído bien, tres, lo mismo que en el informe anterior— entre todos los casos de 2011 . en dos de ellas, la causa fue un error de publicación: el socio publicó datos confidenciales en la página web pública por error . La tercera consistió en el uso deliberado y malicioso de la información comprometida con ánimo de lucro . Un desarrollador independiente identificó una vulnerabilidad SQL mientras trabajaba en un proyecto y después abuso de su conocimiento para atacar a la víctima .

Hay que tener en cuenta que esta estadística se refiere solo a los socios identificados como agentes de amenaza (contribuyente/causa directa); no incluye las muchas otras formas en que un socio puede contribuir a las circunstancias de la brecha . Somos conscientes de que esto resulta un poco confuso . Hemos recibido consultas de los lectores del dBiR y de los usuarios de VeRiS sobre si diversos tipos de incidentes pueden atribuirse a socios o agentes internos . Habiendo concluido con los incidentes anteriores, vamos a intentar explicar en qué nos basamos para clasificar el rol de un socio en un incidente . Si no piensa usar VeRiS nunca o no le afecta este tema, puede saltárselo .

Bastan algunos ejemplos:

1 . Si las acciones del socio son la causa directa del incidente, él eS el agente de amenaza .

tabla 6. tipos de agentes internos por porcentaje de brechas dentro de la categoría de internos

Cajero/empleado de banco/camarero 65%Gerente/supervisor 15%empleado normal/usuario final 12%Personal financiero/contable 6%–Administrador de sistema/red 6%Auditor 3%ejecutivo/directivo 3%Sistema o sitio interno 3%Se desconoce 3%

23

2 . Si las acciones del socio crean una circunstancia o condición que junto con la acción de otro agente permite que se desencadenen los eventos, el socio no es el agente de amenaza . en este caso se trataría de un evento condicional y el socio sería un agente contribuidor . Sus acciones tienen más relación con la seguridad o la vulnerabilidad de la víctima que con la amenaza misma .

3 . Si el socio es propietario, aloja o gestiona el activo involucrado en el incidente, no siempre significa que sea el agente de amenaza . Puede que lo sea, si sus actos condujeron al incidente, pero no necesariamente .

el segundo ejemplo puede resultar dudoso para muchos . Como ilustración, consideremos la situación siguiente . imaginemos que un tercero gestiona los dispositivos del cliente mediante acceso remoto o un servicio de asistencia técnica . imaginemos además que este socio se olvidó de activar o no configuró correctamente la seguridad; pensemos en algo que un administrador no haría nunca, como por ejemplo olvidarse de cambiar las credenciales por omisión . después un grupo de delincuentes de europa del este adivina el nombre de usuario y la contraseña y en 30 segundos entra al dispositivo . Por supuesto que todo esto es pura imaginación; nunca pasaría de verdad (¿detecta la ironía?) . en tales circunstancias, los delincuentes serían el único agente de amenaza . La contribución indirecta del socio podría captarse con el rol de “contribuidor al evento condicional” que asigna VeRiS junto con la acción de amenaza de “error” adecuada . esto sirve para indicar que el socio creó una vulnerabilidad (el evento condicional) de la que se aprovechó el agente de amenaza externo .

Al final, lo dicho hace dos años sigue siendo cierto: las organizaciones que externalizan la gestión y el soporte de ti también depositan una gran confianza en el socio escogido . Unas prácticas de seguridad o de gobierno poco estrictas por parte del socio —lo que suele encontrarse fuera del control o la experiencia de la víctima— suelen ser el catalizador de incidentes de seguridad . A pesar de todo, la externalización tiene muchos beneficios y la mejor forma de compensar por el posible riesgo es mediante directrices, contratos, controles y evaluaciones de terceros . Uno de los problemas de la externalización es que aunque se pueden externalizar las funciones empresariales, no se puede hacer lo mismo con el riesgo y la responsabilidad, sino que estos los tiene que asumir la misma organización que le pide al público que le confíe sus datos .

acciones de amenazaLas acciones de amenaza describen lo que hizo el agente de amenaza para causar o contribuir a la brecha . todas las brechas en los datos contienen una o más de ellas, con lo que la suma de los porcentajes asciende a más del 100% . dentro de VeRiS, las acciones se clasifican en siete categorías de alto nivel, de las que hablaremos en detalle en las secciones siguientes .

el hacking y el malware siempre han estado a la cabeza, pero este año han sacado aún más delantera y se han echo notar más que de costumbre . de los 855 incidentes de este año, el 81% utiliza hacking, el 69% incluye malware y el 61% presenta una combinación de técnicas de hacking y malware . de los 602 incidentes con dos o más eventos, el hacking y el malware se emplearon en el 86% de los ataques; el apéndice A incluye más detalles sobre las relaciones entre los agentes de amenaza .

Unas prácticas de seguridad o de gobierno poco estrictas por

parte del socio —lo que suele encontrarse fuera del control o la

experiencia de la víctima— suelen ser el catalizador de incidentes de

seguridad .

el hacking y el malware siempre han estado a la cabeza, pero este año han sacado aún más delantera y se han echo notar más que de costumbre .

24

en general, estas categorías han ido oscilando a lo largo de los años . el uso indebido y las tácticas sociales se intensificaron en 2009, mientras que las técnicas físicas hicieron una aparición bastante respetable al año siguiente . el marcado descenso de los ataques físicos este año pasado puede deberse a que los cuerpos de seguridad del estado han puesto entre rejas a muchos culpables de incidentes de skimming . Se concentraron especialmente en las bandas delictivas responsables en lugar de en los incidentes mismos y ya hemos empezado a ver los frutos de sus esfuerzos .

Físico

Med .

Uso i .

Ha .Ma .

So .

Fís .er .

2010

49%50%

11%17%

29%<1%0%

Medioambiental

Uso indebido

HackingMalware

Social

error

2011

81% / 99%69% / 95%

7% / 37%5% / <1%

10% / <1%1% / <1%

0% / 0%

Med .

Uso i .

Ha .Ma .

So .

Fís .er .

2009

38%42%

28%48%

15%2%

0%

Med .

Uso i .

Ha .Ma .

So .

Fís .er .

2008

41%53%

29%41%

12%1%

0%

Med .

Uso i .

Ha .Ma .

So .

Fís .er .

2004-2007

26%51%

13%36%

12%3%

0%

figura 17. categoría de acciones de amenaza a lo largo del tiempo por porcentaje de brechas y porcentaje de registros

25

Sea cual sea la explicación, hay una cosa clara: a lo largo de los años ha emergido un patrón con respecto a las acciones de amenaza en el conjunto global de datos .

no obstante, el panorama es ligeramente distinto si pensamos en las organizaciones grandes . La figura 18 sugiere una verdad obvia y sencilla que merece la pena mencionar: los problemas de las grandes empresas no son los mismos que los de las pequeñas empresas . Quizás se deba a que las organizaciones de mayor envergadura tienen personal de ti que se encarga de eliminar los problemas más obvios . Pero para llegar a los puntos aplicables a las organizaciones grandes frente a las pequeñas, es necesario ir más allá de las categorías de alto nivel (tabla 7) .

puesto variedad categoría brechas registros1 Keylogger/Form-grabber/Spyware (capturan datos de actividades de los usuarios) Malware 48% 35%

2 explotar credenciales automáticas o fáciles de imaginar Hacking 44% 1%

3 Utilizar credenciales robadas Hacking 32% 82%

4 enviar datos a sitios/entidades externas Malware 30% <1%

5 Fuerza bruta y ataques de diccionario Hacking 23% <1%

6 Puerta trasera (permite acceso/control remotos) Malware 20% 49%

7 explotar puerta trasera o canal de órdenes y control Hacking 20% 49%

8 desactivar o interferir con los controles de seguridad Malware 18% <1%

9 Manipulación indebida físico 10% <1%

10 explotar autenticación insuficiente (p. ej., no se requieren credenciales de ingreso) Hacking 5% <1%

tabla 7. los 10 principales tipos de acciones de amenaza por cantidad de brechas y registros

figura 18. categorías de acción de amenaza por porcentaje de brechas y porcentaje de registros (grandes empresas)

0% / 0%Medioambiental

Uso indebido 7% / <1%

7% / <1%

Hacking 58% / 99%

Malware 28% / 97%

22% / 38%Social 11% / 1%

Físico 17% / <1%

error <1% / <1%

no obstante, el panorama es ligeramente distinto si pensamos en las organizaciones grandes . La figura 18 sugiere una verdad obvia y sencilla que

merece la pena mencionar: los problemas de las grandes empresas no son los mismos que los de las pequeñas empresas .

26

empresas, tanto grandes como pequeñas, vieron una gran cantidad de código malicioso, el llamado “keylogger”, diseñado para capturar las entradas de usuarios; se observó en casi la mitad de las brechas (48%) . es muy probable que esto contribuyera al empleo de credenciales robadas en uno de cada tres incidentes . otra de las acciones de amenaza más frecuentes fue la instalación y explotación de puertas traseras, que ocurrió en uno de cada cinco ataques . La tabla 8 nos permite ver las diferencias entre las amenazas de empresas grandes y pequeñas; la tabla muestra las principales amenazas contra grandes empresas .

extraer información de ella es un poco complicado debido a que las cifras son pequeñas —los grupos pequeños tienden a producir errores de muestreo mayores— pero igualmente pueden observarse algunas tendencias interesantes . Lo primero que notamos es un incremento en las tácticas sociales, con un 22% de los incidentes . esto podría deberse a que disponen de mejores defensas periféricas, con lo que fuerzan a los atacantes a concentrarse en las personas en lugar de en los sistemas, o a que los empleados de grandes empresas tienen redes sociales más complejas y no saben en qué compañeros de trabajo pueden confiar .

otra conclusión interesante que puede extraerse de la tabla 8 es la falta de explotación de las credenciales por omisión . Han desaparecido casi por completo y solo unas pocas de las 60 brechas de empresas grandes incluyen este tipo de acción . igualmente esto puede deberse a que las organizaciones grandes disponen de los expertos y los recursos necesarios para cubrir las tareas más sencillas o porque tienen más de una contraseña por omisión entre el atacante y sus activos más valiosos . Por eso los ladrones tienen que robar credenciales para entrar a estas organizaciones . en las páginas siguientes, analizaremos cada una de estas categorías para ver lo que podemos aprender sobre las acciones que condujeron a las brechas de 2011 .

Malware (69% de las brechas, 95% de los registros)Malware es cualquier software, script o código malicioso creado o utilizado para comprometer o dañar la información sin el consentimiento consciente de su propietario . el malware fue un factor en dos tercios de los casos de 2011 y en el 95% de todos los datos robados . Una vez descubierto el malware durante una investigación, el equipo RiSK de Verizon lleva a cabo un análisis objetivo y evalúa sus capacidades en lo que al incidente se refiere . el equipo RiSK utiliza el análisis para contener y eliminar la infección y restablecer el sistema . el malware puede clasificarse de muchas maneras, pero nosotros utilizamos un enfoque bidimensional dentro del marco VeRiS que identifica el vector de infección y las funciones empleadas para abrir la brecha en los datos . estas dos dimensiones son directamente relevantes para decidir las medidas de detección y prevención contra el malware .

puestopuesto general variedad categoría brechas registros

1 3 Utilizar credenciales robadas Hacking 30% 84%

2 6 Puerta trasera (permite acceso/control remotos) Malware 18% 51%

3 7 explotar puerta trasera o canal de órdenes y control Hacking 17% 51%

4 9 Manipulación indebida físico 17% <1%

5 1 Keylogger/Form-grabber/Spyware (capturan datos de actividades delos usuarios)

Malware 13% 36%

6 11 Pretexto (ingeniería social clásica) social 12% <1%

7 5 Fuerza bruta y ataques de diccionario Hacking 8% <1%

8 15 inyección SQL Hacking 8% 1%

9 20 Phishing (o cualquier otra técnica similar) social 8% 38%

10 22 orden y control (detecta y ejecuta órdenes) Malware 8% 36%

tabla 8. los 10 principales tipos de acciones de amenaza por cantidad de brechas y registros (grandes empresas)

27

vectores de infección de malwareAl igual que en años pasados, el vector de infección de malware más común es su instalación o inyección mediante un ataque remoto . esto cubre los casos en los que el atacante entra a un sistema por vía remota y después implanta malware o inyecta código aprovechándose de las vulnerabilidades de una aplicación web . A lo largo de los últimos años, los datos prueban que este vector sigue su tendencia al alza . Los atacantes lo utilizaron en un poco más de la mitad de los casos de malware de 2009, en cerca del 80% en 2010 y en un abrumador 95% este año pasado . Su popularidad como vector de infección se debe tanto al deseo de los atacantes de conservar el control una vez ganado el acceso al sistema, como a su uso en ataques de gran volumen contra servicios de acceso remoto . esto es aún más evidente en los delitos con móviles financieros —como por ejemplo las brechas en tarjetas de pago— en cuyo caso el malware no suele ser el vector inicial de intrusión, sino que el atacante lo instala después de haber conseguido acceso . esto no es siempre cierto para otras modalidades de ataque . en los casos de robo de iP, el malware sirve de punto de entrada después de un ataque social, como puede ser un correo electrónico con phishing . en ambos casos, unos buenos controles en profundidad, no solo software antivirus, podrían impedir el paso al atacante .

en situaciones en las que los datos se ven comprometidos, el correo electrónico no es un vector de infección muy frecuente . Muchas organizaciones emplean programas antivirus y otros mecanismos de filtro para bloquear o poner en cuarentena millones de variantes de malware que circulan por internet . Si estos controles se suspendieran, el correo electrónico sería un vector más frecuente .

Las infecciones por web disminuyeron de nuevo el año pasado en relación a otros vectores . nosotros dividimos el malware basado en web en dos categorías: código autoejecutable (descargas de oportunidad) y software que el usuario tiene que ejecutar (pulsar un enlace malicioso) . Somos conscientes de que el malware basado en web es responsable de infectar innumerables sistemas, pero solo una parte conducen a robos de datos confirmados .

figura 19. vectores de infecciones de malware por porcentaje de brechas dentro de la categoría de malware

inyectado por atacante remoto

(p. ej., por SQLi)

instalado por atacante remoto (después de acceder

al sistema)instalado por otro malware

E-mail vía adjunto ejecutado por

usuario

Web/internet (infección

autoejecutada/de oportunidad)

Web/internet (ejecutado o

descargado por usuario)

2%

12%

1%

18%

1%

18%

1%

12%

<1%

6%

3%

12%

Se desconoce

95%+

76%


Al igual que en años pasados, el vector de infección de malware más común es su instalación o inyección

mediante un ataque remoto . esto cubre los casos en los que el

atacante entra a un sistema por vía remota y después implanta malware

o inyecta código aprovechándose de las vulnerabilidades de una

aplicación web .

28

Muchos tipos de malware de web exigen que el usuario visite una página web infectada . esto funciona en algunos casos, como por ejemplo en el del malware Zeus capaz de robar contraseñas, pero no para ataques a gran escala de sistemas de pago . La mayoría de los sistemas infectados se unen a los miles de botnets que se usan para ddoS y

otros ataques .

Cuando se trata de organizaciones grandes, la distribución de los vectores de infección por malware está más equilibrada; existe una mayor frecuencia de vectores de infección por web o correo electrónico, mientras que las instancias de malware instalado directamente por un atacante son menos frecuentes . Pensamos que para los atacantes es más sencillo conseguir que los usuarios instalen malware en lugar de tener que atacar directamente el perímetro de defensa de la organización . el volumen de vectores de infección desconocidos se puede atribuir a diversos factores . Generalmente se debe a la falta de evidencia en el sistema, como por ejemplo, que no existan datos de registro, que el atacante haya tomado medidas antiforenses o una limpieza

prematura . en estos casos, se sabe que existía malware, pero no puede confirmarse el vector de infección .

funciones del malwaretan importante como la trayectoria de la infección de malware son sus funciones una vez implantado . nos concentraremos en malware relacionado directamente con la brecha, pero en el curso de la investigación solemos encontrar todo tipo de archivos maliciosos o indeseados . esto es una indicación más de que un sistema no está bien gestionado y faltan procesos de seguridad . Aunque el malware puede utilizar varios métodos para dañar el sistema, sus funciones básicas son permitir o prolongar el acceso, capturar datos o intensificar el ataque de alguna otra forma .

Si nos referimos a la figura 20 vemos que las tres funciones más comunes del malware siguen siendo registrar teclas ingresadas (y otras entradas del usuario), enviar datos al exterior y abrir puertas traseras . es importante advertir que ninguna de estas funciones se excluye entre sí y un solo malware puede tener varios componentes .

Como ya se mencionó, los registradores de teclas, o keyloggers, aparecen en más de dos tercios de los casos de malware, un poco más que el año pasado . estas herramientas incluyen paquetes de software de venta al público, disponibles en internet, cuyas versiones pirateadas pueden encontrarse en redes entre pares y otros sitios de descargas . Algunos de estos registradores de teclas también permiten construir un paquete de instalación remota preconfigurada que puede instalarse en el sistema objeto . Sus disponibilidad, y facilidad de uso y configuración, así como sus capacidades antiforenses, como por ejemplo poder ocultarse de una lista o ejecutar procesos, los hacen muy atractivos .

Las siguientes funciones más comunes tienen que ver con la extracción de datos . Hay dos formas de utilizar malware para conseguirlo . La primera es programar el malware para sacar los datos del entorno del afectado . este método fue más prominente en el informe del año pasado (el 79% frente al 43% de este año) . esto puede conseguirse de manera instantánea (tan pronto como se capturan los datos), en tandas a ciertos intervalos o después de ciertas acciones, como por ejemplo al abrir un programa . es frecuente ver esta función con keyloggers, como se muestra en el apéndice A .

en el segundo método de extracción, el atacante tiene que volver a entrar al sistema . Si no lo hace mediante el vector de intrusión original, las puertas traseras son el método favorito para capturar datos . Además, este tipo de malware permite controlar totalmente el sistema comprometido, que puede utilizarse para instalar más malware, permanecer en el sistema, lanzar ataques y cometer otras fechorías . en nuestras investigaciones, las puertas traseras siempre han sido una de las funciones de malware más comunes para extraer datos .

Cuando se trata de organizaciones grandes, la distribución de los vectores de infección por malware está más equilibrada; existe una mayor frecuencia de vectores de infección por web o correo electrónico, mientras que las instancias de malware instalado directamente por un atacante son menos frecuentes .

29

Los datos de 2011 muestran que los métodos de extracción varían dependiendo del tamaño de las organización . el envío de datos a un sitio externo es más frecuente cuando el malware afecta a una organización pequeña . esto se debe a que estas funciones suelen estar ligadas a los ataques automatizados a gran escala que afectan más a las empresas medianas y pequeñas . Por el contrario, las grandes sufren más ataques por puertas traseras . también suelen disponer de controles de autenticación y acceso más estrictos para los servicios de cara al exterior . Por este motivo, uno de los métodos más populares para ganar acceso a la red de estas organizaciones grandes es infiltrar el sistema a través de una puerta trasera e instalar varias puertas traseras para poder acceder durante el tiempo necesario .

otra diferencia que se observa en estas brechas es el uso de utilidades de red no maliciosas, como por ejemplo herramientas Sysinternals . en ocasiones, los administradores de sistemas y redes emplean estas herramientas en las tareas normales de mantenimiento . Pero se consideran malware si es el atacante el que las instala en el sistema . Muchas veces el producto antivirus no las considera maliciosas .

Como ya se mencionó en informes anteriores, se recomienda encarecidamente que se ejecuten los sistemas en la modalidad con menos privilegios, que se supervisen los puntos de entrada y salida de la red y que se busquen cambios no autorizados en el sistema . estas prácticas pueden poner al descubierto actividades ilegales y limitar el impacto de una posible brecha de datos o cualquier otro incidente de seguridad . también es importante buscar indicadores de que el sistema se ha visto comprometido: hacer una búsqueda de PStools, ficheros de archivo como ZiP y RAR que hayan aumentado de volumen, y archivos nuevos ocultos y con atributos de solo lectura .

69%#47%

43%–18%

29%–#

26%

65%

6%

29%3%–#

2%24%

2%–

1%

6%

12%

1%#29%

1%18%

<1%12%

2%#12%

Keylogger/Form-grabber/Spyware

enviar datos a sitios/entidades externas

Puerta trasera

desactivar o interferir con controles de seguridad

Utilidades de sistema/red

Fuerza bruta o ataques de diccionario

Raspador de RAM

Capturar datos del sistema

Mando y control

descargar/instalar más malware o actualizaciones

Redirigir a otro sitio o dirección

Se desconoce


figura 20. las funciones de malware por porcentaje de brechas dentro de la categoría de malware

30

Aunque está de moda criticar a los proveedores de programas antivirus, no hay que olvidar que es importante investigar y reparar las alertas antivirus . en muchos casos, es cierto el dicho de que “cuando el río suena, agua lleva” . detectar y responder a malware rápidamente puede marcar la diferencia entre una simple infección y una brecha en los datos . Varias investigaciones han demostrado que los incidentes podrían haberse detenido antes si las organizaciones hubieran respondido con mayor presteza a las alertas antivirus .

la personalización del malwareAlrededor de un tercio del malware presente en los casos de Verizon de este año había sido personalizado, lo que supone un gran cambio en comparación con los informes de los últimos años . esta personalización está más en consonancia con las estadísticas de 2005-2007 . Los agentes emplean malware personalizado con mayor frecuencia contra organizaciones grandes, pero no de forma desproporcionada . Cuando se hace, tanto en organizaciones grandes como en general, el atacante escribe el malware de cero o modifica un código existente . Sospechamos que uno de los motivos principales de este cambio es el uso de aplicaciones comerciales en los ataques industrializados . en estas acciones a gran escala contra varios blancos, los atacantes no necesitan personalizar el malware ya que pueden usar ataques “enlatados” contra miles de víctimas .

Hacking (81% de las brechas, 99% de los registros)dentro del marco VeRiS, hacking se define como cualquier intento de socavar los mecanismos lógicos de seguridad para acceder a activos de información o dañarlos sin autorización o extralimitándose con la autorización . el hacking es muy ventajoso como método de ataque por varios motivos . Suele llevarse a cabo a distancia, lo que reporta beneficios en cuanto a anonimato y escalabilidad . Herramientas automatizadas y guiones básicos, escritos a menudo por un tercero, hacen que algunas variedades de hacking sean muy sencillas de llevar a cabo y permitan atacar a multitud de blancos .

esta sección examinará los métodos de hacking utilizados en los grupos de datos combinados de 2011, así como los vectores de las acciones de hacking .

variedades de hackingel gráfico de la página siguiente muestra las variedades más comunes de hacking en 2011 . Aquellos de ustedes que siguen esta serie reconocerán algunas de ellas de los informes anteriores . Como todos los años, un puñado de técnicas dominan los gráficos . en general, pueden dividirse en ataques de autenticación (robar, fuerza bruta o adivinar credenciales) y ataques técnicos que esquivan la autenticación o la rompen (por ejemplo, inyecciones de SQL o puertas traseras) .

Además de esto, el resurgimiento de las megabrechas ha eliminado la correlación que podría haber existido entre los porcentajes de brechas y de registros perdidos . Algunas técnicas, como por ejemplo el abuso de funcionalidad, fueron responsables de una gran cantidad de registros comprometidos en uno o dos incidentes . Hay que señalar que en más de la mitad de todos los registros perdidos existe un método de hacking desconocido en algún eslabón de la cadena de eventos . esto puede explicarse por la falta de registros de eventos, medidas antiforenses por parte del atacante o limitaciones en el foco de la investigación debido a requisitos del cliente .

Como todos los años, un puñado de técnicas dominan los gráficos . en general, pueden divirse en ataques de autenticación y ataques técnicos que esquivan la autenticación o la rompen .

nota de clasificación existe una categoría de acción para hacking y otra para uso indebido . Ambas emplean vectores similares y consiguen resultados parecidos; en uso indebido, se le concedió acceso al agente, que lo utilizó de forma indebida, mientras que en hacking, el acceso se obtuvo de forma ilegítima .

31

todavía se emplean intensamente los ataques de bajo nivel altamente automatizados pero reportan una cantidad relativamente pequeña de registros por ataque . en este caso, el objetivo suele ser una empresa pequeña, generalmente en el ramo de la venta minorista o la hostelería . Hay pocas diferencias obvias entre los métodos que se emplean para atacar a empresas pequeñas y a empresas grandes . Las empresas grandes parecen defenderse mejor contra ataques fáciles de prevenir, aunque un 98% aproximadamente de los registros comprometidos con credenciales robadas pertenecían a organizaciones grandes .

Aunque en las empresas pequeñas no hay muchos datos que robar, los hackers adoptan lo que podrían llamarse tácticas de “hormiga legionaria” . en otras palabras, se llevan del servidor todos los datos que encuentran pero no se quedan en él . Las empresas grandes ofrecen un entorno más rico y desde el punto de vista del atacante se merecen más atención . Como hormigas sedentarias, los atacantes construyen túneles y puertas traseras para entrar a sus pastos más fácilmente y sin peligro . Como era de esperar, estos ataques exigen una mayor competencia técnica —aunque no suelen ser ataques avanzados— y a la larga generan más datos .

tanto los ataques de fuerza bruta como la explotación de credenciales por omisión o fáciles de adivinar han bajado desde el año anterior, pero son todavía endémicos en el sector minorista y el hostelero, especialmente cuando se trata de negocios pequeños . todavía es posible ir a la página de un vendedor, obtener la lista de clientes y atacar a los que tienen la combinación de nombre de usuario y contraseña por omisión o fácil de adivinar . estos ataques son relativamente sencillos y no requieren muchos conocimientos ni una gran creatividad . Generalmente llevan un script, van dirigidos a muchos blancos y son poco persistentes .

explotar credenciales automáticas o fáciles de adivinar

Utilizar credenciales robadas

Fuerza bruta y ataques de diccionario

explotar puerta trasera o canal de órdenes y control

explotar autenticación insuficiente (p. ej., no se requieren credenciales de ingreso)

inyección SQL

inclusión de archivos remota

Abuso de función

Se desconoce


55%9%

40%+#51%

29%–14%

25%–#29%

6%3%

3%–14%

1%6%

<1%#3%

4%#31%

figura 21. métodos de hacking por porcentaje de brechas dentro de la categoría de hacking

Las empresas grandes ofrecen un entorno más rico y desde el punto de

vista del atacante se merecen más atención . Como hormigas sedentarias,

los atacantes construyen túneles y puertas traseras para entrar a sus

pastos más fácilmente y sin peligro .

32

de hecho, el ladrón ni siquiera sabe lo que ha robado hasta que revisa el servidor remoto al que los scripts han estado enviando los datos capturados . Los blancos no merecen un gran esfuerzo porque en este tipo de incidentes se roban muy pocos registros . Lo que importa es la escala del objetivo .

Por suerte, las grandes empresas suelen disponer de configuraciones básicas de autenticación y control de acceso y las hacen cumplir tanto a sus empleados como a sus contratistas . esto se hace evidente al comparar las estadísticas de las empresas de mayor tamaño, ya que se observa que la fuerza bruta solo se emplea en el 14% de los casos (en comparación con el 29% de todos los casos), mientras que la explotación de credenciales por omisión y fáciles de adivinar es un factor en menos del 10% (<1% de los datos perdidos) . todavía se observan algunos ataques que emplean vulnerabilidades parcheables o día cero . Mientras sea fácil imitar o esquivar la autenticación, no esperamos grandes cambios .

los vectores de hackingLa lista de vías de hacking de la figura 22 cuenta una historia

similar a la de años anteriores . Los servicios de acceso remoto (VnC, RdP, etc .) son cada vez más prevalentes y suponen el 88% de todas las brechas que emplean técnicas de hacking, más que ningún otro vector . Los servicios remotos abiertos a internet, en combinación con credenciales por omisión, robadas o débiles, siguen siendo una plaga para el sector minorista y el hostelero . Con frecuencia, los afectados comparten el mismo proveedor de asistencia técnica o software . Los ataques de script que buscan blancos con puertos de acceso remoto conocidos (tCP 3389, RdP o VnC), junto con credenciales por omisión conocidas para los proveedores, permiten descubrir y comprometer objetivos de oportunidad de manera automatizada y eficiente .

Aquí hay que mencionar de nuevo las puertas traseras, de las que ya hablamos al mencionar su instalación y utilización, como vector de ataque . Una cuarta parte de todos los casos de hacking incluyen una puerta trasera instalada en algún punto de la cadena de eventos, generalmente después de penetrar las defensas . Más del 90 por ciento de todas las pérdidas de registros tiene que ver con la explotación de puertas traseras .

Las aplicaciones web siguen siendo el tercer vector más común y, aunque experimentaron una bajada en el porcentaje de brechas, estuvieron relacionadas con un tercio de los datos perdidos . La necesidad inherente que tienen multitud de aplicaciones web de ser visibles a internet las convierten en un blanco obvio, mientras que su uso potencial como punto de entrada en las bases de datos corporativas las hacen muy atractivas .

Al hablar de empresas grandes, hay varios cambios obvios en el panorama de vectores de ataque . el más notable es que solo el 20% de los casos tiene que ver con servicios de acceso remoto . Las organizaciones grandes con prácticas de seguridad más maduras han conseguido

figura 22. vectores de hacking por porcentaje de brechas dentro de la categoría de hacking


Puerta trasera o canal de control

25%

34%

Servicios de acceso remoto/

escritorio

88%+

20%

Aplicación web

10%–

54%

Se desconoce

4%

17%

Un caso en particular ilustra la falta de atención individual que caracteriza a estos ataques . en este caso, un servidor de FtP online que se había configurado incorrectamente para permitir el acceso anónimo sufría ataques constantes con herramientas de fuerza bruta (como ocurre con la mayoría de los sistemas en línea) . Lo sorprendente de este caso es que muchos probaron combinaciones exóticas de nombre de usuario y contraseña, pero muy pocos intentaron el acceso anónimo que les habría permitido entrar .

33

limitar la accesibilidad de estos servicios y han implementado mejores controles de autenticación . Las puertas traseras predominan un poco más en empresas grandes y la mayoría de las pérdidas de datos están relacionadas con este tipo de técnica . Las aplicaciones web abundan en estas empresas y siguen siendo un vector de ataque muy popular (el 54% de las brechas) y eficaz (el 39% de los registros) . Como ya se mencionó anteriormente, las grandes empresas han conseguido limitar su visibilidad en internet, con lo que los atacantes tienen que concentrarse en lo que está disponible (las aplicaciones web) o intentar eludir la seguridad periférica con malware (puertas traseras, comando y control) .

Social (7% de las brechas, 37% de los registros)en el campo de la seguridad de la información, la práctica de siglos de explotar a las personas con fines delictivos sigue estando más vigente que nunca . el factor “usuario” dentro de la cadena de activos de información es muy susceptible a tácticas sociales como el engaño, la manipulación y la intimidación, y los agentes de amenaza saben como aprovecharse para su beneficio . Aunque los seres humanos somos los seres más complejos del planeta, los delincuentes siempre consiguen engañar a la gente para robar datos . Aunque un poco menos frecuentes que en 2011 (ha bajado desde el 11% del año anterior), la cantidad de datos robados con técnicas sociales subió espectacularmente de menos del 1% al 37%, la cifra más alta en toda la historia del dBiR, aunque hay que señalar que la mayoría tienen que ver con las mencionadas megabrechas .

en la figura 23 puede observarse que el uso de pretextos (ingeniería social clásica) pasa al primer puesto por primera vez desde el comienzo del informe . Un delincuente imaginativo tiene maneras innumerables de emplear esta técnica, pero la más frecuente en 2011 fue llamar por teléfono a los propietarios de varios negocios pequeños haciéndose pasar por el servicio de asistencia técnica de una tarjeta de crédito . Por otra parte, solicitar la

cooperación de un cómplice ha bajado del 74% de todas las tácticas sociales en 2010 al 29% en 2011 . esto se debe principalmente a que este año hubo menos casos de infiltración organizada a gran escala para convencer a empleados de banca de que robaran información . el año pasado hubo multitud de arrestos que desarticularon a algunos de los grupos delictivos más prolíficos .

figura 23. tácticas sociales por porcentaje de brechas dentro de la categoría de social

Phishing (o cualquier otra técnica similar)

Solicitar/Sobornar

Sonsacar (obtención sutil de información en conversación)

otros

Pretexto (ingeniería social clásica) 52%

Se desconoce

29%–

14%#

6%

6%

2%

Las aplicaciones web abundan en estas empresas y siguen

siendo un vector de ataque muy popular (el 54% de las brechas) y

eficaz (el 39% de los registros) .

el factor "usuario" dentro de la cadena de activos de información es muy susceptible a tácticas sociales como el engaño, la manipulación y la intimidación, y los agentes de amenaza saben como aprovecharse para su beneficio .

34

el phishing permaneció estable, con un ligero incremento desde el 11% en 2010 . Sin embargo, en lo que respecta a organizaciones grandes el porcentaje es bastante más alto . esto resulta interesante y confirma lo que han dicho los medios de comunicación sobre el uso de anzuelos cargados de malware dirigidos a empresas muy conocidas . nosotros pensamos que es una estrategia destinada a circunvalar las medidas de seguridad más maduras que tienen estas empresas . ¿Por qué perder el tiempo buscando una manera de explotar tecnologías y puntos débiles específicos de una sola empresa cuando en todas ellas hay personas con las mismas vulnerabilidades? Solo hace falta conseguir que un usuario curioso pulse un enlace, porque, como bien sabemos, siempre hay uno en todos los grupos; si no nos cree, lea aquí15 las exhaustivas investigaciones que lo confirman .

Como se muestra en la figura 24, los tres primeros vectores para llevar a cabo ataques sociales siguen siendo los mismos de años anteriores, aunque en diferente orden . el teléfono sirvió de medio de casi la mitad de estos casos . esto coincide con la observación previa del uso de pretextos para sacarle información a la desprevenida víctima . en segundo lugar aparecen las tácticas en persona, que suelen consistir en conseguir la complicidad de camareros y cajeros de negocios pequeños .

Como era de esperar, el correo electrónico y el teléfono ocupan el primer puesto como vector preferido para organizar tácticas sociales contra organizaciones grandes; esto tiene sentido si tenemos en cuenta los altos niveles de tácticas de pretexto y phishing que se emplean contra ellas . en 2011, observamos ataques que parecen dirigidos contra las direcciones de correo electrónico de empresas grandes, o conocidas, para emplearlas en ataques y campañas dirigidas de phishing subsiguientes . en algunos de ellos, el tiempo transcurrido entre el robo de correos electrónicos y el ataque fue bastante corto . La información de la policía indica que algunos se descargan para un phisher genérico, mientras que el ladrón utiliza otros con fines más directos o específicos .

este año casi todo sigue igual en lo que respecta a los objetivos de las tácticas sociales de la tabla 9 . Los empleados normales y las personas a cargo de dinero siguen siendo los mayores objetivos . Aunque es una buena estrategia implementar directrices, procedimientos, formación y controles técnicos para evitar que las personas caigan presa de este tipo de actividades, no existe ningún parche que sea totalmente eficaz con los seres humanos . en un caso digno de mención, el sistema dirigió el mensaje de phishing al filtro de correo basura, pero aún así un empleado lo abrió y lo ejecutó (aunque hay que entender que es casi imposible resistirse a la tentación de volver a ver al gato nyan viajar por el espacio en su estela de colores) . Por desgracia este clic desafortunado inició una cadena de eventos que provocó

una pérdida importante de datos y un montón de clientes descontentos . estas situaciones nos recuerdan que las

15 http://www.noestaustedescuchandoporquehapulsadoaqui/nohahechocasodenadadeloquehemosdicho.com

figura 24. vectores sociales por porcentaje de brechas dentro de la categoría de social

Se desconoceSMS/Texting Página de red socialCorreo electrónicoen personateléfono

46%+ 37%- 17% 3% 2% 2%

tabla 9. objetivos sociales por porcentaje de brechas dentro de la categoría de social

empleado normal/usuario final 43%

Cajero/empleado de banco/camarero 33%

Personal de centro de atención 8%

Personal financiero/contable 6%–Administrador de sistema/red 5%

ejecutivo/directivo 3%

Personal de teléfono de asistencia técnica 3%

Cliente (B2C) 2%

Personal de recursos humanos 2%–Se desconoce 6%

http://www.noestaustedescuchandoporquehapulsadoaqui/nohahechocasodenadadeloquehemosdicho.com

http://www.noestaustedescuchandoporquehapulsadoaqui/nohahechocasodenadadeloquehemosdicho.com

35

personas pueden perjudicar de multitud de formas a sus organizaciones por muchos esfuerzos que se hagan para controlarlas . A pesar de todo, la peor medida de control es no hacer nada . nosotros preferimos métodos bien pensados y bien implementados de fomentar la concienciación sobre las tácticas sociales .

Uso indebido (5% de los brechas, <1% de los registros)Uso indebido es el uso de los privilegios o recursos que se han confiado a alguien dentro de una organización con fines o de maneras contrarias a las deseadas . estos actos pueden ser o no ser maliciosos . esta categoría se limita a aquellas personas a las que su organización otorga algún nivel de confianza, como pueden ser los empleados y los socios . en 2009, el uso indebido fue la más frecuente de las acciones de amenaza, pero sufrió un marcado descenso en 2010 (del 48 al 17 por ciento) . en 2011, este porcentaje ha seguido bajando . Si se considera el conjunto de los casos, el uso indebido se detecta en solo el 5% y fue responsable de menos del 1% de todos los registros comprometidos .

Aunque el porcentaje disminuyó sustancialmente, las categorías de uso indebido son bastante parecidas a las de años anteriores . La malversación, el robo de datos de tarjetas y otros fraudes similares, por ejemplo, si situaron a la cabeza de la lista con el 57% de los incidentes de uso indebido . A pesar de este porcentaje relativamente alto, la cantidad de registros robados por este método es prácticamente nula . en segundo lugar aparece el uso de hardware y dispositivos no aprobados con un 50% . esto consiste principalmente en personas encargadas de recibir los pagos con tarjeta (cajeros, camareros) que utilizan pequeños skimmers de mano para capturar datos, aunque también se utilizan otros dispositivos . Finalmente, en tercer lugar con un 43 por ciento tenemos el abuso de los privilegios y el acceso al sistema . Como recordará, estas también han sido las tres primeras categorías en los dos últimos años, pero en diferente orden (por ejemplo, el año pasado: malversación/robo de datos de tarjetas 75%, abuso del acceso al sistema 49% y uso de equipo no aprobado 39%) . nuestro pronóstico es que seguiremos viendo estas tres variedades, ya que están relacionadas con los agentes internos con motivación financiera o acceso lógico a información valiosa .

este año empezamos a recopilar otro punto de datos: la vía o vector involucrado en el uso indebido . Aunque somos

conscientes de que un año de seguir unos pocos casos no nos permite llegar a ninguna conclusión, esperamos poder hacerlo con el tiempo . nuestra meta es determinar dónde cometen los delitos los delincuentes para poder tomar las medidas pertinentes para impedírselo . en base a nuestros datos, alrededor de la mitad de todo el uso indebido se consiguió mediante acceso físico dentro de la instalación corporativa . este es un dato intuitivo y se relaciona estrechamente con el gran volumen de delitos de malversación de fondos y robo de datos de tarjetas de pago que hemos observado . es interesante señalar que el acceso interno a red y el acceso remoto (VPn, etc .) arrojan cifras idénticas como vector de uso indebido (21%) . esto pone en duda la idea tan diseminada de que trabajar desde casa es más arriesgado que hacerlo dentro del perímetro corporativo . Veremos si este dato sigue siendo cierto en muestras futuras .

figura 25. variedades de usos indebidos por porcentaje de brechas dentro de la categoría de uso indebido

Abuso de acceso/privilegios del sistema

Uso de equipo y dispositivos no aprobados

Uso inapropiado de la web/internet

Malversación, robo de datos de tarjetas y fraudes similares 57%–

Apropiación indebida de conocimiento privado

50%

43%

2%

2%

36

A pesar de todas nuestras advertencias y de las de expertos del sector, sigue habiendo una gran cantidad de organizaciones que sufren robos de datos por culpa de acciones maliciosas o ex-empleados descontentos . en VeRiS, estos se clasifican como agentes externos, porque ya no son internos, pero como pueden infiltrarse en el sistema porque nunca se les revocaron los privilegios, se considera uso indebido . Como ya dijimos, si no quiere a estas personas ni en su nómina ni como representantes de su empresa, no LeS deJe SeGUiR ACCediendo A SUS SiSteMAS .

Física (10% de las brechas, <1% de los registros)La categoría de acciones de amenaza físicas abarca todas las amenazas que emplean acciones físicas o requieren proximidad física . Antes de 2010, los ataques físicos habían sido una de las acciones menos frecuentes y menos dañinas . esto puede atribuirse al carácter de muchas acciones físicas, como por ejemplo robarles los dispositivos a los usuarios, que suelen poner los datos en peligro pero en muchos casos no llegan a comprometerlos . Además, si el agente interno puede utilizar el dispositivo como parte de sus funciones diarias, en VeRiS se considera un uso indebido en lugar de incluirse en la categoría de acciones físicas (consultar la sección sobre uso indebido y lo que se habla sobre la malversación de fondos) .

no obstante, a partir de 2010, el robo de datos de tarjetas de pago en cajeros automáticos y bombas de gasolina contribuyó a un aumento significativo de los ataques físicos por porcentaje de brechas (29%) y registros comprometidos (10%) . La delincuencia organizada suele ser responsable de estas operaciones y una sola de estas operaciones puede afectar a numerosos emplazamientos y negocios . estos casos entran en una categoría que no

concierne a los investigadores de Verizon, pero sí es de gran interés para el USSS y otros cuerpos de seguridad del estado .

Las estadísticas de este año muestran un declive del porcentaje de incidentes que involucran acciones físicas, incluido el robo de datos de tarjetas, con solo el 10% de todos los casos combinados . La cuestión es si los datos del año pasado fueron una anomalía y la respuesta es que lo más seguro es que no . Hay factores que explican la caída del porcentaje de incidentes y pérdidas de datos debidos a acciones físicas .

en 2011 no han faltado los robos de datos de tarjetas de crédito, o skimming, y se han producido algunos arrestos notables . “operation night Clone” es un ejemplo de lo grandes y eficaces que pueden llegar

a ser los grupos de skimming . en julio de 2011, se efectuaron más de 60 detenciones en unos cinco países como parte de una operación policial multinacional .16 Los casos de este año incluyeron muchos incidentes, tanto con base en estados Unidos como en otros países, que llevaron a cabo grupos organizados y lo más probable es que las cifras totales de víctimas sean superiores a las que nosotros hemos contabilizado .

Además, las dificultades que conlleva cuantificar las pérdidas de registros asociadas con el robo de datos de tarjetas de pago han contribuido a este declive desde el último informe . este tipo de ataque no afecta a los datos almacenados y cuando se contabilizan los números de tarjeta suele hacerse en base a los que se emplearon en actividades fraudulentas . este año se observan más casos en los que se confirmó el incidente pero no se sabe cuántos números de tarjetas se vieron comprometidos . Sin embargo, el motivo principal de que haya bajado la proporción de la pérdida de datos vinculada a los ataques físicos es sencillamente el incremento en 2011 de la cantidad total de datos robados mediante otras acciones de amenaza .

Las acciones de amenaza físicas observadas el año pasado se limitaron a manipulación indebida, vigilancia o robo . Manipulación se considera cualquier acción física destinada a alterar o interferir con la condición u operación normal de un activo . esto ocurre en todas las brechas físicas investigadas este año . La instalación de dispositivos de skimming se clasifica dentro de este tipo de acción y es responsable de la mayoría de los casos de manipulación indebida . también entran dentro de esta categoría las operaciones en las que los delincuentes quitan los dispositivos de ingreso de clave y los terminales de punto de venta y los cambian por sus propios dispositivos .

16 https://www.europol.europa.eu/content/press/major-international-network-payment-card-fraudsters-dismantled-1001

en 2011 no han faltado los robos de datos de tarjetas de crédito, o skimming, y se han producido algunos arrestos notables . “operation night Clone” es un ejemplo de lo grandes y eficaces que pueden llegar a ser los grupos de skimming .

https://www.europol.europa.eu/content/press/major-international-network-payment-card-fraudsters-dismantled-1001

37

estos son idénticos en apariencia y han sido diseñados para continuar con sus funciones normales, pero al mismo tiempo capturan los datos de las tarjetas . Lo que hacen es capturar las entradas del lector o del teclado . después de la manipulación indebida, la vigilancia fue la segunda acción más corriente . Aunque la definición es mucho más amplia, todas las formas de vigilancia observadas estuvieron relacionadas con la instalación de cámaras para capturar y transmitir el ingreso de claves en cajeros automáticos . Junto con los dispositivos de skimming, esto ocurre en el 35% de los incidentes físicos, el doble que el año pasado (17%) . en este contexto, robo (3%) se refiere a un ataque físico contra el dispositivo . Como es obvio, todo en este informe se considera “robo”, pero en este caso se refiere al robo físico . todas las acciones físicas se llevaron a cabo en los espacios públicos interiores o exteriores donde se encuentran la mayoría de las bombas de gasolina y cajeros automáticos .

Error (<1% de las brechas, <1% de los registros)es más complicado ofrecer pautas fijas para esta categoría a la hora de clasificar los incidentes de seguridad con VeRiS . Si la definición es demasiado vaga, puede decirse que todos los incidentes implican algún tipo de error . Si es demasiado estricta, corremos el riesgo de que se nos escapen algunas tendencias y oportunidades en tecnología de nivel ocho (es decir el nivel humano, para aquellos que prefieren adherirse al modelo oSi de siete niveles) . Aquí se define un error como cualquier cosa que se haga, o se deje de hacer, de manera incorrecta o inadvertida . esta es la parte fácil . todo se complica en la práctica cuando se intenta sistematizar el concepto en numerosas fuentes de información que pueden tener una idea distinta de lo que supone un error en la cadena de eventos .

Con el tiempo hemos ido limitando la definición de error al clasificar un incidente . en vez de intentar juzgar si una mala decisión, una mala práctica o una laguna mental merece la etiqueta de error, nos centramos únicamente en los errores graves que fueron la causa primaria del incidente o un gran factor contribuyente, en otras palabras, el error como amenaza en vez de vulnerabilidad . Además debe ser algo que suponga una desviación de las operaciones normales de la organización . Si la forma habitual de hacer las cosas va en contra de nuestras ideas sobre la seguridad, ¿puede llamarse a eso un error o mala seguridad sistemática?

esta es la conclusión de todo lo anterior: solo se incluyen en las estadísticas del informe los casos en los que un error fue la causa principal de la divulgación .

este año, solo cuatro incidentes de los 855 tuvieron un error como causa principal y todos ellos tuvieron que ver con la divulgación de datos confidenciales en servidores por culpa de errores de configuración . otros 12 incidentes incluían errores contribuidores . Si se comparan estas cifras con las del informe del año pasado, se observa que

están muy alejadas de los más de 200 errores contribuidores que allí se mencionan . este descenso no tiene nada que ver con mejoras en los procesos y procedimientos de los afectados del año pasado, sino a que hemos retirado la etiqueta de "error" a "credenciales por omisión sin cambiar” y otros procedimientos de operación habituales poco seguros .

en vez de intentar juzgar si una mala decisión, una mala práctica o una laguna mental merece la etiqueta de error, nos centramos únicamente en los errores graves que fueron la causa primaria del incidente o un gran factor contribuyente, en otras palabras, el error como amenaza en vez de vulnerabilidad .

Hemos avanzado mucho en la definición de lo que se considera un error formal dentro de VeRiS . Consideremos, por ejemplo, la siguiente afirmación: «Tenemos un procedimiento para bloquear el acceso al servidor por dirección de IP del proveedor y cambiando lo contraseña por omisión, pero en esta ocasión se nos escapó este sistema». esto se consideraría un error contribuidor . Por el contrario, si la explicación es que ni siquiera sabían que tenían que cambiar la contraseña y limitar el acceso por IP sería una excusa que merece un adjetivo no muy alagador, pero no lo consideraríamos un error .

38

Medioambiental (0% de las brechas, 0% de los registros)La categoría medioambiental no solo abarca terremotos e inundaciones, sino también otros peligros provenientes del entorno inmediato o infraestructura en los que se encuentran los activos . esto último incluye cortes eléctricos, interferencias eléctricas, fugas de tuberías y condiciones atmosféricas . Al igual que en años anteriores, los peligros medioambientales no fueron un factor en ninguna de las brechas de todos los casos combinados . Sí existe un ejemplo público de una acción medioambiental que el año pasado contribuyó a la pérdida de confidencialidad y de disponibilidad .

en mayo de 2011, un tornado arrasó la ciudad de Joplin, Missouri .17 en su trayecto se encontraba St . John’s Regional Medical Center, que sufrió graves daños . La tormenta diseminó todo tipo de restos —entre los que se encontraban los expedientes médicos y las radiografías del hospital— en un radio de hasta 95 kilómetros .18 La estrategia del hospital de adoptar un sistema de expedientes electrónicos con un emplazamiento alejado de su zona geográfica parece haber reportado grandes beneficios a la hora de recuperar toda la información perdida .

los activos comprometidosesta sección trata de los tipos de activos de información que se vieron comprometidos en las brechas de 2011 . esta es una parte importante del modelo A4 porque se centra en los agentes y acciones de los que ya hablamos en este informe . desvía la atención del "¿quiénes son y qué hacen?" al más personal "¿qué tenemos que proteger y cómo nos puede perjudicar si fallamos?" .

Seguro que desde el último dBiR se ha hecho esta pregunta: "¿Será 2011 el año en el que los dispositivos de usuario sustituirán a los servidores como la categoría de activos que sufre más ataques?" . este año tampoco nos trae

ninguna sorpresa y el premio vuelven a llevárselo los servidores . Han conseguido mantener su ventaja con un mero margen de victoria del 4%, aunque en 2010 el margen fue aún más insignificante . esto nos lleva a los tres dispositivos que ocuparon los puestos más altos: terminales PoS (35%), equipos de mesa (18%) y cajeros automáticos (8%) . Los portátiles se situaron los últimos con un 1% . Por lo tanto los equipos personales tanto de mesa como portátiles representan solo el 19% de los activos comprometidos . Como ocurre con cualquier otra estadística, todo depende de la historia que se quiera contar . Sentimos desilusionar a los forofos de los dispositivos de usuario (¿no lo somos todos?), pero no hay que rendirse todavía porque siempre queda el año que viene .

Ahora en serio, no es sorprendente que los servidores se hayan adueñado del primer puesto en lo que respecta al tipo de activos que se ve afectado por las brechas en los datos .

Los servidores almacenan montones de datos y los ladrones lo saben . esto resulta todavía más claro cuando se tiene en cuenta el volumen total de datos robados cuando se trata de servidores en comparación con otras categorías de activos .

17 http://en.wikipedia.org/wiki/2011_joplin_tornado18 http://www.news-leader.com/article/20110523/neWs11/110523001/missouri-officials-say-tornado-killed-least-89

figura 26. categorías de activos comprometidos por porcentaje de brechas y porcentaje de registros

Servidores 64% / 94%dispositivos de

usuarios 60% / 35%

Personas 7% / 34%

datos offline 3% / <1%

Se desconoce 1% / 1%

infraestructura de red <1% / <1%

figura 27. categorías de activos comprometidos por porcentaje de brechas y porcentaje de registros (grandes empresas)

Servidores 68% / 97%dispositivos de

usuarios 32% / 36%

Personas 20% / 36%

datos offline 3% / <1%

Se desconoce 5% / <1%

infraestructura de red 2% / 0%

http://en.wikipedia.org/wiki/2011_Joplin_tornado

http://www.news-leader.com/article/20110523/NEWS11/110523001/Missouri-officials-say-tornado-killed-least-89

39

La comparación se muestra en la figura 28 . Si se pregunta el por qué del descenso en 2010, pensamos que se debe a que ese año no hubo megabrechas . este tema lo tratamos en profundidad en el dBiR de 2011 . Casi todos los incidentes en los que se perdieron grandes cantidades de datos involucran servidores . Como no se observaron tales incidentes en 2010, la pérdida de datos estaba un poco más distribuida . Como prueba, la figura 35 de la sección sobre datos comprometidos revela un patrón muy similar .

Como bien sabemos, los dispositivos de usuario también almacenan y procesan información . Además, la mayoría de las organizaciones tienen más dispositivos que servidores y estos suelen estar bastante distribuidos, ser muy móviles y menos restringidos y —lo que es quizás más importante— los controla el usuario final (ya nos imaginamos el escalofrío que les entra a los administradores con solo pensar en ello) . Por todos estos motivos y muchos otros, los dispositivos de usuario suelen jugar un papel u otro en las brechas y contribuyen a una parte considerable de las pérdidas de datos . A veces se encuentran al final de la cadena de la que se roban los datos, pero con mayor frecuencia sirven de punto de entrada a la organización, para a partir de ahí lanzar el resto del ataque . Una situación muy frecuente, especialmente en las organizaciones grandes, es la instalación de un keylogger en una estación de trabajo o portátil para robar el nombre de usuario y la contraseña de un servidor de aplicaciones interno .

no podemos cerrar el tema de las categorías de activos sin mencionar a las personas, los datos offline y la

*No se muestran los activos involucrados en menos del 1% de las brechas

tipo categoría todasgrandes

empresas

Servidor PoS (controlador de tienda) Servidores 50% 1% 2% <1%

terminal PoS dispositivos de usuarios 35% <1% 2% <1%

PC/estación de trabajo dispositivos de usuarios 18% 34% 12% 36%

Cajero automático dispositivos de usuarios 8% <1% 13% <1%

Servidor web/aplicaciones Servidores 6% 80% 33% 82%

Servidor de bases de datos Servidores 6% 96% 33% 98%

empleado normal/usuario final Personas 3% 1% 5% <1%

Servidor de correo Servidores 3% 2% 10% 2%

tarjeta de pago (crédito, débito, etc.) datos offline 3% <1% 0% <1%

Cajero/empleado de banco/camarero Personas 2% <1% 2% <1%

terminal de gasolinera dispositivos de usuarios 2% <1% 0% <1%

Servidor de archivos Servidores 1% <1% 5% <1%

Portátil/netbook dispositivos de usuarios 1% <1% 5% <1%

Servidor de acceso remoto Servidores 1% <1% 7% <1%

Personal de centro de atención Personas 1% <1% 7% <1%

tabla 10. activos comprometidos por porcentaje de brechas y porcentaje de registros*

figura 28. porcentaje de recursos comprometidos en brechas en servidores

100%

90%

80%

70%

60%

73%

80%81%

89%

99% 98%

76%

2004 2005 2006 2007 2008 2009 2010 2011

94%

40

infraestructura de red . Algunos nos preguntan por qué consideramos a las personas un activo de información y nuestra respuesta suele ser preguntarles cómo se las arreglan para mantener productiva a una fuerza laboral de zombis descerebrados que no almacenan ni procesan información . Hay que proteger a las personas, porque saben cosas que no deben divulgar y hacen cosas (a otras personas o activos) que pueden contribuir a una divulgación u otra forma de perjuicio . Hay que señalar, como puede verse en la figura 27, que las personas contribuyeron al 20% de los incidentes y al 36% de las pérdidas de datos en organizaciones grandes . Pasando a otro tema, el porcentaje de brechas en datos offline disminuyó por tercer año consecutivo (de 25% a 12% a 3%) . Pensamos que esto se debe a otra tendencia que se puso de relieve en este período que es la reducción del uso indebido; tales actividades suelen dirigirse contra documentos, medios y otro material disperso por el lugar de trabajo . Aunque sea difícil atribuir esta caída a las iniciativas medioambientales, imprimir menos documentos puede servir para reducir los robos de documentos y contribuir al mismo tiempo a un planeta más sano y feliz, aunque siempre queda la duda de si las bases de datos son más seguras que el papel . Finalmente, la explicación siguiente debería aclarar por qué las redes están vinculadas a tantas brechas . es cierto que una enorme proporción de las brechas infiltran redes . no obstante, aquí nos referimos específicamente a los dispositivos de infraestructura de red, como son enrutadores, conmutadores, cables, etc . el tráfico pasa a través de ellos durante la brecha, pero los dispositivos mismos no se ven comprometidos .

La tabla 10 ofrece información más detallada sobre los tipos de activos comprometidos en las más de 850 brechas estudiadas . Aquí es especialmente útil extraer a las organizaciones grandes del resto de los datos . Los servidores y los terminales PoS representan una gran parte de los incidentes, pero su presencia es prácticamente inexistente en el caso de las empresas de mayor tamaño . Las aplicaciones web y las bases de datos juegan un papel mucho más destacado en este caso .

A algunos lectores les sorprenderá el hecho de que las tabletas y los teléfonos inteligentes no figuren en la tabla 10 . tenemos que confesar que nosotros también esperábamos que surgiera una tendencia más marcada, pero esto no ha ocurrido por el momento . Hay que mencionar que sí se nos han encargado investigaciones forenses con dispositivos móviles (por malware, uso indebido, manipulación, etc .), pero es raro descubrir que los datos se hayan visto comprometidos . no obstante, pensamos que dada la explosión de usuarios, aplicaciones y pagos móviles, las cosas cambiarán en el futuro .

Propiedad, hosting y gestiónesta subsección trata de dos temas muy candentes en el mundo de la ti y la seguridad: cloud computing y el movimiento "trae tu propio dispositivo", o BYod . este último consiste exactamente en lo que implica su nombre: un modelo que permite a los empleados utilizar sus dispositivos personales para trabajar . esta idea es tan inquietante como atractiva . Podría aumentar la satisfacción de los empleados al tiempo que ahorra dinero y reduce los gastos administrativos, pero también expone los datos y los sistemas a dispositivos que pueden no cumplir con las políticas de seguridad de la empresa, y eso es siendo generosos . debido a lo mucho que se ha hablado de BYod en 2011, hemos añadido un punto de datos a VeRiS en relación con la propiedad de los activos involucrados en las brechas . Los resultados aparecen en la figura 31 .

Porque existen muchísimas definiciones de la nube, puede resultar complicado determinar el papel que juega este paradigma en las brechas en los datos . ¿Se producen brechas que comprometen los activos en entornos de hosting externo que no gestiona la víctima? Por supuesto que sí . ¿Se observan en la práctica ataques contra hipervisores? La verdad es que no . Lo hemos dicho antes y lo volvemos a repetir: se trata más del hecho de que se renuncia al control de los activos y de los datos (y de que no se controla el riesgo asociado) que de cualquier tecnología propia de la nube .

Que una pregunta sea difícil de contestar no es una excusa para no contestarla o para por lo menos intentarlo . A la hora de enfocar el estudio de la relación entre las brechas en los datos y la nube, lo que hemos hecho es identificar las características inherentes a esta última y después observar si tales características coinciden con la brecha . Algunos pueden pensar que es simplificar demasiado la cuestión, pero la propiedad, el hosting y la gestión son tres

Porque existen muchísimas definiciones de la nube,

puede resultar complicado determinar el papel que

juega este paradigma en las brechas en los datos .

41

características fundamentales de los activos en cloud . Generalmente, su empresa no tiene el activo “en la nube” en propiedad, se encuentra alojado en instalaciones ajenas y lo gestiona o administra un tercero (o alguna combinación de todo esto) .

todos sabemos que una correlación no implica necesariamente una causa, pero también sabemos que algunos patrones pueden ser pertinentes . Con esto en mente, vamos a estudiar las figuras 29, 30 y 31, que contienen estadísticas sobre propiedad, hosting y gestión de activos en los casos analizados . Los datos no aclaran si estos patrones en particular resultan relevantes, pero podemos adelantar algunas observaciones . Una de ellas es que este es el tercer año en el que se ha visto un aumento en la proporción de activos gestionados y alojados externamente . este puede ser un dato esclarecedor, especialmente si se compara con otros problemas que mencionamos todos los años relacionados con el hecho de que algunos proveedores de PoS no saben configurar una lista de control de acceso o cambiar las credenciales por omisión . también merece la pena señalar que los activos de las organizaciones grandes se alojan y gestionan internamente con mayor frecuencia (alrededor del 80% en ambos casos) . Los dispositivos propiedad de los empleados no se ven con mucha frecuencia, pero si el movimiento BYod sigue su ascenso, esto llegará a convertirse en un factor .

los datos comprometidosA lo largo de los años, muchos lectores han cuestionado la utilidad de contabilizar la cantidad de registros comprometidos . después de todo, no todos los registros son iguales . ¿Se puede considerar de igual forma un registro que contiene un nombre y un correo electrónico que el código fuente para el producto estrella de una empresa? esta es una objeción válida y recomendamos que el lector la tenga en cuenta al hablar de esta cifra en trabajos derivados del informe . A pesar de todo, sí tiene utilidad conocer este número . en primer lugar, algunos terceros (por ejemplo, marcas de tarjetas) lo necesitan y los recuentos ayudan a mantener la perspectiva dentro de un tipo de registro específico . Además, sospechamos que existe una relación entre la cantidad de registros perdidos en una brecha y el impacto de la misma, al menos en algunas variedades de datos, y no lo sabremos si no recopilamos datos ni formulamos preguntas . Finalmente, no solo sirve de indicador, sino que conocer la variedad y volumen de la pérdida de datos también ayuda a entender los motivos y las actividades del atacante .

Así que para resumir, la megabrecha ha regresado después de un año de ausencia, aunque con nuevos agentes de amenaza y motivaciones . en lugar de concentrarnos primero en las enormes cifras de registros comprometidos (174 millones), empezaremos por comparar el número de incidentes y el volumen de pérdidas de diversos datos .

figura 31. propietarios de los activos por porcentaje de brechas*

Socios

empleados

empresa (víctima)

* Solo casos de Verizon

6%

91%

16%

Clientes

1%

0%

figura 30. gestión de activos por porcentaje de brechas*

Gestión conjunta

externo

interno


51%

46%

6%

figura 29. Hosting de activos por porcentaje de brechas*

MóvilCoemplazado

externo

interno


80%

26%

3% 0%

42

en esta sección también se estudian la distribución de las pérdidas, las imperfecciones inherentes a la cuantificación de los registros comprometidos y las comparaciones con años anteriores .

Variedades de datos comprometidosLa información de tarjetas de pago estuvo de nuevo involucrada en muchas más brechas (48%) que ningún otro tipo de dato, pero al contrario de lo ocurrido en años anteriores, no fue la ganadora absoluta . en segundo lugar le pisan los talones las credenciales de autenticación (42%) . Las tarjetas de pago siguen siendo "las más robadas" pero ahora el título de "mayor botín” se lo lleva la información personal, que incluye nombre, correo electrónico, documento nacional de identidad, etc . Aunque solo se perdieron datos personales en el 4% de las brechas, este concepto supone el 95% de los registros perdidos del informe . esto representa un cambio radical frente a años anteriores; en 2009 solo el 4% de los registros perdidos contenía información personal, mientras que en 2010 la cifra fue del 1% .

Resulta curioso que en 2011 tanto organizaciones delictivas como activistas robaran cantidades masivas de información, pero por motivos muy distintos . estos últimos querían la información personal por lo que significa: puede ser embarazoso y además, no hace falta decirlo, es personal . La escala de la brecha, el grado de confidencialidad de los datos y la manera en que se divulgan son mucho más importantes que el valor real de los datos .

todas grandes empresas

variedad rótulo en la figura 32 brechas registros brechas registros

números/datos tarjetas de pago datos tarjetas 48% 3% 33% 1%

Credenciales de autenticación (nombres usuarios, contraseñas, etc.) Credenciales 42% 1% 35% 1%

información personal (nombre, seguridad social, domicilio, etc.) Personal 4% 95% 27% 98%

datos confidenciales de la organización (informes, planes, etc.) datos organización 2% <1% 22% <1%

números/datos cuentas bancarias datos bancos 2% 1% 10% 1%

información del sistema (configuración, etc.) información sistema 2% <1% 15% <1%

Material con derechos de autor/registrado derechos de autor 1% 1% 3% <1%

Secretos comerciales Secretos comerciales 1% <1% 12% <1%

información clasificada Clasificada <1% <1% 2% <1%

expedientes médicos Médica <1% <1% 2% <1%

Se desconoce (no se conoce el tipo) Se desconoce 44% <1% 2% <1%

tabla 11. variedades de datos comprometidos por porcentaje de brechas y registros

figura 32. variedades de datos comprometidos por cantidad de brechas y registros

100 .000 .000

10 .000 .000

1 .000 .000

100 .000

1 .000

100

10

1

1 10 100 1000cantidad de incidentes (fichero cronológico)

cant

idad

de r

egis

tros

(fich

ero

cron

ológ

ico)

Clasificada

derechos de autor

Secretos comercialesinformación sistema

datos organización

datos bancosCredenciales

Se desconoce

datos tarjetas

Personal

Médicos

43

A la delincuencia organizada, por el contrario, le importa mucho el valor de los datos . La cuestión es cuál es el motivo de robar montañas de información y qué hacen con ella una vez que la consiguen . La respuesta reside no en el valor intrínseco de la información sino en su valor para cometer fraude y otros delitos .

Hemos observado que los delincuentes utilizan la información personal para lanzar campañas de phishing, robar identidades y cometer todo tipo de fraudes . La ruta puede variar pero el destino final siempre es el dinero .

otro dato interesante de la tabla 11 es la cantidad de datos en la variedad de “Se desconoce” . Representa casi la mitad de las brechas: está claro que se perdieron datos, pero no está claro, o no está claro

del todo, qué se perdió . en la sección siguiente analizaremos este resultado con más detalle .

La figura 33 compara los tipos de datos comprometidos de las organizaciones grandes y de las organizaciones pequeñas . Hay dos puntos que llaman inmediatamente la atención, los dos en extremos opuestos . empezaremos por abajo, donde casi todas las brechas en tarjetas de pago afectan a empresas pequeñas . esto es una continuación de la tendencia observada en el estudio del año pasado, donde la inmensa mayoría de las actividades contra tarjetas de pago se dirigían contra organizaciones pequeñas, principalmente porque pueden conseguirse con menos riesgo . en la parte superior de la figura 33, queda claro que las organizaciones grandes fueron el blanco de la mayoría de los robos de secretos comerciales y otros datos confidenciales .

Distribución de la pérdida de registrosLa tabla 12 muestra la cantidad de recursos perdidos por incidente . Mientras igual que el año pasado, predominan las brechas pequeñas, es importante recordar el panorama general a la hora de calcular o modelar las pérdidas probables . Las brechas con pérdidas de cientos o miles de registros son más frecuentes que las más llamativas en las que se sustraen millones, aunque no hay que olvidar que también hay varias de este tipo .

Más de tres cuartos de las brechas supusieron pérdidas de menos de 10 .000 registros y solo en siete de las 855 se perdieron más de un millón .19 Han vuelto con fuerza las megabrechas y como era previsible ocurren con más frecuencia en grandes empresas . no es sorprendente

19 A Alex Hutton, antiguo integrante del equipo RISK, le gusta referirse a estos incidentes importantes pero menos frecuentes como “cisnes negros”, pero nosotros solemos recordarle que es una aplicación incorrecta de la teoría de Talib, aunque no sea totalmente cierto.

todasgrandes

empresas<Mil 39% 62%

1-10 mil 44% 15%

10 -100 mil 11% 5%

100-1 millón 3% 5%

>1M 2% 13%

tabla 12. distribución de registros comprometidos por porcentaje de brechas*

Secretos comerciales

datos confidenciales

información del sistema

información personal

números/datos cuentas bancarias

información clasificada

expedientes médicosMaterial con derechos de autor/

registradoCredenciales de autenticación

números/datos tarjetas de pago

organizaciones pequeñas

Grandes empresas

0% 20% 40% 60% 80% 100%

figura 33. rol del tamaño de la organización en la variedad de compromiso de los datos

porcentaje de brechas

“[…] se ha conseguido que la delincuencia abandone las actividades de alto nivel. Llevar a cabo un atraco importante puede reportar fama y fortuna, pero

también atrae mucha atención no deseada».

-dbIr 2011

44

que las organizaciones con más datos tengan brechas de mayor envergadura . este año, las organizaciones con más de 1000 empleados representan más de 10 millones de registros y por encima de los dos tercios de todas las brechas de más de un millón de registros .

Cuantificación de las pérdidas de datosel hablar del total de registros comprometidos es un paso hacia la evaluación cuantitativa de las consecuencias globales de los incidentes de seguridad . Antes de entrar en materia hay que aclarar varias cosas . en primer lugar, ”total de registros comprometidos” es solo una métrica en la medición del impacto general de un incidente . Ya se habló antes de las diferencias entre tipos de datos y su valor para una organización, pero merece la pena repetirlas .

en segundo lugar, en algunos casos esta evaluación cuantitativa resulta muy complicada .

Las dificultades que tiene el contabilizar los registros robados tienen varias causas, algunas debidas a los métodos de ataque, algunas basadas en los tipos de datos y otras como consecuencia de la falta de recopilación de ficheros cronológicos por parte del afectado . nosotros —y nuestros socios colaboradores— hemos tenido muchos casos donde estaba claro que había habido una brecha y se encontraron pruebas de que se estaban extrayendo datos (por ejemplo, la presencia de un archivo de carga cifrado), pero era difícil o imposible determinar el tipo de registro y la cantidad . otro ejemplo frecuente es el de las organizaciones que sufren una brecha en tarjetas de pago, pero únicamente pueden confirmarse las que se utilizan en actividades fraudulentas y no se conoce el total sustraído . Algunos tipos de información, como por ejemplo los secretos comerciales, son por naturaleza difíciles de cuantificar . Las brechas en ciertas variedades de datos son más difíciles de descubrir, ya que no incluyen ningún tipo de mecanismo de detección de fraude que sirva para advertir a la víctima . A esto se añade que nuestros socios policiales se concentran más en atrapar a los atacantes que en contar la cantidad exacta de registros que pierde cada organización . también hay que señalar que todos menos uno de los tipos de registros desconocidos ocurrieron en organizaciones pequeñas (menos de 1000 empleados) .

Ya hemos hablado de lo que sucedió el año pasado y ahora vamos a ver cómo se compara el año 2011 con los siete años anteriores en lo que respecta a pérdidas de registros .

La figura 35 nos muestra que los atacantes vuelven a las andadas . Aunque en 2011 las pérdidas de registros experimentaron un importante aumento, el segundo más alto del estudio, todavía nos queda por explicar el retroceso de 2010 . ofrecimos varias teorías que seguimos considerando válidas; la principal es que el crimen organizado con motivos monetarios ha optado por ataques más automatizados y abandona los robos a gran escala . Hemos observado un incremento de las brechas pequeñas, una tendencia que continúa este año y que quizás indique una preferencia por un goteo constante de registros de muchas fuentes en lugar de explosiones esporádicas de unas pocas . todas menos una de las brechas de más de un millón de registros

Variedad desconocida

Cantidad desconocida

44%1%

35%20%


figura 34. variedad y cantidad desconocidas de pérdida de datos por porcentaje de brechas

tabla 13. estadísticas descriptivas en registros comprometidos, 2004-2011

2011 todos los años (2004-2011)

total de registros 174 .522 .698 1 .081 .495 .508

Promedio 548 .814 801 .108

Mediana 1 .270 1 .270

desviación típica 5 .632 .140 8 .221 .338

percentiles10 12 1025 100 4550 1 .270 1 .27075 3 .500 10 .55990 35 .219 153 .97899 2 .830 .000 10 .000 .001

45

de este año se atribuyeron a grupos activistas y no a agentes con motivos monetarios . esto apoya la teoría de que la delincuencia organizada ha decidido pasar desapercibida con blancos más pequeños y peor defendidos, mientras que los activistas prefieren las campañas espectaculares .

Para los amantes de la estadística, hemos incluido la tabla 13 . el promedio de registros comprometidos desciende a menos de 550 .000; la mediana sube a 1 .270 registros y la desviación típica se sitúa en 5,6 millones de registros . Con el informe de este año hemos superado los mil millones de registros comprometidos desde que empezamos a contabilizar la cantidad de datos robados . es sin duda un momento señalado, pero no del tipo que se celebra con champán . Lo que sí haremos es levantar nuestra copa porque no lleguemos a los mil millones y uno .

dificultad del ataqueLa mejor brecha es la que no se produce . Prevenir una brecha en el momento en que se inicia la infiltración es la mejor forma de evitar repercusiones . no obstante, los controles de seguridad no son ni absolutos ni simples: van desde los arreglos más rápidos hasta estrategias complejas y costosas . entender cuántos recursos se necesitan asignar exige entender la presión que ejerce el atacante y dónde ejerce más presión durante el ataque .

Para explorar esta idea en más detalle, decidimos alterar el modo en que evaluamos la dificultad del ataque en general . Con este fin, hemos creado una clasificación distinta para la infiltración inicial que compromete el sistema y para las acciones que lo siguen . La infiltración inicial la constituyen las acciones que conducen a que el atacante obtenga acceso no autorizado a los activos, mientras que las acciones subsiguientes son todo lo que hace después, incluida la extracción de datos . el primer paso es la parte más sofisticada y hemos querido demostrarlo con cifras . Antes de examinarlas, queremos aclarar algunas cosas .

figura 35. cifra de recursos comprometidos en todos los datos combinados del dbIr

20082007200620052004 2009 2010 2011

360 .834 .871

171 .077 .984

124 .235 .000104 .321 .000

11 .488 .000

143 .643 .022

3 .878 .370

174 .522 .698

46

Hay que admitir que la calificación de la dificultad relativa de los ataques implica un cierto nivel de subjetividad . A pesar de ello pensamos que es un buen indicador del grado de esfuerzo y gasto necesario para infiltrar los activos de una empresa . nuestros investigadores20 evalúan los detalles de los ataques y luego los clasifican de la manera siguiente:

• muy baja: no se precisan habilidades ni recursos especiales . Cualquier usuario medio podría haberlo llevado a cabo .• baja: métodos básicos, sin

personalización o con la ayuda de recursos bajos . Herramientas y scripts automatizados .• moderada: técnicas especiales, algo

de personalización o con la ayuda de recursos significativos .• alta: habilidades avanzadas,

personalización importante o con la ayuda de grandes recursos .

teniendo en cuenta esta clasificación, vamos a examinar las figuras 36 y 37 . está claro que como ya se mencionó, el paso inicial tiende a ser más fácil que lo que ocurre después . obtener acceso es como mínimo moderadamente complicado en un cuarto de los incidentes, pero cerca del doble en el caso de las actividades subsiguientes . Por cierto: no deje que le distraigan los porcentajes de dificultad desconocida; algunos ficheros cronológicos contienen poca información y no se sabe lo suficiente de las técnicas empleadas como para evaluar su dificultad .

estos resultados cobran sentido a la luz de la lista de variedades más comunes de hacking en la figura 21 . Muchos de los métodos allí mencionados —especialmente los que se utilizan para ganar acceso— no son especialmente sofisticados . Las cosas suelen ponerse interesantes después de esta entrada inicial . el asaltante instala varios tipos de malware —lo que puede exigir algún grado de personalización—, aumenta los privilegios, instala mecanismos remotos de entrada y control, y explora la red hasta encontrar lo que busca . Casi siempre lo encuentra . Como puede verse en la figura 37, un asombroso 99% de todos los datos se vieron comprometidos con métodos post-infiltración de moderados a difíciles . esta cifra respalda nuestra afirmación de que es vital prevenir el ataque desde el principio .

¿ocurre lo mismo con las organizaciones grandes? Podría pensarse que en este caso es mucho más complicado infiltrarse, pero tenemos que decir que nuestros datos sugieren lo contrario; no parece que los ciberdelincuentes tengan que esforzarse mucho más para infiltrar a las empresas de mayor tamaño .

20 La dificultad del ataque no es parte del marco VERIS y por lo tanto las organizaciones que colaboran con nosotros no recopilan este dato. Por ello las estadísticas de esta sección solo se refieren a los casos de Verizon en 2011.

49%

39%

4% 6%

Muy baja

Baja

Moderada (37%)

Alta (61%)Se desconoce

2%

figura 37. dificultad de acciones subsiguientes por porcentaje de brechas y porcentaje de registros*


65%

8%

Muy baja

Baja (37%)

Moderada (16%)

AltaSe desconoce (47%)

0%

2%

figura 36. dificultad del compromiso inicial por porcentaje de brechas y porcentaje de registros*


24%

¿ocurre lo mismo con las organizaciones grandes? Podría

pensarse que en este caso es mucho más complicado infiltrarse, pero tenemos que decir que nuestros

datos sugieren lo contrario; no parece que los ciberdelincuentes

tengan que esforzarse mucho más para infiltrar a las empresas de

mayor tamaño .

47

Sin embargo, las acciones subsiguientes sí se vuelven más complicadas, con alrededor de tres de cada cuatro con la calificación de dificultad de moderada a difícil . esto se debe seguramente a que los activos son más variados, las defensas internas son superiores y, en general, las capacidades de detección y respuesta son más maduras .

Como ya se explicó al comienzo de esta sección, la clasificación de la dificultad de los ataques implica un cierto grado de subjetividad, aunque es un buen indicador de las capacidades del agente de amenaza y de lo que debe hacerse para repeler sus ataques . el enfoque más eficiente y eficaz es casi siempre detener a los asaltantes antes de que entren por la puerta . Los delincuentes más oportunistas no dedican recursos contra un blanco fortificado mientras exista otro con un valor similar y menos defensas . explicaremos las brechas de oportunidad en la sección siguiente . Si la información es muy valiosa —o el blanco se ha escogido por otros motivos— puede no ser suficiente emplear estrategias básicas, aunque siga siendo esencial . Por lo tanto, entender los motivos, las habilidades y los métodos de nuestros adversarios es importante para montar una defensa bien pensada .

selección en los ataquesen el sector de la seguridad se suelen clasificar los ataques en dos categorías generales: oportunistas y selectivos . Las diferencias entre estas dos categorías son innumerables, pero comencemos con una descripción de ambos conceptos:

• ataques oportunistas: no se elige como blanco a ninguna empresa específica, sino que se las identifica y ataca porque el atacante ha encontrado un punto débil en sus defensas que puede explotar .

• ataques selectivos: se elige un blanco específico; después, el atacante busca debilidades que pueda explotar .

en 2011, la relación entre ataques oportunistas y selectivos (figura 38) fue muy similar a la del año anterior . La diferencia es que este año descubrimos dos datos interesantes sobre los primeros: 1) el 85% de los blancos de oportunidad son organizaciones de menos de 1000 empleados y 2) casi tres cuartos de ellos se lanzaron en contra de los sectores minorista/comercio y hostelería/

alimentación . estas observaciones parecen sustentar la conclusión a la que habíamos llegado en otras secciones del informe, es decir, que en los ataques automatizados a gran escala, el blanco de oportunidad es la pequeña y mediana empresa, y que los sistemas PoS ofrecen la oportunidad que buscan los atacantes .

Los ataques selectivos son muy distintos . Los sectores de las finanzas/seguros y de la información se convierten en blancos selectivos con más frecuencia que otros, y dentro de ellos las empresas más grandes son las que sufren más ataques . de hecho, casi siete de cada 10 ataques selectivos que conducen a una brecha en los datos iban dirigidos contra organizaciones grandes . Como confirma la figura 39, estas sufrieron casi el doble de ataques dirigidos que de ataques oportunistas .

figura 38. blancos por porcentaje de brechas y porcentaje de recursos*

79% oportunista

16%selectivo(63%)+

5% se desconoce


35% oportunista

15% Se desconoce

50% selectivo

(63%)

figura 39. blancos por porcentaje de brechas y porcentaje de registros (grandes empresas)*


en la medida de nuestro conocimiento, convertirse en el blanco escogido para un ataque es algo inherente a las organizaciones más reconocidas o con activos más valiosos .

48

Los datos no nos dicen nada más a este respecto y nosotros no tenemos una bola de cristal . no sabemos exactamente por qué existe esta disparidad entre organizaciones grandes y pequeñas o si continuará en el futuro . en la medida de nuestro conocimiento, convertirse en el blanco escogido para un ataque es algo inherente a las organizaciones más reconocidas o con activos más valiosos . este es sin duda el caso a la hora de atraer la atención de los activistas, como ya mencionamos anteriormente . en el otro lado de la escala, las organizaciones pequeñas no tienen ni los conocimientos ni los recursos necesarios para reparar las debilidades más flagrantes en sus activos accesibles desde internet que hacen que se las identifique como blancos de oportunidad . Aunque las organizaciones de mayor tamaño suelen estar mejor equipadas para abordar las cuestiones de seguridad, también tienen más activos, están más distribuidas y su gestión es más compleja . Por lo tanto no son inmunes a los ataques oportunistas; las organizaciones tanto grandes como pequeñas presentan demasiadas tentaciones a los posibles atacantes e inevitablemente pagan las consecuencias .

en general, un mayor grado de ataques selectivos contra organizaciones grandes y el sector financiero y de la información significa que pueden defenderse mejor contra los ataques oportunistas, que se les escoge con más frecuencia como blanco o una mezcla de ambos . en cualquier caso, pensamos que la regla todavía es válida: algunas organizaciones se convertirán en blanco hagan lo que hagan, pero la mayoría lo son por culpa de lo que hacen o dejan de hacer .

una SEmana LaboraL dE trES díaSdurante el proceso de recopilación de datos para este informe, recibimos una lista de uno de nuestros colaboradores policiales con las fechas y los lugares de un gran número de incidentes ligados a una organización delictiva de europa del este . esto nos dio la oportunidad de estudiar sus comportamientos y actividades durante un período de seis meses . es una lista fascinante y la incluimos aquí para subrayar ciertas nociones a las que hacemos referencia con frecuencia en el informe, como “industrializado”, “rápido”, “a gran escala” y “oportunista” .

el análisis de los datos demuestra que los atacantes no solo seguían un horario laboral habitual, sino que solo trabajaban una media de tres días a la semana . durante una semana en particular, se pusieron manos a la obra el sábado, el domingo y el lunes . Consiguieron infiltrarse en 22 organizaciones de nueve países, siendo el lunes el día más productivo con 15 brechas confirmadas (en púrpura) . Aunque a primera vista parezca el trabajo ideal, lo cierto es que las sentencias a las que se enfrentan no son de envidiar en absoluto .

Intervalo de los eventosComo ya se indicó en dBiR anteriores, entender el tiempo que dura un incidente puede contribuir en gran manera a nuestra habilidad para producir modelos precisos y evaluaciones de capacidades . Para los veteranos en la respuesta a incidentes no será ninguna sorpresa que el intervalo de los eventos de una brecha varíe enormemente dependiendo de una multitud de factores . Como ocurre con otras actividades científicas, cuanto más se estudian los factores, más evoluciona el modelo designado para capturarlos, junto con nuestra comprensión del mismo . en informes anteriores, separamos los eventos en tres fases principales que pensábamos que respondían bien al proceso típico de respuesta a un incidente . Aún así, esta vez hemos decidido modificar ligeramente los intervalos . Hemos dividido la fase anterior de "punto de entrada hasta infiltración" para extraer más detalles alrededor de los eventos de infiltración y extracción de datos . La figura 40 muestra las fases del intervalo junto con los porcentajes correspondientes . Los resultados se tratan en los párrafos siguientes .

Sábado domingo Lunes

49

Del ataque inicial a la infiltración inicialLa fase inicial va desde el momento en que se inicia la primera acción maliciosa hasta el punto en que se ve afectado un atributo de seguridad, como por ejemplo la confidencialidad . esta no es necesariamente la culminación del incidente, sino que suele ser solo la intrusión inicial en la red . esta fase únicamente es aplicable a acciones maliciosas y deliberadas por parte de agentes que no disponían de acceso o privilegios para el activo .

en la gran mayoría de los incidentes de 2011 (85%), los atacantes consiguieron infiltrarse en la red muy rápidamente (en minutos o menos) . no hay que olvidar que las estadísticas de "punto de entrada hasta infiltración" en informes anteriores no pueden compararse con estas . el aislar el tiempo que se tarda en conseguir acceso no autorizado pone de relieve la asombrosa velocidad a la que se desarrollan muchos ataques . esto se debe en gran parte, aunque no exclusivamente, a los muchos ataques automatizados y rápidos contra organizaciones pequeñas . no hace falta mucho tiempo para abrir un sistema PoS con una lista de contraseñas y nombres de usuario conocidos .

en caso de que las organizaciones grandes lean esto y se crean inmunes a estas infiltraciones rápidas, deben considerar la estadística siguiente . Un 71% de ellas cae en cuestión de minutos . es cierto que con frecuencia las acciones que derribaron sus defensas eran distintas (por ejemplo, inyecciones de SQL), ¿pero importa realmente cuando el resultado es el mismo?

figura 40. Intervalo del evento por porcentaje de brechas

MinutosSegundos

10%

8%

0%

0%

del ataque inicial a la infiltración inicial

de la infiltración inicial a la extracción de datos

de la infiltración inicial al descubrimiento

del descubrimiento a la contención/

restablecimiento

Horas

75%

38%

0%

1%

días

12%

14%

2%

9%

Semanas

2%

25%

13%

32%

Meses

0%

8%

29%

38%

Años

1%

8%

54%+

17%

0%

0%

2%

4%

figura 41. tiempo entre el ataque inicial y la infiltración inicial (grandes empresas)

MinutosSegundos Horas días Semanas Meses Años

43%

del ataque inicial a la infiltración inicial

29% 4% 11% 7% 7% 0%

50

Desde la infiltración inicial hasta la extracción de datosLa segunda fase cubre el período de tiempo desde que el primer activo se vio afectado hasta el momento en que los datos privados salieron del entorno de la empresa . Una distinción importante que hay que mencionar es que las estadísticas presentadas en esta fase se basan solamente en los casos de 2011 . de igual forma que los delincuentes son capaces de colarse en el sistema con gran rapidez, los datos muestran que tampoco pasa mucho tiempo hasta que se hacen con el botín . Más de la mitad de las veces, los datos de la empresa afectada se pierden solo unas horas después de la infiltración inicial . esta cifra baja al 25% para organizaciones de mayor tamaño, pero no es seguro que se deba a que hagan nada especial . Lo más probable es que se deba más a que el atacante tarda más tiempo en encontrar los datos y no a que existan controles impenetrables de prevención de pérdidas .

Si se puede decir algo positivo sobre estos hallazgos es lo siguiente: en más del 40% de los incidentes que hemos investigado, les llevó a los atacantes un día o dos encontrar y extraer los datos . esto significa que se dispone de un tiempo razonable para detectar y detener un incidente antes de que el afectado haya perdido totalmente el control de los datos .

De la infiltración inicial al descubrimientoesta fase se refiere al tiempo transcurrido desde que se ve afectado el primer activo hasta el momento en que la empresa descubre el incidente . es triste tener que repetir que las víctimas de brechas podían haber dado la vuelta al mundo en bicicleta en el tiempo que les llevó descubrir el problema . en la mitad de los incidentes investigados, esto tardó meses e incluso años . esto es demasiado tiempo para que los datos de clientes, la iP y otra información confidencial estén en manos de delincuentes sin que sus dueños lo sepan .

debido a la importancia de este tema y porque queremos que pueda incorporarse fácilmente en una presentación de PowerPoint, hemos incluido la figura 42 dedicada a las organizaciones grandes . es cierto que las cifras son un poco mejores, pero tampoco son para echar las campanas al vuelo . Aún podría darse la vuelta al mundo más rápidamente en una Vespa .

no hemos observado ninguna mejoría importante a este respecto ni pensamos que nuestros datos sufran de algún tipo de parcialidad . Con cada año que pasa examinamos más brechas de más fuentes, pero siempre es la misma historia . Así que lo mejor va a ser pasar rápidamente por esta figura, porque aquí no hay nada nuevo que ver .

MinutosSegundos Horas días Semanas Meses Años

0%

de la infiltración inicial al descubrimiento

0% 0% 27% 24% 39% 9%

figura 42. tiempo entre la infiltración inicial y el descubrimiento (grandes empresas)

en caso de que las organizaciones grandes lean esto y se crean inmunes a estas infiltraciones rápidas, deben considerar la estadística siguiente . Un 71% de ellas cae en cuestión de minutos . es cierto que con frecuencia las

acciones que derribaron sus defensas eran distintas (por ejemplo, inyecciones de SQL), ¿pero es eso tan importante cuando el resultado es el mismo?

51

Del descubrimiento a la contención/restablecimientoLa fase final captura el tiempo transcurrido desde el momento en que la empresa descubre el incidente y el momento en que lo detiene o el sistema comprometido se ha restablecido y funciona de nuevo .

tenemos que decir con cierto optimismo que los plazos de contención han mejorado ligeramente desde el año pasado . el 42% de las brechas de 2011 se contuvieron en unos días frente al 34% de 2010 . Así que se trata de un cambio muy ligero pero un cambio positivo al fin al cabo . esperemos que continúe esta tendencia a la baja .

métodos de descubrimiento de brechasAparte de las dos medidas ya mencionadas, los métodos que sirven para descubrir las brechas nos presentan cifras que dan que pensar . el tiempo hasta el descubrimiento está íntimamente relacionado con el método de descubrimiento, ya que algunos métodos tardan más que otros . Pero ambas medidas son excelentes indicadores de la madurez de un programa de seguridad, ya que reflejan directamente la habilidad de una organización para detectar y responder a amenazas . Lamentablemente, como demuestran nuestras investigaciones de los últimos años, las brechas las descubren terceros con mucha más frecuencia que las organizaciones mismas .

el equipo RiSK de Verizon emplea dos categorías básicas para agrupar los métodos de descubrimiento: externos e internos . Lo que significa el descubrimiento externo es bastante evidente: la brecha la descubrió un tercero que se lo comunicó a la víctima .

figura 43. porcentaje de brechas que no se descubren durante meses o más tiempo

67%

55%

44%41%

55%

70%

60%

50%

40%

30%

<2008 2008 2009 2010 2011

figura 44. métodos simplificados de descubrimiento por porcentaje de brechas

92% tercero

49% tercero

4% interno pasivo

28% interno pasivo

2% interno activo

16% interno activo

2% se desconoce 7% se desconoce

todAS GRAndeS eMPReSAS

75%69%

61%

86%92%

Antes de 2008 2008

2009

20102011

es importante recordar que en la respuesta a incidentes la velocidad y la ejecución son igualmente importantes . Si se reacciona con demasiada rapidez pueden cometerse errores que elevarán los costes y harán que se tarde más tiempo del necesario en mitigar el incidente . Para ser eficaz a este respecto no hace falta tener una cantidad dada de empleados encargados de la respuesta . Más bien hace falta disponer de los mecanismos necesarios para iniciar la respuesta, clasificar el incidente y tomar decisiones oportunas sobre el mejor momento para solicitar ayuda exterior o llamar a la policía . Significa que los elementos prácticos —como el diagrama de red— ya están listos o pueden implementarse en el momento en que sea necesario . también significa colaborar con todos los interesados con el fin de contener la brecha . no es nada más que sentido común . Pero muchas veces las organizaciones no hacen más que preocuparse de todas las posibles consecuencias negativas en lugar de remangarse y ponerse a trabajar para resolver el incidente .

52

en lo que respecta al descubrimiento interno, los métodos se categorizan como activos (diseñados e implementados para la detección) o pasivos (cuando el conocimiento del incidente surge de procesos ajenos a la seguridad) .

en la figura 44 puede verse inmediatamente que la mayor parte de las brechas las descubren terceros . este hecho lo atribuimos a varios factores, siendo el principal la base demográfica de nuestros datos . Como norma general, las empresas pequeñas no tienen ni los conocimientos ni la tecnología necesarios para llevar un control de tales eventos . en su lugar, prefieren no preocuparse hasta que el incidente empieza a hacerse evidente, y si no hay evidencia de que haya pasado nada, no hay nada de lo que preocuparse . el segundo motivo es consecuencia del primero por una parte y de las aportaciones de nuestros socios en los cuerpos de seguridad del estado por la otra . Hablaremos de esto en más detalle en la sección de descubrimiento externo .

Cuando se comparan los resultados del aspecto de descubrimiento en la población general con los de las organizaciones grandes se observa un panorama muy distinto . La figura 44 ilustra que las brechas descubiertas por terceros (49%) son mucho más bajas, mientras que los métodos internos de descubrimiento son mucho más altos (44%) . Ya hemos dicho que las organizaciones grandes tienen los conocimientos, las capacidades y los recursos necesarios para descubrir brechas en la seguridad y estos resultados lo demuestran . Ahora solo hace falta que los pongan en práctica . dentro de un momento profundizaremos en esta cuestión, pero antes hablaremos de algunos aspectos interesantes de los métodos externos de descubrimiento .

figura 45. métodos de descubrimiento por porcentaje de brechas

notificación de la policía

detección de terceros (p. ej., CPP)

el atacante presume o chantajea

Un empleado es testigo o informa de ello

el sistema funciona de modo inusual

Análisis de fichero cronológico o revisión

Auditoría financiera y conciliación

Mecanismo interno de detección de fraude

otros

Se desconoce

notificación del cliente/socio afectado por el incidente

59%+10%

26%–8%

4%5%

3%21%

2%

2%

16%

13%

1%7%

1%8%

1%<1%

1%5%

2%7%


otra idea que da que pensar con respecto a los algoritmos CPP es que su eficacia depende de la capacidad para correlacionar ciertas actividades y

patrones de fraude . La extracción de numerosas fuentes de otros tipos de información valiosa, como por ejemplo propiedad intelectual y otros datos

confidenciales, puede pasar totalmente desapercibida .

53

Descubrimiento externoUna notificación de la policía fue de nuevo uno de los métodos principales de descubrimiento . este año se lleva la palma por encima del campeón de todos los años, la detección de terceros . Pensamos que uno de los motivos de este incremento es el protagonismo de la policía en la vigilancia de los grupos delictivos y sus actividades (Apéndice B) . en tales circunstancias, la policía sabe que se ha producido un ataque y puede notificar al afectado antes de que se observe ningún patrón de fraude mediante algoritmos de punto de compra común (CPP) .

en cuanto a los CPP, debemos apuntar que la detección por parte de terceros sigue siendo uno de los métodos más frecuentes . La ventaja de CPP es que es capaz de detectar el surgimiento de un patrón global en muchas organizaciones que pueden estar muy dispersas geográficamente, lo que genera una perspectiva mucho más completa de la que podría tener cualquier organización por su cuenta . A pesar de todo, el CPP sigue siendo una alerta posterior al incidente y su éxito apunta a la dura realidad de que la actividad fraudulenta es capaz de disparar la detección mejor que muchas de las herramientas destinadas a hacerlo antes de que se produzca la pérdida de datos o el fraude . otra idea que da que pensar con respecto a los algoritmos CPP es que su eficacia depende de la capacidad para correlacionar ciertas actividades y patrones de fraude . La extracción de numerosas fuentes de otros tipos de información valiosa, como por ejemplo propiedad intelectual y otros datos confidenciales, puede pasar totalmente desapercibida . Por eso pensamos que las cifras de brechas de tarjetas no de pago son mucho más elevadas de lo que parece porque no existe ningún mecanismo similar a CPP para detectarlas .

Los métodos externos de notificación de brechas son muy diferentes para organizaciones grandes . Aunque la notificación por parte de la policía fue la segunda más frecuente (10%), estuvo muy por debajo del nivel del grupo de datos global . en estas organizaciones, en la mayoría de los casos el ladrón mismo fue el responsable de la notificación . Quizás en el dBiR de 2013 deberíamos incluir una nueva clasificación de descubrimiento de datos en Youtube, Pastebin y twitter . (Por supuesto que lo decimos un poco en broma, pero es importante entender el papel que las redes sociales juegan en el descubrimiento de brechas y el uso de estas herramientas para emprender ataques . es posible que hablemos de este tema más adelante en el blog) . Lo interesante sería saber si las brechas se hubieran descubierto igualmente con alguno de los métodos de descubrimiento internos . en muchos casos, los indicios apuntan a que no habría sido así .

Descubrimiento interno activoel descubrimiento interno activo incluye idS/iPS/HiPS, supervisión de ficheros cronológicos, antivirus y otras tecnologías similares que se emplean para prevenir, detectar y responder a brechas en los datos . el problema es que muchas organizaciones pequeñas no tienen la conciencia, la aptitud, los fondos ni la asistencia técnica necesarias para llevar a cabo estas tareas a la par con la rapidez y sofisticación de las amenazas con las que se enfrentan .

A pesar de esto, aunque las empresas grandes son más adeptas a utilizar estas inversiones en comparación con el grupo de datos global, siguen teniendo dificultades para obtener un rendimiento significativo . en el 8% de las brechas que afectan a organizaciones grandes, el análisis básico de ficheros cronológicos se situó a la cabeza de la lista de medios de descubrimiento interno activo . Como ya sabrán nuestros lectores este es uno de los métodos que más recomendamos, ya que creemos que es más eficaz que casi todos los demás . ¿Cómo lo sabemos? Porque así es como nosotros encontramos la brecha cuando llevamos a cabo una investigación: leyendo los ficheros cronológicos (Figura 46) . A este respecto, siempre hemos pensado que es mejor buscar pajares en vez de agujas . en la página siguiente se trata este tema en más detalle .

figura 46. disposibilidad de evidencia del fichero cronológico por porcentaje de brechas*

84%+ disponible

16%no disponible


54

descubrimiento interno pasivoen el descubrimiento interno pasivo alguien o algo que no es responsable de la seguridad comunica la posibilidad de un incidente . en general, suele ser un empleado que observa algo extraño, como por ejemplo, un sistema que funciona más lentamente de lo normal . Más importante que el hecho de que noten algo extraño es que decidan ACtUAR . nuestros investigadores han descubierto en sus entrevistas que muchas veces se observa actividad anómala en el sistema pero nadie dice nada al respecto . Con frecuencia, el empleado no sabía qué hacer o no pensaba que lo que había notado era importante . Las organizaciones que educan a sus empleados para que reconozcan los signos de un incidente de seguridad y sepan como reaccionar tendrán a su disposición todo un ejército de detectores de incidentes . el año pasado, comparamos esto con una caja de cerveza gratis; esta vez lo hacemos con el regalo de una buena botella de vino .

FIchEroS cronoLógIcoS, agujaS y pajarES, SEgunda partEAlgunos de nuestros lectores recordarán una sección del informe de 2010 titulada "Ficheros cronológicos, agujas y pajares" . nos ha parecido que es un buen momento para presentar la segunda parte .

Con frecuencia empleamos lo que llamamos el método de “Barrio Sésamo”, o "Plaza Sésamo" dependiendo de su país, de descubrir brechas en los datos . Si tiene hijos o ha sido niño alguna vez recordará la canción de Barrio Sésamo "Una de estas cosas no es como las otras" . Como investigadores, a menudo empleamos este método para buscar huellas de un incidente de seguridad . en un momento dado decidimos hacerlo de un modo más inteligente y por eso dejamos de buscar agujas para concentrarnos en los pajares . Si uno de los pajares no es como los otros, ahí es donde hay que ponerse a buscar agujas . A continuación incluimos algunos ejemplos extraídos de nuestros casos .Cuando presentamos los datos siguientes, solemos preguntar a la audiencia si observan alguna anomalía . Cuando la gente termina de reírse, señalamos que el gráfico podría hacerse del tamaño de un sello y seguiría siendo obvio que "una de estas cosas no es como las otras" . el ejemplo siguiente muestra el tamaño del fichero cronológico, pero el mismo gráfico podría servir para otras variables .

existen muchos indicadores de infiltración muy útiles, tales como el recuento de los renglones del fichero cronológico, la longitud de los renglones del fichero cronológico (especialmente útil en SQLi de URi), incrementos marcados en los tipos de tráfico (por ejemplo, ssh, FtP, dnS o cualquier cosa atípica dentro de la organización), la cantidad de eventos, el país de origen de la conexión de iP (o por protocolo), el consumo de ancho de banda y los mensajes de correo electrónico enviados y recibidos . La lista podría seguir hasta el infinito . Lo realmente interesante de este tipo de supervisión es que implementar una solución no cuesta demasiado dinero . Puede hacerse con unos cuantos comandos en un sistema Linux o Windows .

Algo que hay que recordar al analizar el número de eventos es que las alarmas no pueden saltar solo cuando se observa un incremento radical, sino que una reducción puede ser un motivo de alarma aún mayor . el recuento de entradas del fichero cronológico de acceso remoto muestra un gráfico de eventos con varios picos de ingresos y salidas, pero se observa una laguna que nos ayudó a descubrir cuándo se produjo la brecha .

está claro que todo esto es obvio a posteriori, lo que es, al fin y al cabo, uno de los privilegios de nuestro trabajo .

0

5

10

15

20

25

30

35

40

45

2009

/320

09/4

2009

/520

09/6

2009

/720

09/8

2009

/10

2009

/11

2009

/12

2010

/120

10/2

2010

/320

10/4

2010

/520

10/6

2010

/720

10/8

2010

/920

10/1

020

10/1

120

10/1

220

11/1

2011

/220

11/3

2011

/420

11/5

2011

/620

11/7

2011

/820

11/9

Laguna en los ficheros cronológicos

even

tos d

e ing

reso

s/sa

lidas

mes

ficheros cronológicos de acceso remoto

0

100000

200000

300000

400000

500000

600000

700000

800000

9000001000000

1/1/

2010

2/1/

2010

3/1/

2010

4/1/

2010

5/1/

2010

6/1/

2010

7/1/

2010

8/1/

2010

9/1/

2010

10/1

/201

0

11/1

/201

0

12/1

/201

0

1/1/

2011

tamaño del fichero cronológico (bytes)

55

Según estos datos, parece que el vino fluye a borbotones por las organizaciones grandes . Los empleados fueron testigos y comunicaron el 16% de los incidentes . esto tiene sentido ya que las organizaciones de mayor tamaño llevan a cabo más campañas de concienciación sobre la seguridad debido a los requisitos de diversos regímenes de cumplimiento y todos los años llevan a cabo sesiones de formación . en el otro extremo, un dependiente normal no suele notar nada extraño a no ser que le interrumpa su juego favorito en Facebook . Aunque no sea suficiente para impedir que los empleados pulsen en enlaces que no deben y abran archivos adjuntos que no deberían abrir, que sepan cuando algo no anda bien y cómo reaccionar puede servir para que la organización descubra antes los incidentes .

técnicas antiforensesel problema más obvio a la hora de identificar las técnicas antiforenses es si cumplen su cometido con éxito son muy difíciles de detectar . A pesar de todo, nuestros investigadores descubren estas técnicas con frecuencia y siempre que lo hacen toman nota de ello .

en 2011, se observaron técnicas antiforenses en un tercio de los casos de Verizon, igual que en años anteriores . Seguimos pensando que este es un cálculo muy conservador de su prevalencia real . es evidente que estas técnicas varían en naturaleza y propósito, pero todas se concentran en borrar, ocultar o corromper la evidencia de un modo u otro . Algunos ejemplos son borrar o modificar los ficheros cronológicos, cifrar los datos comprometidos para que no sea posible examinarlos y darle la vuelta a la escena del crimen para ocultar el hecho obvio de que el mayordomo mató al Coronel con un candelabro (o algo que se le parezca en el mundo de la seguridad informática) .

es sorprendente observar que las técnicas antiforenses son bastante similares en el caso de organizaciones grandes . Parece que los delincuentes no hacen distinción a la hora de aplicar estas técnicas . La ocultación de la evidencia es tan frecuente en las amenazas APt como en scareware . Timestomping, packing, cifrado: estas técnicas son la regla, no la excepción .

el problema más obvio a la hora de identificar las técnicas antiforenses es que si cumplen su cometido con éxito son muy difíciles de detectar . es evidente que estas técnicas varían en naturaleza y propósito, pero todas se concentran en borrar, ocultar o corromper la evidencia de un modo u otro .

IntroduccIón a La modIFIcacIón dE LaS marcaS dE tIEmpoReconstruir la cronología de los eventos de un sistema es una de las principales tareas de un investigador forense . Modificar toda la línea cronológica, o timestomping, es una de las técnicas antiforenses más populares . todos hemos visto marcas de hora modificadas, accesadas y creadas de manera estándar . Sin embargo, el sistema de archivos ntFS tiene otras marcas de hora asociadas con cada archivo . es imprescindible entender cómo funcionan estas marcas para saber cuándo han sufrido modificaciones .

en ntFS, un archivo es una colección de atributos indexados en una tabla de archivos maestra o MFt . Las marcas de hora que todos conocemos se encuentran en el atributo $StAndARd_inFoRMAtion . en este mismo lugar se encuentra una cuarta marca: la marca de hora modificada de entrada MFt . Puede accederse a las cuatro marcas desde el ntQueryinformationFile de la APi de Windows . Lo más probable es que el código que intenta modificar las marcas de hora vincule con ntSetinformationFile .

otro atributo asociado con un archivo ntFS es el $FiLe_nAMe . este atributo está vinculado a enlaces fijos concretos dentro de un archivo y cada uno lleva su propio grupo de cuatro marcas de hora . A estas marcas no se puede acceder a través de la APi de Windows ni se pueden modificar directamente con ella .

La conclusión es que un atacante con acceso a la APi de Windows tendría suficientes privilegios como para modificar todas las marcas de hora y dejar sin sentido cualquier análisis cronológico . en el mundo real, sería como si un huracán se llevará la escena del crimen . Timestomping no es una derrota definitiva para un investigador con experiencia, pero no hay duda de que representa un importante contratiempo .

56

pcI dssLa norma PCi dSS (Payment Card industry data Security Standard) es un conjunto de requisitos de control creados para proteger a los titulares de tarjetas de pago . todos los años, entre los casos de Verizon se encuentran varias organizaciones que están obligadas a cumplir la PCi dSS . Se trata de víctimas confirmadas de brechas en los datos, por lo que surge la pregunta obvia de si realmente cumplen con la norma . esta sección examina este importante tema desde varias perspectivas .

A la hora de evaluar los datos, es importante ser conscientes de las diversas formas en que se lleva a cabo la validación . Pensemos un momento en el modo en que la mayoría de nosotros da validez a sus vidas . Con frecuencia nos basamos en las decisiones que tomamos y cómo se comparan con las de otras personas, ya se trate de compañeros de trabajo, vecinos o famosos . Muchas veces, esto se traslada a nuestras vidas laborales . A la hora de hablar de la validación del cumplimiento, lo que oímos más es "¿Cómo vamos en comparación con la empresa XYZ?" y "¿Cómo nos comparamos con nuestro sector?" .

Aunque en apariencia esto pueda parecer mera curiosidad es más revelador de lo que parece .

esta necesidad de compararse con los demás es un punto de partida problemático, especialmente cuando la organización tiene en cuenta la respuesta a la hora de crear una estrategia de seguridad de ti . nos quedamos más tranquilos pensando que con ser un poco mejor que los demás contamos con mayor seguridad .

esta sería la escala de "buena, mejor, óptima":

• Buena: "nuestra seguridad es superior a la de gran parte del sector, pero no cumplimos los requisitos de cumplimiento…"

• Mejor: "nuestra seguridad es superior a la de gran parte del sector y además nos atenemos a la letra de los requisitos de cumplimiento…"

• Óptima: "nuestra seguridad es superior a la de gran parte del sector, cumple el espíritu de los requisitos de cumplimiento y evoluciona con el panorama de amenazas…"

¿Qué significa esto con respecto a la PCi dSS? Al observar la figura 47, vemos claramente que el 96% de las víctimas de brechas no cumplían con la norma en su última evaluación, o nunca habían realizado una evaluación/validación . La mayoría de estas organizaciones ni siquiera entran en la categoría de "Buena" . es interesante señalar que este es el porcentaje más alto de falta de cumplimiento en todos los años que llevamos redactando el informe . Aunque puede interpretarse de varios modos, está claro que muy pocas víctimas de brechas entran en la categoría de "Mejor" u "Óptima" .

¿Significa esto que ha fallado la PCi dSS? no creemos que se trate de eso . Si se tratara de un fallo de la PCi dSS, se vería un porcentaje superior de brechas por lo menos en la categoría de "Mejor" y un porcentaje de falta de cumplimiento mucho más bajo . Sin embargo, vemos una tendencia continua por la que más organizaciones en el 96% tienden a ser de tamaño pequeño, lo que supone un giro hacia los comercios de nivel 4 . en muchos casos, estas organizaciones no han llevado a cabo autoevaluaciones o no cumplen uno o más requisitos . Aquí la distinción se encuentra en el hecho de que el comercio no ha realizado la evaluación para alcanzar el cumplimiento con la PCi dSS, no que sea una deficiencia de la norma misma . también es conveniente señalar que aunque Verizon ha investigado una gran cantidad de brechas en organizaciones grandes, en muchos casos los datos comprometidos no incluían datos de PCi, es decir, las brechas en grandes entidades no implican necesariamente el compromiso de datos de PCi a gran escala .

96% no conforme

4% conforme

figura 47. cumplimiento con la pcI dss en la última evaluación*

* Solo casos de Verizon. Basado principalmente en información de los afectados (no les pedimos que lo demuestren).

La mayoría de estas organizaciones ni siquiera entran en la categoría de "Buena" . es interesante señalar que

este es el porcentaje más alto de falta de cumplimiento en todos los años

que llevamos redactando el informe .

57

Si observamos con más detenimiento los requisitos de cumplimiento de la tabla 14, podemos ver que ocho de los 12 no se habían implementado en dos tercios como mínimo de los casos . esto confirma las conclusiones anteriores . Aunque es difícil correlacionar todas las relaciones causa y efecto, en casi todos los casos hemos concluido que esta desviación tan significativa de la PCi dSS y otras normas del sector fue un factor determinante en las brechas .

otro análisis de los datos revela que hay una diferencia obvia en el panorama de cumplimiento de la PCi dSS si se divide el 96% en dos categorías por tamaño: a) todas las empresas del grupo de datos y b) empresas de 1000 empleados como mínimo . La mayoría de los comercios de nivel 4 de los que hablamos anteriormente están muy por debajo de esta cifra de empleados . Si volvemos a las organizaciones grandes podemos ver que la cantidad de requisitos no implementados desciende de ocho a tres . ¿Qué podemos inferir de estos datos?

Posiblemente que las organizaciones de mayor tamaño cumplen más con la normas —o implementan mejores controles fundamentales de seguridad— y por lo tanto están menos expuestas y sufren menos brechas . esto confirma otros datos presentados por el sector de las tarjetas de pago sobre la tasas de cumplimiento de los comercios grandes .

tabla 14. porcentaje de organizaciones relevantes en conformidad con los requisitos pcI dss en base a evaluaciones post-brecha del equipo Ir de verizon*

2011

2008 2009 2010 todas grandesconstruir y mantener una red segura

Requisito 1: instalar y mantener una configuración de cortafuegos para proteger los datos 30% 35% 18% 29% 71%

Requisito 2: no utilizar las contraseñas y otros parámetros de seguridad por omisión de los proveedores de los equipos 49% 30% 33% 42% 86%

datos de los titulares de tarjetasRequisito 3: proteger los datos almacenados 11% 30% 21% 18% 14%Requisito 4: cifrar la transmisión de datos de titulares de tarjetas y otra información confidencial en toda la red pública 68% 90% 89% 89% 86%

mantener un programa de gestión de vulnerabilidadesRequisito 5: emplear y actualizar con regularidad los programas antivirus 62% 53% 47% 23% 86%

Requisito 6: crear y mantener sistemas y aplicaciones seguras 5% 21% 19% 20% 57%

Implementar medidas rigurosas de control de accesoRequisito 7: restringir el acceso a los datos según necesidad 24% 30% 33% 36% 29%

Requisito 8: asignar un identificador exclusivo a cada persona con acceso a sistemas informáticos 19% 35% 26% 20% 57%

Requisito 9: restringir el acceso físico a los datos de los titulares de las tarjetas 43% 58% 65% 73% 100%

supervisar y someter a prueba las redes con regularidad

Requisito 10: efectuar un seguimiento y vigilar el acceso a los recursos de la red y a los datos de los titulares de las tarjetas 5% 30% 11% 11% 43%

Requisito 11: someter a prueba los sistemas y procesos de seguridad con regularidad 14% 25% 19% 6% 33%

mantener directrices de seguridad de la informaciónRequisito 12: mantener directrices sobre seguridad de la información 14% 40% 16% 16% 83%

58

otro fenómeno interesante es el del cuatro por ciento de las víctimas que cumplían con la norma pero sufrieron una brecha . A menudo oímos a las empresas quejarse de que no entienden por qué ha habido una infiltración en su sistema si cumplían con la norma . no nos cansamos de repetir que aunque el cumplimiento ayuda a reforzar la seguridad, no garantiza la seguridad . Creemos que los atacantes tienen una filosofía similar . de hecho, en muchos casos en los que se nos ha dado la oportunidad de participar en entrevistas de la fiscalía hemos descubierto que los hackers no suelen saber a quién atacan, sino que se enteran de la identidad de la víctima después de haber obtenido acceso .

debido al carácter puntual de las evaluaciones de PCi, existe la posibilidad de que una organización que se considera en conformidad en su última auditoría no lo sea en el momento de la brecha . A esto se une que siempre hay cierto grado de variación en cada evaluador .

en general, organizaciones tanto grandes como pequeñas parecen tener más dificultades con los requisitos 3, 7, 10 y 11 . Cuando estudiamos las cifras a lo largo de los años, vemos resultados mixtos en lo que a progreso se refiere:

• Mejora (x5): requisitos 1, 2, 6, 7 y 9• empeoramiento (x4): requisitos 3, 5, 8 y 11• Sin variaciones (x3): requisitos 4, 10 y 12

en un principio podríamos pensar que estas cifras son positivas, ya que hay más requisitos que han mejorado que empeorado . Pero si examinamos la suma de la mejora global (+32%) frente al empeoramiento global (-46%) observamos una diferencia del -14% . La mejora más importante se registra en el requisito 1 (+11%), “instalar y

mantener una configuración de cortafuegos para proteger los datos” . Por otra parte el que más ha empeorado es el requisito 5 (-24%), “emplear y actualizar con regularidad los programas antivirus” .

¿Qué significa esto en lo que respecta a la eficacia de la PCi dSS? en general, la norma pretende establecer un baremo de prácticas esenciales para proteger los datos de las tarjetas . en casi todos los casos estudiados, la brecha tenía algún atributo que podía haberse prevenido si se hubiesen cumplido los requisitos de control . Por supuesto que no existe absoluta seguridad de que los atacantes no hubieran podido superar con tácticas nuevas o diferentes los controles de una entidad en conformidad . Sin embargo, mientras siga habiendo organizaciones con las lagunas que aquí se observan, seguiremos viendo ataques que las aprovechan para infiltrarse en el sistema . Las organizaciones deben continuar intentando alcanzar la mejor postura de seguridad posible . Para la mayoría de ellas, la

PCi dSS es el referente más razonable —además de obligatorio— para medir el progreso .

el impacto de las brechas en los datosno pasa un año sin que alguien nos pregunte por qué el dBiR no contiene información sobre el impacto o las consecuencias de las brechas en los datos . Como bien sabemos no se puede tener contento a todo el mundo . Lo cierto es que no solo entendemos que se lo pregunten, sino que también a nosotros nos interesa tener más información sobre la magnitud de las pérdidas . dedicamos mucho tiempo y palabras a cantar las alabanzas del dBiR para la gestión del riesgo y sin embargo ofrecemos muy poca información en uno de los dos componentes principales del riesgo .21

esta omisión no es por falta de esfuerzo; existen motivos justificados para que el informe no contenga información de impacto . el principal es que la mayoría de las organizaciones se concentran principalmente en apagar los

21 El análisis de factores del riesgo de la información, o FAIR, define el riesgo como "la frecuencia y la magnitud probables de pérdidas futuras". Ver An Introduction to Factor Analysis of Information Risk (FAIR), Risk Management Insight LLC, noviembre de 2006. Las estadísticas del DBIR casi siempre se refieren a la frecuencia de los eventos de pérdida.

A menudo oímos a las empresas quejarse de que no entienden por qué ha habido una infiltración en su sistema si cumplían con la norma . no nos cansamos de repetir que aunque el cumplimiento ayuda a reforzar la seguridad, no garantiza la seguridad .

59

incendios causados por la brecha y quieren volver a sus actividades normales lo antes posible . el proceso de registrar los diversos modos en que gastan dinero y recursos para hacerlo es una preocupación muy distante . Aún después de extinguir todos los incendios y por motivos que no hemos podido concretar, las organizaciones no parecen inclinadas a recopilar datos sobre sus pérdidas . en segundo lugar, las investigaciones consisten en recopilar evidencia para comprobar si se ha producido una infiltración, evaluar la exposición y contener la brecha . nuestro trabajo no es analizar y cuantificar las pérdidas financieras . Aunque en ocasiones tropezamos con este tipo de información, no tenemos suficientes datos para completar el rompecabezas . tampoco trabajamos sobre el terreno el tiempo suficiente después de la brecha como para poder estudiar las consecuencias a largo plazo .

Aunque podríamos publicar los pocos datos que tenemos al respecto, al comienzo tomamos la decisión consciente de no hacerlo . Uno de los aspectos del dBiR que a nosotros, y esperamos que a otros, más nos gusta es que está lleno de información objetiva, creíble y fáctica de principio a fin . Como no recopilamos datos de ese calibre sobre las pérdidas, hasta el momento no pensábamos que tuvieran lugar en el informe .

dicho esto, estamos tan interesados en recopilar y comunicar esta información como algunos de nuestros lectores en conocerla . Sabemos que los detalles que describen los agentes de amenaza, las acciones y las pérdidas junto con las pérdidas financieras son el Santo Grial de nuestro sector . Por este motivo, hemos reconsiderado nuestra decisión y hemos empezado a formular algunas observaciones sobre el impacto tanto durante como después de la investigación . A veces no podemos aportar gran cosa, mientras que otras las conclusiones resultan muy informativas . en 2011, no conseguimos suficiente información como para que esta sea una sección dedicada a las estadísticas, pero podemos darle a conocer estas observaciones .

Aunque algunos de los afectados por brechas de este año calculan sus pérdidas en cientos de millones de dólares, la mayoría sufrió pérdidas mucho más bajas . de hecho, la inmensa mayoría de las víctimas salió bastante indemne de la situación . Aunque seguro que sufrieron muchas molestias y se pasaron una o dos noches sin dormir, pudieron volver al trabajo muy pronto .

Sin duda, en 2011 los datos más fáciles de detectar en lo que respecta al impacto fueron los de pérdidas de respuesta y recuperación, que incluyen la respuesta forense . está claro que en esto no somos imparciales porque no trabajamos gratis . en el caso de las organizaciones grandes, estos gastos no afectan demasiado sus finanzas, pero para las pequeñas pueden resultar abrumadores . Las pérdidas relacionadas con el fraude son bastante frecuentes, lo cual no es sorprendente dada la gran cantidad de brechas en tarjetas de pago e información de identificación . estas oscilaron desde cantidades insignificantes hasta los más de 100 millones de dólares .

Menos frecuentes pero también más sustanciales, fueron los gastos reglamentarios y legales que tuvieron que costear varios afectados . Algunas veces es difícil saber si en realidad se llegan a desembolsar estos costes, pero, como mínimo, las demandas colectivas y otros litigios similares pueden obligar a una empresa a reservar cantidades importantes para este fin .

el daño a la marca, el declive del valor de las acciones y la pérdida de ventaja competitiva siempre son las principales preocupaciones de los ejecutivos cuando se produce una brecha . en la mayoría de los casos, incluso los más graves, estos miedos no están justificados, ya que las brechas no parecen tener un impacto a largo plazo en el valor de las acciones .

Sabemos que los

detalles que describen los agentes de amenaza,

las acciones y las pérdidas junto con las

pérdidas financieras son el Santo Grial de nuestro

sector . Por este motivo, hemos reconsiderado

nuestra decisión y hemos empezado a formular

algunas observaciones sobre el impacto tanto durante como después

de la investigación .

60

Hay que señalar que existen algunas excepciones de las que hemos sido testigos en 2011 . Conocemos cuatro casos por lo menos de empresas que han cerrado como consecuencia en todo o en parte de una brecha . Una de las organizaciones no pudo recuperarse de los daños secundarios que sufrieron sus sistemas de clientes . Las operaciones de otra se depreciaron de tal modo que no les quedó más remedio que abandonar el negocio . Una empresa que había añadido comercio electrónico a su tienda tradicional llegó a la conclusión de que el riesgo era demasiado alto y decidió abandonar sus operaciones electrónicas . otros ejemplos incluyen clientes furibundos, empeoramiento de las relaciones con otras empresas, escrutinio oficial y otras consecuencias negativas . Lo bueno es que estas situaciones son muy poco frecuentes, pero creemos que es importante que no se olvide de que existen .

Además hay que recordar que en ocasiones también sienten el impacto organizaciones que no han sufrido la brecha directamente . en el caso de una brecha en una tarjeta de pago, por ejemplo, los emisores de la tarjeta —los bancos que se la facilitan a sus clientes— pueden verse gravemente afectados si se produce un fraude en las cuentas . estos efectos suelen olvidarse a la hora de hablar de las consecuencias de una brecha .

Queremos concluir esta breve sección, que esperamos poder ampliar en el futuro, con la idea de que siempre merece la pena evaluar el impacto de un incidente . Sabemos que en la mayoría de los casos, a la organización lo único que le preocupa es recuperarse lo antes posible de una brecha en lugar de analizar las consecuencias, pero una crisis también puede convertirse en una valiosa experiencia . no solo puede servir para entender el incidente en cuestión, sino que además los datos derivados pueden contribuir a análisis de riesgo futuro y a mejorar la toma de decisiones .

Las organizaciones que deseen evaluar el impacto de los incidentes pueden utilizar VeRiS . el esquema especifica algunos puntos de datos de referencia que pueden ayudarle con la evaluación . no dude en utilizarlo si piensa que le puede ser útil .

en una época en la que abundan las demandas jurídicas, los investigadores de Verizon que trabajan en la unidad de descubrimiento electrónico han observado que en muchos casos se emprenden acciones legales casi inmediatamente después de una brecha en los datos . Las mejores prácticas dictan que una empresa debe emitir un aviso de conservación de material tan pronto como advierta que existe una posibilidad razonable de que se produzca una demanda . dependiendo de la naturaleza y el tipo de la brecha, esta debería ser el impulso que ponga en marcha el proceso de respuesta de descubrimiento interno . Una vez iniciado este proceso, la organización deberá identificar los custodios y depósitos de los datos, para después emitir el aviso jurídico de conservación seguido de otros procesos necesarios .

el descubrimiento electrónico ha adquirido un papel primordial en el descubrimiento en general . el equipo jurídico y el de ti tienen que saber la capacidad de la organización para responder a litigios o investigaciones . Si ya existen procesos de respuesta de descubrimiento probados y bien definidos se reducirán los costes, el tiempo y el riesgo relacionados con las solicitudes de descubrimiento, junto con el riesgo global de la respuesta a incidentes . Con un proceso empresarial organizado, los abogados corporativos pueden gestionar la naturaleza cada vez más compleja de la respuesta a incidentes y el descubrimiento de una manera sistemática y eficaz .

Con demasiada frecuencia, las organizaciones no cuentan con procesos documentados de descubrimiento electrónico, o no tienen los suficientes, además de no ofrecer formación para los empleados, disponer de tecnología limitada y, lo que es más importante, no contar con ningún apoyo a nivel directivo para responder debidamente a las solicitudes de descubrimiento . Las organizaciones que quieran implementar elementos de mitigación, como coste, riesgo y tiempo de ciclo, deben contar con un programa de respuesta de descubrimiento bien definido, que incluya un plan y un equipo de respuesta de descubrimiento y que pueda invocarse sistemáticamente . Pero antes de crearlo, es fundamental comenzar con una evaluación global y objetiva de las personas, los procesos y las tecnologías asociadas para poder aprovechar lo que ya esté implementado y determinar lo que hace falta implementar .

¿tiene alguna pregunta o comentario sobre el dbIr?escríbanos a [email protected], búsquenos en facebook o publique en twitter con hashtag #dbir .




61

dbIr de 2012: conclusIones y recomendacIoneseste año hemos incluido algo nuevo en esta sección . Pero, siendo fieles a nuestro espíritu ecológico, vamos a reciclar algo que ya dijimos antes:

«Con cada año que pasa, se hace cada vez más difícil redactar una lista de recomendaciones útiles al mismo tiempo que el informe. No es difícil entender por qué: los resultados varían con el tiempo, pero raramente son totalmente nuevos o inesperados. Lo mismo ocurre con las recomendaciones basadas en dichos resultados. Por supuesto que podríamos improvisar y sacar una lista llena de consejos solo para cumplir, pero sabemos muy bien que eso lo puede encontrar en cualquier otra parte. Estamos más interesados en ofrecerle información productiva que en generar una montaña de datos».

Vamos a resumir y reusar parte del material que incluimos en el dBiR suplementario de 2009 y enfocarlo de una manera un poco distinta que pensamos le será útil . Como ya hemos dicho antes, también queríamos producir algo nuevo que dejara poca huella en el planeta y en el papel . Si esto se combina con la energía ahorrada al evitar desplazamientos de los investigadores, transporte de la evidencia e innumerables ciclos informáticos, estas recomendaciones se ganan con creces el título de ecológicas .

Comencemos con algo nuevo . nos hemos dado cuenta de que muchas de las organizaciones de las que trata este informe todavía no entienden lo importante que es la seguridad . Hablamos de las organizaciones que solo tienen uno o unos pocos puntos de venta . el tarjetón recortable de la página siguiente está pensado para ellas y necesitamos su ayuda . Queremos invitarle a recortarlo y entregarlo en restaurantes, comercios, hoteles y otros establecimientos que frecuente . Al hacerlo, nos ayudará a difundir nuestro mensaje de seguridad a los que necesitan oírlo . esto es además una lección que todos necesitamos aprender . estas sugerencias pueden parecer simples, pero nuestra experiencia nos ha enseñado que una gran parte de los problemas de las empresas pequeñas desaparecerían si su adopción fuera más generalizada .

Ahora pasamos a la parte de resumir y reusar que se refiere a las organizaciones grandes, aunque también es aplicable a la pequeña y mediana empresa . Como ya hemos visto a lo largo de este informe, los problemas que afectan a las grandes empresas son un poco distintos a los que afectan a las empresas más pequeñas que aparecen en el informe . tiene sentido que sus soluciones sean también distintas . Por eso en esta sección se adoptan dos enfoques diferentes .

figura 48. coste de las medidas preventivas recomendadas por porcentaje de brechas*


todAS GRAndeS eMPReSAS

3% difíciles y costosas 3% se desconoce

63% sencillas y

económicas

31% intermedias

40% sencillas y

económicas55% intermedias

5% difíciles y costosas

el tarjetón recortable de la página siguiente está pensado para organizaciones pequeñas y necesitamos su ayuda . Queremos invitarle a recortarlo y entregarlo en restaurantes, comercios, hoteles y otros establecimientos que frecuente .

62

Para los que no lo recuerden, el dBiR suplementario de 2009 era como una enciclopedia de las principales acciones de amenaza observadas . Cada entrada incluía una descripción, los agentes de amenaza correspondientes, los activos afectados, los puntos en común, los mitigantes y un caso de éxito . este año, con el fin de facilitar recomendaciones prácticas y relevantes para grandes empresas, hemos redefinido los “indicadores” y los “mitigantes” .

• Indicadores: los signos de alarma y los controles que pueden indicar o detectar que está en marcha o ya se ha producido una acción de amenaza .

• mitigantes: los controles que pueden detener o prevenir acciones de amenaza o ayudar en la recuperación y descubrimiento (contener los daños) después de una brecha .

nuestra recomendación se extrae de la tabla 7, en la sección Los eventos de amenaza, que muestra las diez acciones principales contra organizaciones grandes . en vez de repetir de nuevo toda la lista, resumiremos brevemente los puntos que representan las mayores oportunidades para reducir la exposición colectiva:

• Keyloggers y empleo de credenciales robadas• Puertas traseras y control de comandos• Manipulación indebida• Pretextos• Phishing• Fuerza bruta• inyección SQL

SugErEncIaS dE SEgurIdad para puntoS dE VEntasaludos. alguien le ha entregado este tarjetón porque le gusta su establecimiento. esta persona quiere proteger su negocio, además de su propia información de pago y personal.es fácil pensar que las actividades de los hackers nunca van a afectarle a uno personalmente. pero le sorprenderá saber que la mayoría de los ataques informáticos se dirigen contra empresas pequeñas y que la mayoría podrían evitarse con unos pasos relativamente sencillos. a continuación encontrará algunas sugerencias basadas en investigaciones realizadas por verizon sobre miles de brechas de seguridad que afectan a empresas como la suya con sistemas de punto de venta para tramitar los pagos de sus clientes. si no está claro lo que todo esto significa, le rogamos que le pase esta información a la gerencia.

9cambiar las contraseñas administrativas de todos los sistemas de punto de venta – los hackers recorren Internet en busca de contraseñas fáciles de adivinar.

9 Implementar un cortafuegos o una lista de control de acceso en servicios de acceso y administración remotos – si los hackers no pueden llegar al sistema, les será mucho más complicado robar nada.

después de esto, piense también en lo siguiente:• no utilice el sistema de punto de venta para hacer búsquedas en la web (ni cualquier otra cosa en

Internet).• compruebe que su sistema de punto de venta cumple con la norma pcI dss (pregunte al proveedor).

si un tercero gestiona los sistemas de ventas, le recomendamos que le pregunte si ha tomado las medidas anteriores. siempre que sea posible, obtenga documentación. estas simples medidas le ahorrarán dinero, tiempo y otros problemas con su negocio y sus clientes.para más información, visite www.verizonbusiness.com/es/products/security/dbir.

http://www.verizonbusiness.com/es/Products/security/dbir

63

Hacking: empleo de credenciales robadasdescripción Se refiere a los casos en los que el atacante accede a un sistema o dispositivo protegido con

credenciales válidas pero robadas .Indicadores Presencia de malware en el sistema; análisis de comportamiento de usuarios que indica

anomalías (por ejemplo, hora de entrada al sistema o ubicación de fuente anormal); uso de un banner de última entrada (puede indicar acceso sin autorización); supervisar todas las actividades administrativas o con privilegios .

mitigantes Autenticación de dos factores, cambio de contraseñas cuando se sospeche un robo, reglas de horarios de uso, listas negras de direcciones de iP —se pueden bloquear grandes regiones o bloques de direcciones que no tengan ningún fin empresarial legítimo—; conexiones administrativas restringidas, por ejemplo permitir conexiones solo desde fuentes internas . Para evitar el robo de credenciales, consulte las secciones dedicadas a keyloggers y spyware, pretexto, y phishing .

Malware: puertas traseras, comando y controlHacking: explotar puerta trasera o canal de comando y controldescripción Herramientas que proporcionan acceso remoto y control de los sistemas infectados . Las

puertas traseras y los programas de comando y control son capaces de superar los mecanismos de autenticación y otros controles de seguridad normales y funcionan de manera encubierta .

Indicadores Comportamiento o rendimiento inusual del sistema (varios de los afectados dicen que han visto el cursor navegar por los archivos sin que nadie tocara el ratón); actividad de red anómala; idS/iPS (para versiones no personalizadas); supervisión de registros; supervisión de procesos del sistema; supervisión rutinaria de ficheros cronológicos; presencia de otro malware en el sistema; antivirus desactivado .

durante las investigaciones en las que se sospecha la presencia de malware solemos examinar los procesos de los sistemas activos y creamos una lista de todo el contenido organizado por fecha de creación y modificación . esto suele revelar archivos maliciosos en los directorios temporales Windows\system32 y del usuario .

mitigantes Filtros de salida (estas herramientas operan mediante puertos, protocolos y servicios no habituales); empleo de servidores intermedios para tráfico saliente; listas negras de direcciones de iP —se pueden bloquear grandes regiones o bloques de direcciones que no tengan ningún fin empresarial legítimo—; servicios de detección y protección de host (HidS) o supervisión de integridad; restricción de los derechos administrativos de los usuarios; cortafuegos personales; herramientas de prevención de pérdida de datos (dLP); antivirus y antispyware (aunque una mayor personalización afectaría la eficacia del antivirus; descubrimos una puerta trasera que solo uno de los cuarenta programas antivirus que probamos fue capaz de reconocer); directrices de navegación web .

física: manipulación indebidadescripción La alteración o interferencia con el estado o el funcionamiento normal de un activo . Se

refiere a métodos físicos más que a alteraciones de la configuración del software o del sistema .

Indicadores Mantenimiento del dispositivo no previsto ni programado . Arañazos, restos de adhesivo, perforaciones para cámaras o plantillas sobre el teclado . La manipulación no suele ser obvia; las plantillas de skimmers pueden estar hechas a medida de forma que pasen desapercibidas en el dispositivo, mientras que las manipulaciones internas pueden no ser visibles desde fuera . el sello antimanipulación puede estar roto . en algunos casos puede detectarse y persistir una señal Bluetooth . también hay que tener en cuenta que en muchas ocasiones los skimmers de cajeros automáticos y gasolineras solo permanecen instalados unas horas, no días ni semanas .

64

física: manipulación indebidamitigantes enseñar a los empleados a detectar indicios de manipulación indebida . Las organizaciones

que operan los dispositivos deben inspeccionarlos a lo largo del día, por ejemplo, como parte del cambio de turno . es importante inspeccionar tanto la parte que acepta la tarjeta como el teclado para la clave (ver indicadores) .

establezca un procedimiento para los técnicos de servicio e informe a todo el personal; deberá incluir un método para programar las visitas técnicas y autenticar al técnico o a los proveedores de mantenimiento .

Pida al proveedor prestaciones y tecnología antimanipulación o solo compre puntos de venta y dispositivos de ingreso de clave que ya tengan este tipo de tecnología (por ejemplo, interruptores que pongan la memoria a cero, componentes electrónicos recubiertos de resina de epóxido, etc .) .

Keylogger/Form-grabber/Spywaredescripción Malware diseñado específicamente para recopilar, vigilar y registrar las acciones de los

usuarios . Suele servir para reunir nombres de usuario y contraseñas como parte de un ataque más amplio . también se utiliza para capturar información de tarjetas de pago en dispositivos de punto de venta comprometidos . La mayoría funciona de forma encubierta para que el usuario no sepa que le vigilan .

Indicadores Comportamiento o rendimiento inusual del sistema; actividad de red anómala; idS/iPS (para versiones no personalizadas); supervisión de registros; supervisión de procesos del sistema; supervisión rutinaria de ficheros cronológicos; presencia de otro malware en el sistema; indicios de manipulación física (por ejemplo, un dispositivo ajeno) . Para informarse sobre los indicadores de utilización de credenciales robadas, consulte Hacking: empleo de credenciales robadas.

durante las investigaciones en las que se sospecha la presencia de malware, examinamos los procesos de los sistemas activos y creamos una lista de todo el contenido organizado por fecha de creación y modificación . esto suele revelar archivos maliciosos en los directorios temporales Windows\system32 y del usuario .

mitigantes Limitar los derechos administrativos de los usuarios; uso de Cd autónomos de inicio, contraseñas de un solo uso; antivirus y antispyware; cortafuegos personales, filtros de contenido web y listas de direcciones vetadas; filtros de salida (estas herramientas operan mediante puertos, protocolos y servicios no habituales); servicios de detección y protección de host (HidS) o supervisión de integridad; directrices de navegación web; concienciación sobre la seguridad; segmentación de la red .

pretexto (ingeniería social)descripción Una técnica de ingeniería social por la que el atacante inventa una situación para persuadir,

manipular o engañar a una persona para que haga algo o divulgue información . Como estos ataques se aprovechan de las debilidades humanas, no existe ningún parche capaz de cerrarles el paso .

Indicadores Muy difícil de detectar ya que se aprovecha de los puntos débiles de las personas y no dispara los mecanismos de alarma . Se debe sospechar de comunicaciones poco usuales, solicitudes fuera de lo normal en el trabajo e instrucciones para proporcionar información o hacer algo contrario a las directrices corporativas . Ficheros cronológicos de llamadas; ficheros cronológicos de visitantes; ficheros cronológicos de correo electrónico .

65

pretexto (ingeniería social)mitigantes Concienciar al personal sobre la seguridad en general; definir claramente directrices y

procedimientos; no acostumbrar a los empleados a ignorar las directrices por ignorarlas a nivel oficial; enseñar al personal a reconocer y comunicar intentos de pretexto; verificar solicitudes sospechosas mediante métodos y canales de confianza; impedir el acceso público a los directorios corporativos y fuentes similares de información .

ataques de fuerza brutadescripción Un proceso automatizado que consiste en probar todas las combinaciones posibles de

nombre de usuario y contraseña hasta encontrar la que funciona .Indicadores Supervisión periódica de los ficheros cronológicos; varios intentos fallidos de entrar al

sistema (especialmente los que indican intentos generalizados con varias combinaciones); llamadas al teléfono de asistencia para solicitar el desbloqueo de cuentas .

mitigantes Medios técnicos para hacer cumplir las directrices sobre contraseñas (longitud, complejidad, niveles de inicio de informes (clipping)); bloqueos de cuentas (después de x intentos); intervalos de ingreso de contraseña (throttling) (más tiempo entre intentos fallidos); pruebas de resistencia de las contraseñas; listas de control de acceso; restricciones en las conexiones administrativas (por ejemplo, solo desde fuentes internas específicas); autenticación de dos factores; CAPtCHA .

Inyección de sQldescripción Una inyección de SQL es una técnica que explota la forma en que las páginas web se

comunican con las bases de datos administrativas . el atacante puede inyectar en una base de datos comandos (en forma de declaraciones de SQL construidas especialmente) mediante los campos de entrada de un sitio web .

Indicadores Supervisión periódica de los ficheros cronológicos (especialmente del servidor web y las bases de datos); idS/iPS .

mitigantes Prácticas de desarrollo seguras; validación de entradas (codificación de salidas (escaping) y listas blancas); uso de procedimientos parametrizados o almacenados; menos privilegios para las cuentas de datos; suspensión de servicios innecesarios; refuerzo del sistema; desactivar los mensajes de error de la base de datos para el cliente; exploración de vulnerabilidades de las aplicaciones; pruebas de penetración; cortafuegos de aplicaciones web .

acceso no autorizado mediante credenciales por omisióndescripción Se refiere a los casos en los que un atacante consigue acceder a un sistema o dispositivo

protegido con un nombre de usuario y contraseña preestablecidos, que por consiguiente son conocidos .

Indicadores Análisis de comportamiento de los usuarios (por ejemplo, hora de entrada al sistema o ubicación de origen inusual; supervisión de todas las actividades administrativas/con privilegios (incluidos terceros); banners de última entrada al sistema (puede indicar acceso no autorizado) .

mitigantes Cambiar las credenciales por omisión (antes del lanzamiento); borrar o desactivar la cuenta por omisión; buscar contraseñas por omisión conocidas (después del lanzamiento); rotación de contraseña (porque fomenta el cambio de la contraseña por omisión); inventario de servicios administrativos remotos (especialmente de terceros) . Para terceros: contratos (estipular requisitos para las contraseñas); cambiar las responsabilidades administrativas; buscar contraseñas por omisión conocidas (para activos con asistencia de terceros) .

66

Phishing (y sus variantes)descripción Una técnica de ingeniería social en la que el atacante emplea una comunicación electrónica

fraudulenta (generalmente correo electrónico) para convencer al destinatario de que divulgue información . La mayoría parece provenir de una entidad legítima y lleva contenido que parece auténtico . el ataque suele incorporar una página web fraudulenta junto con el mensaje anzuelo .

Indicadores difícil de detectar debido a su carácter semitécnico y a su habilidad para explotar las debilidades humanas . Comunicaciones no solicitadas o inusuales; instrucciones para facilitar información o hacer algo contrario a las directrices corporativas; solicitudes fuera de lo normal en el trabajo; gramática incorrecta; solicitud de respuesta urgente; ficheros cronológicos de correo electrónico .

mitigantes Concienciar al personal sobre la seguridad en general; definir claramente directrices y procedimientos; no acostumbrar a los empleados a ignorar las directrices por ignorarlas a nivel oficial; directrices sobre el uso del correo electrónico para funciones administrativas (solicitudes de cambio de contraseña, etc .); enseñar al personal a reconocer y comunicar mensajes de phishing; verificar solicitudes sospechosas mediante métodos y canales de confianza; configurar los clientes de correo electrónico para convertir HtML en texto; antispam; verificación y filtro de virus de archivos adjuntos .





67

apéndIce a: examen de las relacIones entre accIones de amenazaeste año vamos a dedicarle más tiempo a analizar las acciones de amenaza de forma más rigurosa . en el informe propiamente dicho, hablamos de las acciones de amenaza de la tabla 7 y de las empresas grandes en la tabla 8, pero queremos ahondar más en este particular . este apéndice analiza las relaciones entre las acciones de amenaza observadas en 2011 .

el examen de sus acciones indica que los agentes de amenaza, como casi todo el mundo, intentan conseguir el mayor beneficio con el menor esfuerzo o inversión posible . Aunque son personas inteligentes capaces de adaptarse, los datos sugieren que son solo lo inteligentes y adaptables que necesitan ser para tener éxito en sus actividades .

Como ya vimos en la figura 18, las acciones de amenaza entran en siete categorías (hacking, malware, social, etc .) y VeRiS también incluye variedades dentro de dichas categoría . Cada incidente involucra una acción de amenaza como mínimo, pero muchos tienen más . La figura 49, una distribución por cantidad de acciones de amenaza por incidente, ilustra este hecho .

Como puede verse, el 29% de las brechas utilizaron una sola acción de amenaza, el 26% dos, etc . observe que más de la mitad consiguieron causar una pérdida con solo una o dos acciones . La cantidad media de acciones por incidente fue de 2,9 en todo el grupo de datos, frente al 2,75 de las organizaciones grandes . esto ya es en sí interesante, pero vamos a profundizar en el análisis para detectar patrones que ayuden a medir el grado de adaptabilidad de los adversarios .

brechas con una sola acción de amenazaLas brechas con una sola acción de amenaza muestran otra faceta de la información que presentamos en el informe (tabla 15) . estas amenazas unidimensionales solo necesitan pasar el nivel de control que se encuentra entre el atacante y los datos . Por ejemplo, el 60% de los ataques de inyección de SQL en 2011, fueron incidentes de un solo evento, lo cual significa que extrajeron datos (o provocaron algún otro tipo de incidente) durante la infiltración inicial y no hicieron nada más . Con frecuencia, los incidentes de un solo evento acaban en segundos o incluso milisegundos .

Lo primero que queremos aclarar es que la tabla 15 no incluye solo los 11 primeros . es toda la lista de incidentes en los que se identificó una sola acción de amenaza . este es un dato bastante esclarecedor; a pesar de que VeRiS especifica más de 150 acciones de amenaza, los 240 incidentes de un solo evento pueden describirse con solo once de ellas . Además, las cinco primeras cubren el 84% de todos los incidentes de una sola acción .

1

29%26%

12%10% 9%

5%8%

0,1% 0% 0,2%

2 3 4 5 6 7 8 9 10+

figura 49. cantidad de acciones de amenaza por brecha

número de acciones

porc

enta

je d

e bre

chas

68

brechas con dos o más acciones de amenazaSi nos concentramos en las brechas con dos o más acciones de amenaza, empiezan a surgir algunos patrones interesantes . Para que los árboles no impidan ver el bosque, hemos creado todos los pares posibles, por ejemplo, una brecha con dos acciones de amenaza crea un par, una brecha con tres acciones de amenaza crea tres pares, cuatro acciones de amenaza son seis pares y así sucesivamente . Con este método se generan alrededor de 4000 pares de acciones de amenaza, de las cuales 281 son únicas . A partir de ahí, creamos la figura 51 que muestra una comparación para brechas en las que ocurrieron dos o más eventos .

Aunque no esperamos que lea los detalles —no le vamos a pedir que se fije en ninguno de los cuadritos amarillos—, lo que esto muestra es que el 96% de las combinaciones está vacío (gris) y solo unas pocas aparecen en color naranja o rojo, lo que indica que ese par se repite con frecuencia . el gráfico nos dice que debemos analizar en más detalle ciertos patrones . Pronto volveremos a hablar de esto en nuestro blog, pero por ahora, veamos lo que revelan los datos .

puesto acción de amenaza categoría todasgrandes

empresas1 explotar credenciales automáticas o fáciles de imaginar Hacking 104 0

2 Manipulación indebida físico 52 5

3 Pretexto (ingeniería social clásica) social 24 3

4 Fuerza bruta y ataques de diccionario Hacking 21 0

5 inyección de SQL Hacking 12 1

6 Abuso de acceso/privilegios del sistema Hacking 12 3

7 Utilizar credenciales robadas Hacking 5 2

8 explotar autenticación insuficiente (p. ej., no se requieren credenciales de ingreso)

Hacking 5 0

9 error de publicación error 3 3

10 Configuración incorrecta error 1 1

11 Malversación, robo de datos de tarjetas y fraudes similares uso indebido 1 0

tabla 15. acciones de amenaza utilizadas en brechas de una sola acción

0 50 100 150 200 250

0%0

20%50

40%100

60%150

80%200

100%250

núm

ero

de in

cide

ntes

pares de acciones de amenaza

probabilidad acumulada

figura 50. distribución acumulada de los pares de acciones de amenaza

69

La zona color azul oscuro de la figura 50 representa las veces que se observó un par dado . Por ejemplo, el par de “malware – keylogger” y “hacking – utilizar credenciales robadas” es el que se empleó con más frecuencia, apareciendo juntos en 252 de los incidentes del informe de este año . esa combinación es la primera línea azul a la izquierda que asciende hasta 252, y los demás pares de acciones van bajando en frecuencia a partir de ahí . La línea azul clara de la figura 50 muestra el porcentaje acumulado de pares (el término técnico es “función de distribución acumulada”) . Puede observarse un descenso bastante obvio alrededor del vigésimo quinto par, lo que indica que lo más productivo es invertir en los 25 primeros pares .

Los datos de la sección siguiente son bastante ilustrativos .

figura 51. pares de acciones de amenaza

MALwArE HACKiNg socIal uso IndebIdo físIca error

MALw

ArEHACKiNg

socIaluso

IndebIdofísIca

error

70

Si seguimos analizando los 25 primeros pares —que como ya mencionamos representan el 81% de los cerca de 4000 pares—, vemos que solo son distintas combinaciones de las ocho acciones de amenaza que en 2011 fueron el pan de cada día de los agentes de amenaza .

Lo que esto significa es que el ciberdelincuente típico utiliza una y otra vez distintas variaciones de un puñado de prácticas: hacking básico combinado con malware . está claro que existe malware intrincado y algunas técnicas de hacking que se salen de la norma, pero en general,

los atacantes solo son lo inteligentes y adaptables que necesitan ser . Si reformulamos la frase anterior podemos ver más claramente el mensaje que debemos extraer de este hecho: los atacantes solo son lo inteligentes y adaptables que noSotRoS LeS oBLiGAMoS A SeR . está claro que como comunidad hasta el momento no les hemos hecho esforzarse mucho .

Los pares de amenaza para grandes empresas cambian en dos aspectos interesantes; recuerde que el grupo de datos es mucho más pequeño para estas organizaciones . en primer lugar, el malware parece ser más prominente y variado; el 40% de las combinaciones de malware (malware-malware) solo aparece en organizaciones grandes . en segundo lugar, los ataques de phishing (en combinación con malware) aparecen en los 25 primeros puestos en tres pares distintos y el 84% de los pares con ingeniería social no se observan en grandes empresas . Finalmente, la lista de pares de grandes empresas presenta una mayor variedad, con solo un 36% de duplicados (frente al 93% de todos los datos) . Aunque esto puede deberse a que las organizaciones grandes obligan a los agentes de amenaza a esforzarse un poco más, lo más probable es que se deba a que una gran parte de los ataques contra empresas pequeñas son automatizados, repetitivos y uniformes .

Pero estas no son todas las conclusiones que pueden extraerse de los datos . de la comparación de la frecuencia con la que ocurre una acción de amenaza frente a la frecuencia con la que se empareja con otras acciones se desprende lo siguiente .

cuando se empleó malware para extraer datos, el 98% del tiempo se emparejó con funciones de registro de teclas. esto indica que la mayoría de los keyloggers transferían la información que recolectaban . 251 incidentes utilizaron esta combinación y de ellos el atacante utilizó credenciales robadas en todos menos ocho; también hicimos el cálculo con grupos de tres acciones de amenaza .

el 98% de las puertas traseras instaladas venían emparejadas con técnicas de explotación. esto no resulta sorprendente ya que el informe solo cubre brechas en las que se sabe que se han perdido datos . Pero sigue siendo un porcentaje importante y demuestra que las puertas traseras no se instalan porque sí, sino que existe una alta probabilidad de que se utilicen, algo que es importante recordar cuando se detectan en una red .

el 73,6% de las personas se creen cualquier afirmación que venga acompañada de una estadística aunque sea inventada. tenemos que confesar que nos hemos inventado esa estadística . Ahora podemos decir que en el dBiR hay una estadística inventada .

el 91% de las 276 brechas que utilizan credenciales robadas también incluían la instalación de keyloggers. Ya hemos apuntado a este dato anteriormente, una cifra que no es sorprendente si se tiene en cuenta que solo se incluyen brechas que consiguen su objetivo . Ahora vamos a tratar de extraer algunas conclusiones de todos estos datos .

malwareKeylogger/Form-grabber/Spyware (capturan datos de actividades de los usuarios)

malware enviar datos a sitios/entidades externasmalware Puerta trasera (permite acceso/control remotos)

malware desactivar o interferir con controles de seguridadhacking explotar credenciales automáticas o fáciles de adivinar

hacking explotar puerta trasera o canal de comando y control

hacking Fuerza bruta y ataques de diccionariohacking Utilizar credenciales robadas

tabla 16. acciones de amenaza de los 25 primeros pares

71

cuando se utilizan credenciales por omisión o fáciles de adivinar (379 incidentes), el 57% de las veces se instaló un keylogger y en el 47% de los casos había una puerta trasera. Pero hay que tener presente que 104 incidentes presentaban como única acción de amenaza el uso de credenciales por omisión .

de las 174 puertas traseras instaladas, el 61% también llevaban un keylogger. esto tampoco es ninguna sorpresa, pero es interesante porque destaca al hecho de que con frecuencia el malware tiene varios propósitos .

Para resumir, aunque muchos de estos datos son todavía provisionales, nos ayudan a orientarnos para estudios futuros y nos permiten sacar algunas lecciones para el presente . Una de ellas es la importancia de hacer que el ataque le sea lo más costoso posible al atacante . estos resultados son más que anecdóticos en lo que se refiere a lo baratas que les salen a los atacantes la mayoría de las brechas . tenemos que hacer algo para cambiar esto . otro aspecto importante es la utilidad de reconocer patrones a la hora de detectar incidentes . Aunque muchas tecnologías de supervisión emplean métodos heurísticos y correspondencia de patrones, la mayor parte de nuestras capacidades de detección dependen de indicios unidimensionales . Cuanto más sepamos sobre los ataques —sus secuencias, comportamientos, relaciones, dependencias, etc .— mejor podremos reconocerlos cuando los tengamos delante de los ojos .

en nuestro blog en inglés (verizon.com/enterprise/securityblog) encontrará otros trabajos como este . esperamos que el próximo año tengamos más oportunidades de profundizar en este tipo de datos .


http://www.verizon.com/enterprise/securityblog




72

apéndIce b: un caso de éxIto del usss de cIberdelIncuencIa IndustrIalIzada a gran escalaen abril de 2008, un investigador de fraudes bancarios se puso en contacto con el Servicio Secreto de estados Unidos (USSS) para comunicarles que varias tarjetas de débito del banco se habían visto comprometidas en la franquicia de un restaurante del área de nueva inglaterra . todas las actividades fraudulentas ocurrieron en europa y empleaban operaciones de ingreso manual y tarjetas de plástico blancas .

Los agentes del Servicio Secreto acudieron a la franquicia y entrevistaron a los dueños, los encargados y varios empleados para intentar entender el proceso que seguían para tramitar tarjetas de crédito, así como quiénes disponían de acceso al sistema de tramitación . Las investigaciones preliminares revelaron que el servidor de punto de venta estaba conectado a internet sin ningún cortafuegos ni programa antivirus entre medias . Además, los empleados podían utilizar el sistema para entrar en internet y leer sus mensajes de correo electrónico . Un análisis del servidor PoS reveló un programa de registro de teclas, que se había utilizado para capturar los datos de las tarjetas de pago . Los datos se extrajeron a través de un servidor propiedad de una empresa de web-hosting en Florida . Por desgracia, la información de entrada al sistema que mantenía esta empresa no era suficiente para asistir en el caso .

Más tarde, un proveedor de tarjetas de crédito se puso en contacto con el Servicio Secreto para informarles de que había habido más actividad fraudulenta relacionada con esta cuenta . esta vez ocurrió en turquía, Bulgaria, Austria y otros lugares de europa . Los indicios indicaban que la infiltración se había producido en otra franquicia del mismo restaurante . el análisis del servidor PoS volvió a descubrir un keylogger, así como herramientas peer-to-peer y de descifrar contraseñas . Un análisis en profundidad del servidor identificó las credenciales como pertenecientes a la misma empresa de web-hosting mencionada anteriormente .

Mientras tanto, los agentes del Servicio Secreto que trabajaban en otra intrusión de PoS similar también habían identificado durante su investigación el mismo servidor y las mismas credenciales . Con estas pruebas, se emitió una orden federal de registro para el servidor y el análisis descubrió otras franquicias infiltradas en estados Unidos .

Más adelante, la empresa que procesaba las tarjetas para toda la franquicia se puso en contacto con el Servicio Secreto . el procesador había investigado una intrusión de punto de venta en una franquicia de Florida y el rastro les había llevado a la ya conocida empresa de web-hosting . el posterior análisis identificó 25 franquicias más que habían sufrido una brecha del mismo atacante con unas credenciales similares a las de los casos mencionados .

Los agentes del Servicio Secreto colaboraron con la sede de franquicias para descubrir el origen y la extensión de la infiltración . el análisis determinó que la red corporativa no se había visto afectada . Parece que los atacantes se infiltraban en cada franquicia a través de servicios de administración remota accesibles desde internet . Una vez obtenido el acceso, se instalaban programas de keylogging para capturar los datos de las tarjetas .

Alrededor de 50 franquicias se habían visto comprometidas y se identificaron varios servidores de FtP con credenciales parecidas en la misma empresa de web-hosting . Al analizar los servidores de FtP se descubrieron intrusiones de PoS en otras compañías .

el equipo CeRt de Carnegie Mellon University llevó a cabo más pesquisas que revelaron que el origen se encontraba en europa del este . el CeRt también descubrió que se habían recuperado archivos de keylogger de una dirección de iP que pertenecía al servidor de una empresa . esta empresa autorizó al Servicio Secreto para que vigilara la actividad del servidor infiltrado . esto llevó a identificar otros servidores de FtP en la misma empresa de web-hosting que habían recibido tráfico parecido al de otros servidores descubiertos anteriormente, junto con credenciales parecidas . el análisis del tráfico en los servidores de FtP y el servidor infiltrado de la empresa privada reveló numerosas conexiones al país de europa del este identificado previamente . también se descubrieron 50 comercios más sin ninguna afiliación con la franquicia con la que se había iniciado la investigación .

73

el tráfico recopilado por el servidor de la empresa privada infiltrada indicaba que solo servía de punto de recolección intermedio . La evidencia extraída de este servidor sirvió para determinar las herramientas, las tácticas, los datos comprometidos y los individuos que atacaban los sistemas de punto de venta en estados Unidos . Se descubrió un juego de herramientas RdP (Remote desktop Protocol) . esta herramienta ejecutaba exploraciones automáticas en una gama de direcciones iP en busca de máquinas con un puerto RdP abierto . Cuando lo encontraban, los atacantes probaban una lista de nombres de usuario y contraseñas o utilizan herramientas para descifrar contraseñas con el fin de obtener acceso al sistema PoS . Además de las herramientas de hacking, se identificaron varios números iCQ, ya que los atacantes entraban al servidor por Remote desktop e iniciaban un cliente de chat iCQ . de esta manera entraban en cuentas de correo electrónico web, chateaban mediante iCQ y extraían archivos a través de los servidores de FtP .

el Servicio Secreto pudo identificar varias cuentas de correo electrónico y conversaciones de chat de los sospechosos . Los agentes pidieron órdenes de registro para estas cuentas y empezaron a crear un marco de trabajo alrededor de este grupo de atacantes . Las conexiones que estos habían establecido al servidor de la empresa privada infiltrada y a cuentas web de correo electrónico se rastrearon hasta el país de europa del este ya identificado . La vigilancia de los servidores de FtP que recibían datos de tarjetas de pago y las tarjetas identificadas a través de las órdenes de registro siguió poniendo al descubierto nuevas empresas afectadas .

Con la asistencia de las oficinas del Servicio Secreto en europa del este y de sus homólogos de otros países, se descubrieron las identidades de los atacantes y los lugares desde los que operaban . Varios de estos individuos ya habían sido objeto de investigación por delitos informáticos en sus países y por lo tanto eran bien conocidos por la policía .

durante el curso de la investigación, se descubrió que se habían visto comprometidas más 112 .000 tarjetas de 163 franquicias de la empresa que inició el caso . Además, alrededor de 800 sistemas informáticos habían sido infiltrados en numerosos hoteles, cines, centros médicos, servidores residenciales, pizzerías, panaderías, cafés y otros negocios pequeños . La investigación puso al descubierto unas pérdidas de 20 millones de dólares .

en mayo de 2011, un tribunal federal de estados Unidos encausó a cuatro sospechosos de europa del este por conspiración para cometer fraude informático, conspiración para cometer fraude electrónico y conspiración para cometer fraude en conexión con dispositivos de acceso .

Se arrestó a tres sospechosos con la colaboración de la policía de europa del este . Los agentes del Servicio Secreto arrestaron a otros dos sospechosos cuando intentaban entrar a estados Unidos . La policía de un país de europa del este arrestó a una tercera persona con una orden de arresto provisional emitida por el departamento de Justicia de estados Unidos y está en espera de extraditación .





74

los contrIbuIdores del dbIr de 2012equipo rIsK de verizonel equipo RiSK (Research, investigation, Solutions, Knowledge) está dedicado a investigar el siempre cambiante entorno del riesgo, a investigar y responder a todo tipo de incidentes de seguridad, a desarrollar soluciones basadas en datos y análisis creíbles y a cultivar el conocimiento dentro de Verizon, entre sus clientes y en la comunidad de la seguridad . el equipo ha adquirido una gran experiencia en más de 1000 investigaciones en los últimos diez años . entre ellas se encuentran algunas de las mayores brechas conocidas . durante estas investigaciones, el equipo colabora con regularidad con organismos oficiales y con la policía de todo el mundo para traspasarles las pruebas recopiladas y sentar las bases del encausamiento de los culpables . La gran cantidad de datos generada durante estas actividades permite trazar las tendencias del delito informático y la infiltración en los datos .

policía federal australianaLos equipos de investigación de operaciones de la ciberdelincuencia (CCo) de la Policía Federal Australiana (AFP) investigan delitos contra las secciones 10 .7 y 10 .8 del código penal de 1995 . estos delitos incluyen infiltraciones informáticas (como por ejemplo, hacking malicioso), la creación y distribución de software malicioso (virus, gusanos, troyanos, etc .) y la obtención o transacción de información personal por medios deshonestos (incluido el robo de identidades) . La AFP aborda estos aspectos del delito de dos formas distintas:1 . La protección de los sistemas del gobierno australiano .2 . La protección de los sistemas de importancia nacional, siendo los principales el sector bancario y el financiero .

La CCo colabora en esta tarea con organismos sectoriales y oficiales . también trabaja estrechamente con la comunidad de inteligencia australiana a través del Centro de operaciones de Ciberseguridad (CSoC) y dado el carácter internacional que tienen con frecuencia los ataques, también colabora con cuerpos policiales de otros países para identificar a los atacantes y mitigar el impacto de sus actividades .

el CSoC aborda el problema desde una perspectiva global que permite entender en su integridad las ciberamenazas y la situación de la seguridad de las redes gubernamentales y otras redes de importancia nacional . también identifica y analiza ataques cibernéticos sofisticados y recomienda medidas y opciones a las administraciones públicas . Además contribuye en la respuesta a eventos cibernéticos que afectan las infraestructuras y los sistemas críticos de gobiernos y empresas privadas .

Los investigadores de este sector se enfrentan a retos muy variados . Los retos legales son complicados pero, a medida que aumenten los casos que se presentan ante los tribunales, se alcanzará un mejor entendimiento y aplicación de la legislación . La CCo ha iniciado un programa docente dirigido al sector jurídico, que ha sido muy bien recibido .

unidad de delitos de alta tecnología de los países bajosLa Unidad de delitos de Alta tecnología de los Países Bajos (nHtCU) es un equipo de la Policía nacional de los Países Bajos dedicado a la investigación de las modalidades más avanzadas de la ciberdelincuencia . La misión del equipo es hacer que su país se convierta en un lugar poco hospitalario para el ciberdelito . Sus actividades se extienden al uso de la infraestructura nacional en actividades delictivas .

el equipo se especializa en utilizar métodos y técnicas de investigación para encontrar a los principales responsables en la cadena delictiva . el equipo cuenta con excelentes contactos en norteamérica y europa occidental y oriental, y con frecuencia sirve de conexión entre las unidades de alta tecnología de distintos países .

otra de las claves de su éxito es la cooperación con socios públicos y privados, con los que comparte información libremente e implementa estrategias conjuntas . Un ejemplo de dicha cooperación es el caso Bredolab . La nHtCU formó recientemente el equipo de trabajo para delitos electrónicos de los Países Bajos, un nuevo esfuerzo de colaboración con socios financieros y de otros sectores que servirá para institucionalizar la cooperación entre la parte privada y la pública como medio de combatir ciertos tipos de delitos cibernéticos .

75

servicio de seguridad de la Información e Informes de IrlandaLa economía de irlanda ha crecido de forma acelerada durante la última década, gracias en gran parte al incremento en el uso de la tecnología . La tecnología de la información e internet han permitido que consumidores y empresas por igual accedan y presten servicios con facilidad, creen y accedan a nuevos mercados, intercambien información rápidamente y tramiten información de un modo más eficiente . no obstante, esta dependencia cada vez mayor en la tecnología conlleva riesgos y amenazas innumerables que si no se abordan a tiempo pueden tener un impacto muy negativo en las personas y empresas, y en toda la economía irlandesa . de igual forma que empresas y consumidores han encontrado formas legítimas de utilizar internet, existen muchos otros que la emplean con fines nefastos, en actividades delictivas, ilegales, terroristas y de espionaje industrial y nacional .

el Servicio de Seguridad de la información e informes de irlanda (iRiSSCeRt) es el primer equipo de respuesta informática de emergencia de este país . el iRiSSCeRt es una empresa independiente de responsabilidad limitada sin ánimo de lucro fundada en 2008 . nuestro objetivo es ofrecer una amplia gama de servicios de seguridad de la información de calidad para ayudar a las organizaciones y ciudadanos de irlanda a proteger sus instalaciones y servicios de tecnología de la información . Para conseguirlo, prestamos servicios de alerta sobre amenazas actuales y potenciales contra la seguridad, ofrecemos recomendaciones sobre estrategias de prevención, respuesta y mitigación, y proporcionamos servicios de gestión y coordinación para organizaciones nacionales e internacionales .

estos servicios están a cargo de un grupo dedicado de expertos en el campo de la seguridad de la información, que trabajan de forma gratuita para la comunidad irlandesa de internet, con el fin de que las empresas del país protejan mejor sus sistemas de información y convertir internet es un espacio seguro para todos .

Para más información, visite https://www.iriss.ie/iriss/rfc_2350.htm o si desea comunicar un incidente envíe un mensaje a [email protected] .

unidad central de delitos InformáticosLa Unidad Central de delitos informáticos (PCeU) fue creada en septiembre de 2008 como parte de la unidad de delitos informáticos de la Policía Metropolitana en Scotland Yard, con la misión de combatir los delitos cibernéticos más graves para “crear un entorno informático online y en red seguro que fomente la confianza en el Reino Unido como lugar seguro para vivir y hacer negocios”.

Los primeros éxitos demostraron que una respuesta rápida y la cooperación entre socios a través de una fuerza de trabajo virtual eran de vital importancia para combatir la ciberdelincuencia y limitar los daños que podía causar .

Como consecuencia de la evaluación de Seguridad de defensa estratégica del Gobierno Británico, en octubre de 2010, se catalogó el ciberdelito como amenaza de primer nivel; por este motivo el Programa nacional de delitos electrónicos y la PCeU han conseguido fondos para mejorar la respuesta policial a este tipo de incidentes mediante el desarrollo de capacidades en la policía de inglaterra, Gales e irlanda del norte .

Hoy en día, la PCeU tiene una trayectoria probada con multitud de operaciones de éxito . Ha crecido en tamaño y reputación hasta convertirse en un elemento dinámico y dedicado en la lucha contra la ciberdelincuencia . La PCeU ha demostrado que la intervención oportuna y la cooperación entre socios son capaces de reducir los perjuicios financieros que puede sufrir un país, como lo demuestran unos ahorros de 140 millones de libras esterlinas conseguidos entre abril y octubre de 2011 .

en febrero de 2012, se inauguraron tres oficinas regionales de la PCeU como parte del mandato del programa nacional de delitos electrónicos de crear especialistas y recursos en todo el país . este verano, la PCeU, en colaboración con otros cuerpos de policía, será responsable de la seguridad informática de los Juegos olímpicos de Londres .

https://www.iriss.ie/iriss/RFC_2350.htm

mailto:info%40iriss.ie?subject=

76

servicio secreto de estados unidosComo primer guardián del sistema de pagos financieros de estados Unidos, el Servicio Secreto de estados Unidos cuenta con una amplia trayectoria a la hora de proteger a los consumidores, empresas e instituciones financieras de este país . durante los últimos 145 años, nuestra misión y autoridad legal se ido ampliando, y hoy en día el Servicio Secreto ha merecido reconocimiento internacional por su enfoque experto e innovador hacia la detección, investigación y prevención del fraude financiero y cibernético .

La economía global de hoy en día ha simplificado el comercio tanto para empresas como para consumidores . Las instituciones y los sistemas financieros son accesibles desde cualquier parte del mundo . el fraude financiero y el delito financiero se han adaptado a la nueva modalidad de comercio y buscan explotar esta dependencia en la tecnología de la información . Los ciberdelincuentes son expertos en robar datos almacenados, datos en tránsito y datos cifrados . Actúan aprovechándose de la confianza, sus relaciones con otros delincuentes, un alto nivel de seguridad operativa y un enfoque sistemático . en la última década han evolucionado de tal manera que se han convertido en un grupo ajeno al estado, transnacional y casi imposible de infiltrar debido a su carácter dinámico y a su seguridad operativa .

Para combatir estas amenazas emergentes, el Servicio Secreto ha adoptado un enfoque multifacético en la lucha contra el crimen cibernético e informático con la ayuda de una red de 32 grupos de trabajo de delitos electrónicos (eCtF), incluidos dos grupos internacionales situados en Roma y Londres, 38 grupos de trabajo de delitos financieros (FCtF) y una rama de investigaciones cibernéticas . esto permite detectar, prevenir e investigar delitos electrónicos, incluidos los ataques contra infraestructuras críticas y sistemas financieros del país .

Para más información o para comunicar una brecha en los datos, acuda a la oficina local del Servicio Secreto en www.secretservice.gov .


http://www.secretservice.gov




INFORME SOBRE INVESTIGACIONES DE BRECHASEN LOS DATOS DE 2012

Un estudio llevado a cabo por el equipo RISK de Verizon con la cooperación de la Policía Federal Australiana, la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos, el Servicio de

Seguridad de la Información e Informes de Irlanda, la Unidad Central de Delitos Informáticos de la Policía Metropolitana de Londres y el Servicio Secreto de Estados Unidos.

78

verizon.com/enterprise/es© 2012 Verizon. Todos los derechos reservados. MC15244 ES 03/12. Los nombres y logotipos de Verizon y Verizon Business, además de todos los demás nombres, logotipos y lemas que identican los productos y servicios de Verizon, son marcas comerciales o registradas de Verizon Trademark Services LLC o sus filiales en Estados Unidos y otros países. Todas las demás marcas comerciales o de servicio son propiedad de sus dueños respectivos.

http://www.verizon.com/enterprise/es

informe sobre investigaciones de brechas en los … · 2 resumen ejecutivo el año 2011 pasará a...

Documents