la evolución del malware y el panorama de las amenazas: estudio
TRANSCRIPT
La evolución del malware y el
panorama de las amenazas:
estudio de una década
Informe de inteligencia de seguridad de Microsoft: Edición especial
Febrero de 2012
ii
INFORME DE INTELIGENCIA DE SEGURIDAD DE MICROSOFT: EDICIÓN ESPECIAL
Este documento se publica exclusivamente a título informativo. MICROSOFT NO GARANTIZA,
NI EXPLÍCITA, NI IMPLÍCITA NI LEGALMENTE, LA INFORMACIÓN CONTENIDA EN EL PRESENTE
DOCUMENTO.
Este documento se presenta “tal cual”. La información y las opiniones contenidas en el mismo,
incluyendo las direcciones URL y otras referencias a sitios web de Internet, pueden cambiar sin
previo aviso. El lector asume el riesgo de utilizarlo.
Copyright © 2012 Microsoft Corporation. Todos los derechos reservados.
Los nombres de las empresas y productos reales aquí mencionados pueden ser marcas comerciales
de sus respectivos titulares.
Autores y colaboradores
BILL BARLOWE: Centro de respuestas de seguridad de Microsoft
JOE BLACKBIRD: Centro de protección contra malware de Microsoft
WEIJUAN SHI DAVIS: consumidor de administración de productos de Windows
JOE FAULHABER: Centro de protección contra malware de Microsoft
HEATHER GOUDEY: Centro de protección contra malware de Microsoft
PAUL HENRY: Wadeware LLC
JEFF JONES: Informática de confianza de Microsoft
JIMMY KUO: Centro de protección contra malware de Microsoft
MARC LAURICELLA: Informática de confianza de Microsoft
KEN MALCOMSON: Informática de confianza de Microsoft
NAM NG: Informática de confianza de Microsoft
HILDA LARINA RAGRAGIO: Centro de protección contra malware de Microsoft
TIM RAINS: Informática de confianza de Microsoft
ELIZABETH SCOTT: Centro de respuestas de seguridad de Microsoft
JASMINE SESSO: Centro de protección contra malware de Microsoft
JOANNA SHARPE: Informática de confianza de Microsoft
FRANK SIMORJAY: Informática de confianza de Microsoft
HOLLY STEWART: Centro de protección contra malware de Microsoft
STEVE WACKER: Wadeware LLC
En memoria de TAREQ SAADE
iii
iii
Contenido Prólogo ................................................................................................................................. v
Alcance ............................................................................................................................. v
Período del informe ......................................................................................................... v
Convenciones ................................................................................................................... v
Introducción ........................................................................................................................ 1
La informática personal en 2002 y en la actualidad ........................................................... 2
PCs ................................................................................................................................... 2
Informática móvil ............................................................................................................ 2
Servicios en línea (precursores de la nube) .................................................................... 3
Los orígenes del malware ................................................................................................... 4
Informática de confianza de Microsoft ............................................................................... 6
2002-2003 ....................................................................................................................... 7
2004 ................................................................................................................................ 8
La criminalización del malware ....................................................................................... 8
2005 ................................................................................................................................ 8
Vulnerabilidades ............................................................................................................... 11
Un década de maduración ............................................................................................ 11
Divulgación de las vulnerabilidades del sector ............................................................. 12
Gravedad de las vulnerabilidades ................................................................................. 13
Divulgaciones de hardware y software ......................................................................... 15
Divulgación de vulnerabilidades del sistema operativo ............................................... 16
Divulgación de vulnerabilidades de aplicaciones ......................................................... 17
Tendencias de las vulnerabilidades y boletines de seguridad .......................................... 18
El estado del malware en la actualidad ............................................................................ 22
Tendencias del malware y software potencialmente no deseado ................................... 24
Evolución de las amenazas a lo largo del tiempo ......................................................... 24
Diferentes amenazas en diferentes momentos ........................................................... 28
iv
Categorías de amenazas por ubicación ............................................................................ 32
Inteligencia de seguridad de 2011 ................................................................................ 32
Lecciones aprendidas de los países o regiones menos infectados ............................... 35
Windows Update y Microsoft Update .............................................................................. 37
Conclusión ......................................................................................................................... 39
Apéndice A: Tecnologías de protección de equipos y mitigación .................................... 40
Apéndice B: Familias de amenazas mencionadas en este informe .................................. 41
v
v
Prólogo
Alcance
El Informe de inteligencia de seguridad de Microsoft (SIR) se centra en las vulnerabilidades
del software, los ataques a las vulnerabilidades del software y el software malintencionado
y potencialmente no deseado. Los informes anteriores y recursos relacionados se encuentran
disponibles para su descarga en www.microsoft.com/sir. Confiamos en que los datos, ideas
y pautas de esta edición especial del informe SIR resulten útiles para los lectores a la hora
de proteger sus organizaciones, software y usuarios.
Período del informe
Esta edición especial del informe SIR proporciona un compendio de información de los
10 últimos años. Siempre que es posible, en el informe se incluyen datos de tendencias
de un período completo de 10 años; en caso de que los datos de este período completo
de 10 años no estén disponibles, se proporcionan datos de períodos más cortos. En general,
como puede haber muchas discrepancias en los datos sobre las vulnerabilidades de un
trimestre a otro y las vulnerabilidades se suelen producir mayoritariamente en determinadas
épocas del año, las estadísticas sobre la divulgación de vulnerabilidades se presentan
semestralmente, como en los volúmenes recientes del informe SIR.
En todo el informe, se hace referencia a los períodos semestrales y trimestrales con el
formato nSaa o nTaa, respectivamente, donde aa indica el año natural y n indica el semestre
o el trimestre. Por ejemplo, 1S11 representa la primera mitad de 2011 (del 1 de enero al
30 de junio) y 2T11 representa el segundo trimestre de 2011 (del 1 de abril al 30 de junio).
Para evitar confusiones, tenga en cuenta el período o los períodos del informe a los que
se hace referencia cuando considere las estadísticas de este informe.
Convenciones
En este informe se usan las normas de nomenclatura del Centro de protección contra
malware de Microsoft (MMPC) para las familias y variantes de malware y software
potencialmente no deseado. Para obtener más información sobre esta norma, consulte
la página Normas de nomenclatura del Centro de protección contra malware de Microsoft
(en inglés) en el sitio web de MMPC.
Introducción
A medida que se ha ido extendiendo el alcance de Internet en los 10 últimos años, el malware
(software malintencionado) ha evolucionado y ha adquirido mayor complejidad. Las primeras
formas de malware pretendían generar ataques molestos de gran visibilidad, pero hoy en día
su objetivo es mucho más pernicioso y se centra en el robo y otras actividades ilícitas. El malware
es una preocupación cada vez mayor para las organizaciones, y aunque la conectividad a Internet
fue una excepción a la norma para muchas organizaciones antes de 2002, a partir de la primera
década del siglo XXI pasó rápidamente a formar parte de la norma.
En la actualidad, además de a los equipos individuales y a las redes de organizaciones grandes
y pequeñas, la conectividad a Internet se extiende también a dispositivos como videoconsolas
y smartphones. Y conforme cambian los paradigmas de la informática, cada vez es más difícil
proteger del malware a las organizaciones, los gobiernos y los ciudadanos.
Informática de confianza de Microsoft, establecida en 2002, publica el Informe de inteligencia
de seguridad de Microsoft (SIR) para ayudar a los clientes y a otras partes interesadas a
mantenerse informados sobre este panorama de amenazas en continuo cambio. El informe
SIR proporciona un análisis exhaustivo de las amenazas en todo el mundo.
2
La informática personal en 2002 y en la actualidad
A pesar del malware y otros nuevos desafíos importantes, los usuarios de los equipos
informáticos han seguido disfrutando de las ventajas de la innovación tecnológica en los
10 últimos años. En este apartado se presenta un retrato histórico básico del estado de la
informática en 2002 y el estado actual en 2012 en tres áreas: los equipos personales (PCs),
la informática móvil y los servicios en línea, los precursores de la nube.
PCs
En 2002, la CPU de los equipos usaba una arquitectura de un solo núcleo y acababa
de sobrepasar los 2,0 GHz de velocidad de procesamiento. Windows XP, comercializado
a finales de 2001, requería 64 MB de RAM, aunque se recomendaban 128 MB; 512 MB era
una configuración bastante común. Las unidades de disco duro tenían un tamaño de hasta
120 GB y los monitores LCD iban ganando cada vez más popularidad. La conectividad USB
de los dispositivos periféricos estaba altamente extendida, y la especificación USB 2.0 mucho
más rápida acababa de ser ratificada y, por tanto, aún no estaba disponible.
A principios de 2012, las CPU de varios núcleos están generalizadas y la velocidad ha
sobrepasado la marca de los 4.0 GHz, es decir, una velocidad varias veces mayor que la de
los sistemas disponibles en 2002. Windows 7, publicado en 2009, requiere 1 GB de RAM, aunque
se recomiendan 2 GB. El tamaño de las unidades de disco duro típicas abarca desde 600 GB, cinco
veces más que en 2002, hasta 1 TB o más. Es posible obtener un monitor de 23 pulgadas por
menos de 200 USD en Estados Unidos, y los monitores basados en la tecnología LED (una mejora
con respecto a la tecnología LCD anterior) están disponibles al público en general. USB 3.0
es la nueva tecnología de conectividad, pero USB 2.0 sigue siendo el estándar más utilizado.
Informática móvil
En 2002, las CPU de los portátiles más rápidos apenas habían superado la marca de los 1,0 GHz.
512 MB de RAM era una configuración común, junto con una unidad de disco duro de 20 a
30 GB. La combinación de unidades de DVD/CD-RW aún era muy poco común, y las unidades
de CD-ROM seguían siendo la norma. La calidad de sonido y las pantallas de alta definición
(HD) no eran más que un sueño, y los smartphones no surgieron hasta 2005.
3
3
En 2012, las CPU de los portátiles son tres veces más rápidas que las disponibles en 2002;
las velocidades de reloj de más de 3,0 GHz están al alcance de todos. En general, la cantidad
de RAM disponibles es de 2 GB a 4 GB (de cuatro a ocho veces más que la disponible en 2002),
pero los portátiles de gama alta ofrecen hasta 8 GB. Las unidades de disco duro típicas abarcan de
500 GB de 600 GB, un tamaño casi 25 veces superior al de las unidades para portátiles disponibles
en 2002, y las unidades de disco duro de estado sólido son mucho más rápidas. Las pantallas de
alta definición con cámaras web incorporadas y tecnología de reconocimiento facial (en lugar
de contraseñas) ya son una realidad. Las unidades DVD/RW son el estándar, y muchas de ellas
admiten la tecnología Blu-ray Disc para la reproducción de vídeo. Sin embargo, en algunos
modelos, estos accesorios han sido sacrificados para crear portátiles muy delgados y ligeros.
Las opciones de audio de alta calidad son también cada vez más comunes.
Los estándares de velocidad de transmisión de datos Ethernet han seguido evolucionando.
Gigabit Ethernet, que admite una velocidad de transmisión de datos de 1.000 megabits por
segundo (Mbps), empezó a generalizarse durante la década, y 10 Gigabit Ethernet ha sido
certificado como estándar por el Instituto de Ingeniería Eléctrica y Electrónica (IEEE). Sin embargo,
estos estándares se aplican a las conexiones de cable de cobre, cable coaxial y fibra óptica.
La proliferación generalizada de la conectividad de red inalámbrica, que conforma el número
creciente de dispositivos móviles disponibles en la actualidad, también se produjo durante
el período de 2002–2012. En 2012, tanto los equipos de escritorio como los portátiles
ofrecen normalmente opciones de conectividad con cable e inalámbrica.
Servicios en línea (precursores de la nube)
Desde el punto de vista del consumidor, en 2002 los clientes disponían de una serie de servicios de
pago en línea. Estos servicios contribuyeron al crecimiento de los sitios de comercio por Internet
(comercio electrónico o “e-commerce”) como Amazon.com y eBay, que llevaban operando desde
1995. El comercio electrónico experimentó una explosión de popularidad entre 2002 y 2012.
Durante esta década, se produjo un fenómeno importante que tuvo un efecto considerable en la
cultura popular y en la industria del entretenimiento. Cuando la música y el vídeo empezaron a
estar disponibles como archivos informáticos digitalizados, también empezaron a compartirse a
través de Internet. Napster, posiblemente el servicio para compartir archivos más popular, surgió
en 1999 y cesó sus actividades en julio de 2001. Sin embargo, surgieron y se popularizaron otros
modelos para compartir archivos.
4
El crecimiento de Internet y la nueva disponibilidad de la conectividad de banda ancha
dieron lugar también al nacimiento de servicios en línea como Rhapsody, el primer servicio
de suscripción musical a petición de transmisión por secuencias por una cuota mensual, que
se lanzó en diciembre de 2001.
Aunque el concepto de informática en nube hacía tiempo que existía, los primeros servicios
de informática en nube empezaron a estar comercialmente disponibles en 2002. Desde entonces,
han surgido opciones más flexibles que han convertido la informática en nube en un servicio más
atractivo y viable para las organizaciones grandes y pequeñas, además de para los particulares.
Las arquitecturas de informática en nube incluyen actualmente la infraestructura como servicio
(IaaS), que proporciona componentes como conexión en red y almacenamiento; la plataforma
como servicio (PaaS), que proporciona una plataforma como una base de datos o un servidor
web para ejecutar aplicaciones; y el software como servicio (SaaS), que proporciona una
aplicación o solución de software como un servicio final y completo.
En 2012, existe un amplio consenso en cuanto a la probabilidad de que la informática en nube
se convierta en el siguiente paradigma importante en el campo de la informática. La tecnología
está ganando aceptación en muchas organizaciones, y los modelos de informática en nube siguen
evolucionando.
Los orígenes del malware
El malware se dio a conocer a muchos usuarios de equipos a través de las infecciones
generalizadas causadas por Melissa (en 1999) y LoveLetter (en 2000). Ambos se basaban en
el correo electrónico, y LoveLetter se propagó a través de datos adjuntos de correo electrónico
infectados. Cuando se abría el documento adjunto, el malware sobrescribía una serie de tipos
de archivos diferentes en el equipo del usuario y se enviaba a sí mismo por correo electrónico
a otras personas de la libreta de direcciones del usuario.
LoveLetter se convirtió rápidamente en el incidente más costoso de su clase en ese momento.
A pesar de los daños causados por Melissa y LoveLetter, podría aducirse que estas infecciones
tuvieron tres efectos positivos: hicieron que el malware informático fuera sometido a controles
más estrictos; aumentaron la sensibilización social sobre el malware informático (gracias a la
presión social de muchos destinatarios del mensaje enfadados); y recalcaron la importancia
de las copias de seguridad (ya que LoveLetter sobrescribía archivos que se perdían si no se
disponía de copias de seguridad).
5
5
En 2001, salió a la luz una amenaza de malware más artera y directa: malware que podía
propagarse sin la interacción humana. Una forma de este malware fue un gusano, conocido
como Code Red, que se publicó en Internet en julio de 2001 y que atacaba a los servidores que
ejecutaban Microsoft Internet Information Services (IIS). Aunque se habían detectado gusanos
desde al menos 1988, Code Red fue considerado por los investigadores del Centro de protección
contra malware de Microsoft (MMPC) el ejemplo perfecto de un gusano porque no contenía
componentes de archivo. Code Red tenía que detectarse en tránsito o en la memoria de un
equipo infectado; en ese momento, los productos antimalware de escritorio tradicionales
que buscaban malware basado en archivos no eran capaces de detectarlo.
Code Red se propagaba a través del puerto TCP 80, el mismo canal que se utiliza normalmente
para las consultas web por Internet, por lo que fue necesario proteger los servidores web de
tales ataques. Sin embargo, otros equipos requerían acceso al puerto 80 para la funcionalidad
del explorador web. Es posible que Code Red no causara tanto daño como LoveLetter, aunque
es difícil afirmarlo ya que algunos equipos infectados con Code Red fueron infectados
seguidamente por Win32/Nimda, que también se propagaba a través del puerto TCP 80.
Win32/Nimda era lo que algunos llamaron un cóctel de malware o una amenaza combinada,
el inicio de una tendencia en el desarrollo de malware que continúa hoy en día. Usaba al
menos cinco vectores de ataque distintos, incluido el uso de las “puertas traseras” dejadas por
el malware anterior. Como se siguió de cerca la pista de este malware, no hubo mucho tiempo
para su desarrollo. Por eso existe la opinión generalizada de que Win32/Nimda fue desarrollado
por un equipo de personas y no solo por un codificador de malware en solitario.
Independientemente de quien lo creara, Win32/Nimda demostró que si los equipos conectados
en red no están protegidos pueden ser requisados y usados contra sus propietarios en cuestión de
horas o incluso de minutos. Win32/Nimda se adueñó de cientos de miles de equipos, muchos de los
cuales operaban en sitios web conocidos y servidores de correo de empresas medianas y grandes.
En total, fueron infectados más de 50.000 sitios importantes de Internet. Y más de una persona
observó que Win32/Nimda salió a la luz el 18 de septiembre, justo una semana después del ataque
terrorista del 11 de septiembre de 2001, un hecho que inquietó a muchos expertos en seguridad.
6
Asimismo, 2001 contempló el nacimiento del malware desde mensajes de correo electrónico que
parecían inofensivos. Este tipo de malware provenía de mensajes que no tenían código ni archivos
adjuntos: usaban direcciones URL en su lugar. Estos mensajes empleaban tácticas de ingeniería
social para tentar a los usuarios a que hicieran clic en las direcciones URL, que los conectaban a
sitios web programados con ataques diseñados para realizar acciones no deseables en sus equipos.
2001 también vio la aparición de Win32/Sircam, el primer malware de amplia difusión que extraía
información de los equipos, aunque no se sabe con seguridad si esa era su intención. Sin embargo,
el itinerario privado del Presidente de Ucrania se hizo público inesperadamente como resultado
de una infección de Win32/Sircam.
Informática de confianza de Microsoft
El 15 de enero de 2002, el presidente de la junta directiva de Microsoft, Bill Gates, envió un
memorando a los empleados a tiempo completo de Microsoft y sus filiales. En este memorando se
proponía un cambio fundamental en el enfoque de la empresa hacia un componente central de su
negocio: un concepto denominado Informática de confianza (“Trustworthy Computing” o “TwC”).
TwC es el compromiso de Microsoft de proporcionar una experiencia informática más segura,
privada y confiable basada en prácticas empresariales responsables. La mayor parte del análisis
publicado por TwC en el informe SIR proviene de tres centros de seguridad, el Centro de protección
contra malware de Microsoft (MMPC), el Centro de respuestas de seguridad de Microsoft (MSRC)
y el Centro de ingeniería de seguridad de Microsoft (MSEC), que analizan en profundidad las
amenazas, y proporcionan documentación sobre la seguridad. Otra información proviene de
los grupos de productos de Microsoft y Microsoft IT (MSIT), el grupo que administra los servicios
de TI globales de Microsoft. El informe SIR tiene como objetivo proporcionar a los clientes de
Microsoft, a los partners y a la industria del software un conocimiento completo del panorama de
ataques informáticos para ayudarles a protegerse a sí mismos y a sus activos de los actos delictivos.
7
7
En la siguiente ilustración se muestran las acciones y los hitos importantes durante los cinco primeros
años de la existencia de TwC, además de algunos eventos importantes relacionados con el malware.
Ilustración 1. Eventos e hitos importantes en el panorama de ataques informáticos desde 2002 hasta 2006
2002-2003
La era del malware de envío masivo de correo electrónico que comenzó con Melissa y
LoveLetter se extendió hasta el período de 2002-2003 y causó un aumento importante en el
volumen de correo no deseado. Gran parte de este malware usaba macros y funciones de scripting
de Microsoft Visual Basic. La mayoría de este malware se combatió mediante las características de
seguridad de la versión de Microsoft Office XP de Microsoft Excel y la versión de Office 2003 de
Microsoft Word, cuando estos programas adoptaron el formato XML para sus archivos de datos.
En 2003, Microsoft inició su proceso mensual periódico de emisión de actualizaciones de
seguridad, que continúa en la actualidad. Microsoft inició este programa para proporcionar con
regularidad actualizaciones a los clientes en el momento oportuno. Algunas actualizaciones están
relacionadas con la seguridad, pero no todas. Las actualizaciones de seguridad se proporcionan el
segundo martes de cada mes, y las actualizaciones opcionales y las que no están relacionadas con
la seguridad se proporcionan el cuarto martes de cada mes.
8
2004
Microsoft lanzó Windows XP Service Pack 2 (SP2) en 2004, que contenía un gran número
de actualizaciones y mejoras en materia de seguridad. SP2 fue el resultado de un esfuerzo
considerable por parte de los desarrolladores y expertos en seguridad de Microsoft. Fue quizás
la indicación más evidente de Microsoft en ese momento de la seriedad con la que la empresa
trataba el problema creciente del malware a través de la conectividad global de Internet. SP2
fue un logro importante y un hito en el camino seguido por Microsoft y el resto del sector para
proteger de los criminales a los usuarios de la tecnología.
2004 también fue el año en que surgió el primer malware importante con ánimo de lucro.
La familia de gusanos de envío masivo de correo electrónico Win32/Mydoom creó uno de
los primeros ejemplos de un botnet, un conjunto de equipos controlados de manera secreta
e ilícita por un atacante, quien les ordena realizar actividades como el envío de correo no
deseado, el hospedaje de páginas usadas en ataques de suplantación de identidad (“phishing”),
el robo de contraseñas y la distribución de otro malware.
La criminalización del malware
Muchas de las primeras formas de malware eran molestas y onerosas en términos de
gastos de limpieza y pérdida de productividad, pero la mayoría se crearon en plan de broma
o como un medio de ganar reputación en la comunidad de hackers en línea. Con la aparición
de Win32/Mydoom in 2004, resultó evidente que los creadores de malware estaban aprovechando
las oportunidades que les ofrecía el malware para robar, para chantajear y para otras actividades
delictivas con fines lucrativos.
2005
En 2005 apareció el gusano Win32/Zotob. Win32/Zotob no se propagó de manera generalizada
como en principio se preveía. Este gusano pretendía reducir la configuración de seguridad de
Windows Internet Explorer y obstaculizar su funcionalidad de bloqueo de mensajes emergentes
para mostrar anuncios de sitios web que pagaban a los hackers por las visitas — otro ejemplo
de malware con fines lucrativos.
9
9
A finales de 2005 empezó a propagarse el troyano Win32/Zlob. Este troyano mostraba
anuncios emergentes que avisaban a los usuarios de la existencia de spyware y les animaban
a comprar antispyware falso, que en realidad les redirigía a otros sitios y causaba otros
problemas. Win32/Zlob fue otro indicador de los días en que los bromistas del malware se
convirtieron en criminales motivados por posibles beneficios económicos. (Para obtener más
información sobre Win32/Zlob, consulte el apartado “Evolución de las amenazas a lo largo
del tiempo” más adelante en este documento).
Antes de 2005, Microsoft publicó actualizaciones de seguridad para tratar formas específicas de
malware. Por ejemplo, el Boletín de seguridad de Microsoft MS02-039, que aborda el malware
conocido como Slammer, se distribuyó en julio de 2002. En enero de 2005, Microsoft publicó la
primera versión de la Herramienta de eliminación de software malintencionado (MSRT), que elimina
software malintencionado común específico de los equipos que ejecutan versiones recientes de
Windows. Microsoft distribuye todos los meses una nueva versión de MSRT, que se descarga
automáticamente en los equipos de los usuarios a través de Windows Update o Microsoft Update,
después de lo cual se ejecuta una vez para buscar y quitar infecciones de malware.
La distribución constante y automática de MSRT ayuda a mantener un ecosistema informático
más limpio. Por ejemplo, en la primera mitad de 2011, la herramienta MSRT se ejecutó en una
media de más de 600 millones de equipos distintos de todo el mundo cada mes. Sin embargo,
esta herramienta no sustituye a los productos antimalware preventivos; es estrictamente una
herramienta de eliminación tras la infección. Microsoft recomienda encarecidamente el uso
de un producto antimalware preventivo actualizado.
Cuando los criminales organizados y con medios técnicos avanzados empezaron a usar la
tecnología para aprovecharse de los usuarios de la tecnología, se estableció el MMPC (en 2005)
con una doble misión: ayudar a proteger a los clientes de Microsoft de las amenazas nuevas y
existentes, y proporcionar un enfoque antimalware de primera clase y capacidades de respuesta
para proporcionar soporte a los productos y servicios de seguridad de Microsoft.
Más recientemente, Microsoft ha creado la Unidad de crímenes digitales (DCU), formada por
un equipo internacional de abogados, investigadores, analistas técnicos y otros especialistas. La
misión de la DCU es reforzar la seguridad de Internet a través de un cumplimiento estricto de las
normas, asociaciones globales, directivas y soluciones tecnológicas que contribuyen a la defensa
contra el fraude y otras amenazas a la seguridad en línea, y permiten proteger a los menores de
los crímenes a través de la tecnología.
10
En la siguiente ilustración se muestran algunos hitos importantes durante el segundo quinquenio
de la existencia de TwC, además de algunos eventos importantes relacionados con el malware.
Ilustración 2. Eventos e hitos importantes en el panorama de ataques informáticos desde 2007 hasta 2011
Además de crear el MMPC y la DCU, Microsoft ha trabajado para promover la colaboración
estrecha del sector y compartir las lecciones aprendidas con el fin de ayudar a otras personas
en sus esfuerzos en materia de seguridad. Un ejemplo de ello es el Industry Consortium for
Advancement of Security on the Internet (ICASI, Consorcio de la Industria para el Avance de
la Seguridad en Internet), que Microsoft fundó en junio de 2008 en colaboración con Intel
Corporation, IBM, Cisco Systems y Juniper Networks. Desde su fundación, se han adherido
también Amazon.com y Nokia.
ICASI fomenta la colaboración entre empresas globales con el objetivo de hacer frente a
amenazas complejas contra la seguridad y proteger mejor las infraestructuras de TI críticas
en las que se apoyan las organizaciones, gobiernos y ciudadanos de todo el mundo.
11
11
Vulnerabilidades
Las vulnerabilidades son puntos débiles del software que permiten a un atacante poner el peligro
la integridad, la disponibilidad o la confidencialidad de ese software o de los datos que este
procesa. Algunas de las peores vulnerabilidades permiten a los atacantes aprovecharse de un
equipo vulnerable, haciendo que ejecute código arbitrario sin el conocimiento del usuario.
Los 10 últimos años representan un período de tiempo muy interesante para revisar los datos
sobre vulnerabilidades y los consiguientes cambios que siguen afectando a la administración de
riesgos de las organizaciones de TI de todo el mundo. Antes de examinar los gráficos y las
tendencias, haremos un breve repaso de las vulnerabilidades del sector en la última década.
Un década de maduración
En 2002, el MITRE1 presentó un informe de progreso sobre la iniciativa CVE (PDF), que proporciona
una actualización del esfuerzo realizado durante varios años para crear un conjunto uniforme y
común de información sobre las vulnerabilidades —con especial hincapié en el uso de una
nomenclatura única— para permitir al sector evaluar, administrar y solucionar las vulnerabilidades
y exposiciones de forma más sencilla. El esfuerzo de CVE y datos posteriores conformaron el núcleo
de la National Vulnerability Database (Base de datos nacional sobre vulnerabilidades, NVD) del
National Institute of Standards (Instituto Nacional de Normas, NIST), el repositorio del gobierno de
Estados Unidos de datos de administración de vulnerabilidades basados en los estándares, que
constituye el índice principal de vulnerabilidades al que se hace referencia en el informe SIR.
2002 marcó también el inicio de un mercado comercial de vulnerabilidades; iDefense inició un
programa de colaboración que pagaba a los que encontraban información sobre vulnerabilidades.
En 2003, el National Infrastructure Advisory Council (Consejo Asesor de Infraestructuras Nacional,
NIAC) de Estados Unidos encargó un proyecto “para proponer un sistema abierto y universal de
puntuación de las vulnerabilidades que hiciera frente y resolviera estas deficiencias, con el objetivo
último de llegar a un entendimiento común de las vulnerabilidades y su impacto”. Este proyecto
dio lugar a un informe en el que se recomendaba la adopción del Common Vulnerability and
Scoring System (PDF) (Sistema común de puntuación de vulnerabilidades, CVSSv1) a finales de
2004. La información sobre la gravedad o puntuación de las vulnerabilidades fue un gran avance,
ya que proporcionó un método estándar para clasificar las vulnerabilidades en todo el sector de
una forma neutral con respecto a los proveedores.
1 MITRE es una empresa sin ánimo de lucro que trabaja para el interés público proporcionando apoyo en ingeniería de sistemas, investigación y desarrollo, y tecnología de la información para el gobierno de los Estados Unidos.
12
2007 trajo una actualización de CVSS, con cambios que abordaban los problemas identificados por
la aplicación práctica del CVSS desde su creación. El volumen 4 del informe SIR, que proporciona
datos y análisis de la segunda mitad de 2007, incluía las tendencias de las vulnerabilidades usando
CVSSv1 y CVSSv2, y desde entonces se ha usado la clasificación de CVSSv2. Como se constató en
su momento, uno de los efectos prácticos de las nuevas fórmulas de clasificación fue que un
porcentaje mucho mayor de vulnerabilidades fue clasificado con la gravedad Alta o Media.
Divulgación de las vulnerabilidades del sector
Una divulgación, tal como se utiliza en el informe SIR, es la revelación de una vulnerabilidad
del software al público en general. No hace referencia a ningún tipo de divulgación privada
o a un número limitado de personas. Las divulgaciones pueden provenir de distintas fuentes,
como el proveedor de software, proveedores de software de seguridad, investigadores de
seguridad independientes e incluso creadores de malware.
Mucha de la información de este apartado se ha elaborado a partir de los datos de divulgación
de vulnerabilidades publicados en la NVD. Representa todas las divulgaciones que tienen un
número de CVE (Exposiciones y vulnerabilidades comunes).
En la última década hemos visto un crecimiento drástico en la divulgación de nuevas
vulnerabilidades, que alcanzó su punto máximo en 2006 y 2007 y después disminuyó
a ritmo constante durante los cuatro años siguientes, llegando a más de 4.000 en 2011,
lo que supone un número ingente de vulnerabilidades.
13
13
Ilustración 3. Divulgación de las vulnerabilidades del sector desde 2002
Tendencias de la divulgación de vulnerabilidades:
La divulgación de vulnerabilidades en el sector en 2011 se redujo en un 11,8 por ciento con
respecto a 2010.
A esta reducción le sigue una tendencia general de reducciones moderadas. La divulgación de
vulnerabilidades ha disminuido un total de un 37 por ciento desde su nivel máximo en 2006.
Gravedad de las vulnerabilidades
El Sistema común de puntuación de vulnerabilidades (CVSS) es un sistema de puntuación
estandarizado independiente de la plataforma para clasificar las vulnerabilidades de TI. El
CVSS asigna un valor numérico entre 0 y 10 a las vulnerabilidades en función de su gravedad,
siendo las puntuaciones más altas las de mayor gravedad. (Consulte la página Gravedad de las
vulnerabilidades —en inglés— del sitio web de SIR para obtener más información).
14
Ilustración 4. Gravedad relativa de las vulnerabilidades divulgadas desde 2002
Tendencias de la gravedad de las vulnerabilidades:
La tendencia general de la gravedad de las vulnerabilidades ha sido positiva. Las
vulnerabilidades de gravedad Media y Alta han disminuido de forma constante
desde su punto más alto en 2006 y 2007.
Aunque se han divulgado pocas vulnerabilidades en general, el número de vulnerabilidades
de gravedad Baja ha permanecido relativamente estable. Las vulnerabilidades de gravedad
Baja dan cuenta de aproximadamente un ocho por ciento de todas las vulnerabilidades
divulgadas en 2011.
15
15
Divulgaciones de hardware y software
La NVD realiza un seguimiento de las vulnerabilidades de hardware y software. El número
de vulnerabilidades de hardware divulgadas cada año permanece bajo, como se muestra en la
siguiente ilustración. El número máximo fue 198 vulnerabilidades de hardware (un 3,4 por ciento)
divulgadas en 2009.
Ilustración 5. Vulnerabilidades de hardware y software divulgadas desde 2002
Las vulnerabilidades de software son aquellas que afectan a los sistemas operativos, a las
aplicaciones o a ambos. Como en muchos otros sectores, un producto de un proveedor puede
ser un componente de otro proveedor. Por ejemplo, CVE-2011-1089 afecta a GNU libc 2.3, que
figura como un producto de aplicación de GNU. Sin embargo, libc es también un componente
integrado en varios sistemas operativos y, por tanto, también es una vulnerabilidad del sistema
operativo. Por este motivo, resulta difícil trazar una línea divisoria entre las vulnerabilidades del
sistema operativo y de las aplicaciones. En la siguiente ilustración, las vulnerabilidades que afectan
a los sistemas operativos y a las aplicaciones se muestran en rojo.
16
Ilustración 6. Vulnerabilidades de aplicaciones y sistemas operativos divulgadas desde 2002
En 2010 y 2011, aproximadamente el 13 por ciento de las vulnerabilidades de software afectaron
tanto a las aplicaciones como a los sistemas operativos.
Divulgación de vulnerabilidades del sistema operativo
Para determinar el número de vulnerabilidades que afectan a los sistemas operativos (mostradas
en la siguiente ilustración), las vulnerabilidades se filtraron para los productos afectados
designados como sistemas operativos en la NVD.
17
17
Ilustración 7. Divulgación de vulnerabilidades del sistema operativo desde 2002
Divulgación de vulnerabilidades de aplicaciones
Para determinar el número de vulnerabilidades que afectan a las aplicaciones (mostradas en la
siguiente ilustración), las vulnerabilidades se filtraron para los productos afectados designados
como aplicaciones en la NVD.
18
Ilustración 8. Divulgación de vulnerabilidades de aplicaciones desde 2002
Tendencias de las vulnerabilidades y boletines de seguridad
El Centro de ingeniería de seguridad de Microsoft (MSEC) es uno de los tres centros de
seguridad que ayudan a proteger a los clientes del malware. El MSEC se centra en métodos
básicos de desarrollar productos y servicios más seguros desde el punto de vista de la ingeniería
del software, mediante esfuerzos tales como el Ciclo de vida de desarrollo de la seguridad (SDL)
de Microsoft y la ciencia sobre seguridad.
El Centro de respuestas de seguridad de Microsoft (MSRC) identifica, supervisa, resuelve
y responde a las vulnerabilidades de seguridad del software de Microsoft. El MSRC publica
boletines de seguridad todos los meses para tratar las vulnerabilidades en el software de Microsoft.
Los boletines de seguridad están numerados secuencialmente de acuerdo con cada año natural.
Por ejemplo, “MS11-057” hace referencia al boletín de seguridad número 57 publicado en 2011.
Los boletines de seguridad se suelen publicar el segundo martes de cada mes, aunque en
contadas ocasiones Microsoft publica una actualización de seguridad “fuera de fecha” para
tratar un problema urgente. Microsoft publicó una actualización fuera de fecha en 2011.
19
19
En la siguiente ilustración se muestra el número de boletines de seguridad y actualizaciones
fuera de fecha publicadas desde 2005, año en el que Microsoft publicó la primera versión
de la Herramienta de eliminación de software malintencionado (MSRT).
Ilustración 9. Boletines de seguridad de MSRC publicados desde 2005
Período Boletines de seguridad Actualizaciones fuera de fecha
1S05
33
0
2S05
22
0
1S06
32
1
2S06
46
1
1S07
35
1
2S07
34
0
1S08
36
0
2S08
42
2
1S09
27
0
2S09
47
1
1S10
41
2
2S10
65
1
1S11
52
0
2S11
48
1
Un solo boletín de seguridad suele abordar varias vulnerabilidades de la base de datos
de CVE, indicadas todas ellas en el boletín, junto con otros problemas relevantes. En la
siguiente ilustración se muestra el número de boletines de seguridad publicados y el número de
vulnerabilidades distintas identificadas por CVE que se han tratado en cada semestre desde 1S05.
(Obsérvese que no todas las vulnerabilidades se abordaron en el período en el que se divulgaron).
20
Ilustración 10. Número de boletines de seguridad de MSRC y vulnerabilidades identificadas por CVE tratadas
En 2011, el MSRC publicó 100 boletines de seguridad que trataban 236 vulnerabilidades
distintas identificadas por CVE, lo que supuso una reducción del 7% y el 6%, respectivamente,
desde 2010. Como se muestra en la siguiente ilustración, la media de CVE tratadas por cada
boletín de seguridad ha aumentado con el tiempo, de 1,5 en 1S05 a 2,4 en 2S11.
21
21
Ilustración 11. Número medio de CVE por boletín de seguridad de MSRC
Siempre que es posible, el MSRC agrupa varias vulnerabilidades que afectan a un binario
o componente individual para tratarlas en un solo boletín de seguridad. Este enfoque mejora
la eficacia de cada actualización y reduce la posible interrupción que deben afrontar los clientes
para probar e integrar las distintas actualizaciones de seguridad en sus entornos informáticos.
22
El estado del malware en la actualidad
A finales de 2001, se conocían aproximadamente 60.000 formas de malware o amenazas.
Este número supuso un aumento considerable con respecto a 1996 (alrededor de 10.000)
y a 1991 (alrededor de 1.000).
Ilustración 12. Aumento aproximado del malware desde 1991
En la última década, la proliferación del malware ha pasado a ser un tema de criminalidad en
línea. Hoy en día, se calcula que hay millones de amenazas informáticas conocidas, como virus,
gusanos, troyanos, ataques, puertas traseras, robo de contraseñas, spyware y otras variantes de
software potencialmente no deseado.
Desde que los desarrolladores de malware delictivo empezaron a usar el poliformismo de cliente
y servidor (la capacidad del malware de crear dinámicamente formas diferentes de sí mismo para
burlar a los programas antimalware), es cada vez más difícil saber cuántas variantes de amenazas
existen. El poliformismo significa que puede haber tantas variantes de amenazas como equipos
infectados; es decir, el número solamente está limitado por la capacidad del malware de generar
variantes de sí mismo.
23
23
Ya no tiene tanto sentido contar el número de variantes de amenazas como detectar y eliminar
sus orígenes. En 2011, los clientes denunciaron más de 49.000 familias de amenazas distintas al
MMPC. Muchas de estas familias eran duplicados, es decir, versiones polimórficas de familias de
amenazas clave; la detección y eliminación de estas familias de amenazas clave de los equipos
infectados es una actividad constante.
En 2011, Microsoft agregó más de 22.000 firmas para detectar familias de amenazas clave.
El tamaño de los archivos de firmas antimalware típicos crece conforme los desarrolladores de
malware delictivo crean nuevas amenazas; en la actualidad, el tamaño de estos archivos es mayor
de 100 MB. En 2002, los archivos de firmas antimalware típicos ocupaban menos de un 1 MB.
También ha aumentado el número de archivos enviados a las organizaciones antimalware.
En la siguiente ilustración se muestra cómo el número de archivos sospechosos de contener
malware o software potencialmente no deseados enviado al MMPC ha aumentado desde 2005:
un aumento de más del 200 por ciento. (Los archivos de malware sospechosos se pueden enviar
a la página de MMPC Enviar una muestra).
Ilustración 13. Aumento porcentual del número de archivos enviados al MMPC desde 2005
24
Tendencias del malware y software potencialmente no deseado
El malware sigue evolucionando, y las fluctuaciones en la detección de diferentes formas
de malware indican el éxito en determinados momentos de los esfuerzos antimalware
constantes de la industria del software frente a los esfuerzos de los desarrolladores de malware.
Evolución de las amenazas a lo largo del tiempo
Vista desde una perspectiva de varios años, la tendencia de algunas familias de malware
y software potencialmente no deseado es al alza o bastante acentuada durante breves
períodos de tiempo, hasta que los proveedores de productos antimalware centran sus esfuerzos
en detectar y eliminar esas amenazas. A estos períodos pico les siguen períodos de descenso,
en los que los atacantes cambian sus tácticas y vuelven a la carga. En la siguiente ilustración
se muestra este fenómeno. (En las ilustraciones 14 - 18, el eje vertical representa el porcentaje
de todos los equipos infectados con malware).
Ilustración 14. Familias de malware y software potencialmente no deseado que han sufrido un aumento y un descenso
desde 2006
25
25
Win32/Rbot fue una de las primeras familias de botnet que adquirió notoriedad en 2004 y
2005 después de una serie de incidentes de gran popularidad que afectaron a las redes de los
medios de comunicaciones y los gobiernos, entre otras. Rbot es una familia de “kit”: las variantes
de Rbot se desarrollan a partir de un kit de creación de botnet de código abierto llamado RxBot,
muy difundido entre los operadores de malware, y muchos otros grupos han creado sus propias
variantes con distinta funcionalidad. La herramienta MSRT se actualizó para detectar Rbot en abril
de 2005, y las detecciones disminuyeron rápidamente hasta 2006, con menos de un dos por ciento
de equipos infectados en 2S08.
La familia de troyanos Win32/Zlob se detectó en casi uno de cada cuatro equipos infectados con
malware en 1S08, una proporción que ninguna otra familia había igualado antes ni lo haría después.
Zlob se distribuía normalmente en páginas web, como un códec multimedia que los visitantes tenían
que instalar para ver contenido de vídeo descargado o transmitido desde Internet. Una vez instalado
en un equipo de destino, Zlob muestra anuncios emergentes persistentes de software de seguridad
fraudulento. A finales de 2008, se detectó una variante de Zlob incluida en un mensaje codificado,
escrita aparentemente por el autor de Zlob y dirigida a los investigadores del MMPC, en el que se
indicaba que el autor iba a dejar de desarrollar y distribuir el troyano:
Para el equipo de Windows Defender:
He visto vuestra entrada en el blog (10 de octubre de 2008) sobre mi mensaje anterior.
Solo quiero decir “Hola” desde Rusia.
Sois unos chicos estupendos. Me ha sorprendido que Microsoft sea capaz de responder
a las amenazas con tanta rapidez.
No puedo firmar ahora (jeje, lo siento) como lo hacía hace algunos años
con algunas vulnerabilidades más graves que afectan a todo Windows ;)
Feliz Año Nuevo, chicos, y ¡buena suerte!
P.D. Por cierto, vamos a cerrar pronto. Pero no por vuestro trabajo. :-))
Así que ya no veréis algunas de mis estupendas ;) ideas en esa familia de software.
Buscad en exploits/shellcodes y rootkits.
Ah, y algo que seguro que os resulta divertido: Microsoft me ofreció un empleo para
ayudar a mejorar la protección de Vista. No me interesa, es tan solo una ironía de la vida.
Efectivamente, las detecciones de Zlob disminuyeron considerablemente en 2S08, y en 2010
Zlob ya no estaba entre las 50 familias más detectadas de todo el mundo.
26
Win32/Conficker es una familia de gusanos descubierta en noviembre de 2008 que inicialmente se
propagaba aprovechando una vulnerabilidad tratada en el boletín de seguridad MS08-067, que se
publicó el mes anterior. Las detecciones de Conficker aumentaron en 1S09 y, a partir de entonces,
disminuyeron a un nivel mucho más bajo, gracias a los esfuerzos coordinados del Grupo de trabajo de
Conficker para contener la proliferación del gusano y limpiar los equipos infectados. Desde entonces,
se ha detectado en un 3-6 por ciento de equipos infectados en cada período de seis meses.
JS/Pornpop es adware consistente en objetos con JavaScript habilitado que intentan desplegar
anuncios emergentes. Detectado por primera vez en agosto de 2010, fue la segunda familia detectada
con más frecuencia en 2S10 y 1S11, y probablemente la detectada con más frecuencia en 2S11.
Win32/Autorun es una detección genérica de gusanos que intentan propagarse en volúmenes
de equipos montados manipulando la característica de ejecución automática de Windows. Las
detecciones de Win32/Autorun aumentaron gradualmente durante varios períodos antes de su
punto álgido en 2S10, convirtiéndose en la familia detectada con más frecuencia en ese período.
Microsoft introdujo un cambio en la forma en que la característica de ejecución automática
funcionaba en Windows 7 y Windows Server 2008 R2 con el fin de ayudar a proteger a los usuarios
de las amenazas de AutoRun. En estas versiones de Windows, la tarea Ejecución automática está
deshabilitada para todos los volúmenes excepto para las unidades ópticas como CD-ROM y DVD-
ROM, que no se han utilizado en el pasado para transmitir el malware AutoRun. Posteriormente,
Microsoft publicó una serie de actualizaciones que aplicaban este cambio a Windows XP, Windows
Server 2003, Windows Vista y Windows Server 2008. Estas actualizaciones se han publicado como
Actualizaciones importantes a través de los servicios de Windows Update y Microsoft Update
desde febrero de 2011, lo que ha contribuido a reducir las detecciones de Win32/Autorun
observadas durante todo el año 2011.
Otras familias de malware y software potencialmente no deseado no prevalecen como familias
en alza, pero existen durante largos períodos de tiempo. En la siguiente ilustración se muestra
la prevalencia de algunas de estas familias de malware más persistentes.
27
27
Ilustración 15. Familias de malware que han permanecido activas en niveles bajos desde 2007
Win32/Renos, asignado a la categoría de descargadores y droppers de troyanos en volúmenes
anteriores del informe SIR, fue una de las cuatro familias de malware detectadas con más
frecuencia en cada período de seis meses desde 1S07 a 2S10, ocupando el primer puesto en 2S08
y 1HS0, y destronada de las 25 primeras familias en 2S11. Renos es un descargador de troyanos
que instala software de seguridad fraudulento en equipos infectados.
Win32/Taterf, asignado a la categoría de gusanos en volúmenes anteriores del informe SIR,
estuvo entre las cinco familias de malware detectadas con más frecuencia en todos los períodos
comprendidos entre 2S08 y 2S10, y fue la más detectada en 2S09. Taterf es un gusano que se
propaga a través de unidades asignadas para robar los datos de inicio de sesión y de la cuenta
en juegos en línea populares. La creciente popularidad de los juegos de rol en línea masivos en
los que participan muchos jugadores ha creado un mercado (al que se oponen muchos de los
creadores de los propios juegos) de “oro” virtual y equipamiento dentro del juego, en el que los
jugadores comercian con dinero real. Esto a su vez ha dado lugar a una clase de amenazas como
Taterf, que roba las contraseñas de juego de los jugadores para los ladrones, quienes se dedican a
subastar el botín virtual de las víctimas. Taterf es una versión modificada de una amenaza similar
Win32/Frethog, que ha prevalecido persistentemente durante el mismo período de tiempo.
28
Win32/Alureon, asignado a la categoría de troyanos de distinto tipo en volúmenes anteriores
del informe SIR, es una familia de troyanos de robo de datos con características de rootkit. Se
descubrió por primera vez a principios de 2007 y, desde entonces, ha sido o ha estado cerca de
ser una de las 25 familias principales. Las variantes de Alureon permiten al atacante interceptar
el tráfico de Internet entrante y saliente y obtener información confidencial, como nombres de
usuario, contraseña y datos de la tarjeta de crédito.
Diferentes amenazas en diferentes momentos
Otro aspecto que resulta evidente cuando se contempla el malware y el software potencialmente
no deseado desde una perspectiva de varios años es que han prevalecido diferentes categorías de
malware (es decir, diferentes tipos de amenazas) en diferentes períodos de tiempo. En la siguiente
ilustración se muestra la prevalencia relativa de tres categorías de malware diferentes.
Ilustración 16. Categorías de gusanos, puertas traseras y software potencialmente no deseado de distinto tipo desde 2006
29
29
En 2006 y 2007, el panorama del malware estaba dominado por las categorías de gusanos,
software potencialmente no deseado de distinto tipo y puertas traseras. (El término “software
potencialmente no deseado de distinto tipo” hace referencia a programas con un comportamiento
potencialmente no deseado que puede afectar a la privacidad, seguridad o experiencia informática
de un usuario). En esas fechas, los brotes de gusanos a gran escala como Win32/Msblast y
Win32/Sasser, que se propagaban aprovechando las vulnerabilidades de los servicios de red,
eran mayoritariamente cosa del pasado. La razón más probable de su declive fue la naturaleza
prominente de estos brotes, que hacían que los proveedores de productos antimalware aumentaran
sus esfuerzos de detección, limpieza y bloqueo y, en última instancia, alentaban la adopción
generalizada de actualizaciones de seguridad que trataban las vulnerabilidades afectadas. La
mayoría de los gusanos que aún prevalecían en 2006 eran programas de envío masivo de correo
electrónico, como Win32/Wukill y Win32/Bagle, que se difundían enviando copias de ellos mismos
por correo electrónico a las direcciones encontradas en los equipos infectados.
Las puertas traseras de moda incluían un par de familias de botnet relacionadas, Win32/Rbot
y Win32/Sdbot. Las variantes de estas familias se crean a partir de kits de construcción de botnet
que se venden en el mercado clandestino del malware, y se usan para controlar equipos infectados
a través de Internet Relay Chat (IRC). Rbot y Sdbot han sido prácticamente sustituidos por nuevas
familias de botnet, pero permanecen en activo, probablemente por la facilidad relativa con la que
los operadores de botnet en ciernes pueden obtener los kits de construcción.
Las familias de troyanos prevalecientes en 2006 y 2007 incluían Win32/WinFixer, una antigua familia
de software de seguridad fraudulento, y la barra de herramientas de explorador Win32/Starware. A
diferencia de la mayoría de las familias de software fraudulento modernas, que se hacen pasar por
detectores antimalware, WinFixer se presenta como una utilidad que supuestamente identifica
“infracciones de privacidad” en el Registro y en el sistema de archivos del equipo, y se ofrece a
“quitarlas” sin costo alguno. Win32/Starware es una barra de herramientas de explorador que
supervisa las búsquedas realizadas en motores de búsqueda populares, creando su propia búsqueda
en tándem y mostrando los resultados en un marco insertado en la ventana del explorador.
30
Ilustración 17. Categorías de gusanos, descargadores y droppers de troyanos, ladrones de contraseñas y herramientas
de supervisión desde 2006
La categoría de descargadores y droppers de troyanos, que afectó a menos del nueve por
ciento de los equipos con detecciones en 1S06, aumentó rápidamente convirtiéndose en
una de las categorías de amenazas más importantes en 2007 y 2008, fundamentalmente
por el aumento de detecciones de Win32/Zlob y Win32/Renos.
Tras un importante descenso desde su nivel más alto en 1S06, la categoría de gusanos comenzó
a aumentar de nuevo en 2009 a partir del descubrimiento de Win32/Conficker, y alcanzó un
segundo punto máximo en 2T10 con un número mayor de detecciones de Win32/Taterf y
Win32/Rimecud. Rimecud es una familia de gusanos con varios componentes que se propaga
a través de las unidades extraíbles y la mensajería instantánea. Contiene también una
funcionalidad de puerta trasera que permite el acceso no autorizado a un equipo infectado.
Las familias de malware de la categoría de ladrones de contraseñas y herramientas de
supervisión, que fueron responsables de un porcentaje insignificante de detecciones en 1S06,
aumentaron a un ritmo lento pero constante en 2008 y 2009 hasta llegar a su punto más alto
en 2T10. Los programas que roban contraseñas de juegos como Win32/Frethog fueron los
responsables de gran parte de este aumento.
31
31
Ilustración 18. Categorías de adware, software potencialmente no deseado de distinto tipo y troyanos varios desde 2006
Las categorías de adware, software potencialmente no deseado de distinto tipo y troyanos
varios fueron las detectadas con más frecuencia en 2010 y 2011. Las detecciones de adware
sufrieron un gran aumento en 1S11, incluidas las familias de adware Win32/OpenCandy y
JS/Pornpop. OpenCandy es un programa de adware que se empaqueta con algunos programas de
instalación de software de terceros. Algunas versiones del programa OpenCandy envían información
específica del usuario sin obtener el debido consentimiento del usuario, y son detectadas por los
productos antimalware de Microsoft. Pornpop es una detección de objetos con JavaScript habilitado
que intentan desplegar anuncios emergentes en los exploradores web del usuario Inicialmente,
JS/Pornpop apareció exclusivamente en los sitios web con contenido para adultos, pero desde
entonces se ha visto en sitios web que pueden no incluir contenido para adultos en absoluto.
La categoría de software potencialmente no deseado de distinto tipo, que fue la que se
detectó con más frecuencia en 2006, descendió en 2007 y 2008, y sufrió un nuevo aumento
a partir de entonces para convertirse en la segunda categoría más predominante en 2T11. Las
familias importantes de esta categoría en 2Q11 fueron Win32/Keygen, una detección genérica de
herramientas que generaban claves de producto de versiones obtenidas ilegalmente de distintos
productos de software, y Win32/Zwangi, un programa que se ejecuta como servicio en segundo
plano y modifica la configuración del explorador web para visitar un sitio web específico.
32
La categoría de troyanos varios ha afectado de manera constante a alrededor de un tercio
de los equipos que fueron infectados con malware en cada uno de los períodos desde 2S08.
Varias familias de software de seguridad fraudulento corresponden a esta categoría, como
Win32/FakeSpyPro, la familia de software de seguridad fraudulento detectada con más frecuencia
en 2010. Otras familias predominantes de esta categoría son Win32/Alureon, un troyano que roba
datos, y Win32/Hiloti, que interfiere con los hábitos de navegación de los usuarios afectados, y
descarga y ejecuta archivos arbitrarios.
Categorías de amenazas por ubicación
El ecosistema del malware ha abandonado las amenazas de gran visibilidad, como los gusanos que
se replican a sí mismos, y se ha decantado por un tipo menos visible de amenazas que emplean la
ingeniería social para su distribución e instalación. Este cambio significa que la proliferación y
eficacia del malware depende más ahora de factores lingüísticos y culturales. Algunas amenazas se
difunden mediante técnicas que eligen a hablantes de un determinado idioma o a personas que
usan servicios locales con respecto a una región geográfica en concreto. Otras van dirigidas a
vulnerabilidades o a configuraciones del sistema operativo y aplicaciones que se distribuyen de
manera dispar dependiendo de la ubicación. Los datos de las infecciones de varios productos de
seguridad de Microsoft para algunos de los lugares más poblados del mundo constatan la
naturaleza altamente localizada del malware y el software potencialmente no deseado.
Por consiguiente, el panorama de las amenazas es mucho más complejo de lo que las cifras
obtenidas de un simple examen de las principales amenazas globales sugieren.
Inteligencia de seguridad de 2011
En la siguiente ilustración se muestran los países o regiones que registraron un gran número de
equipos desinfectados con productos antimalware de escritorio de Microsoft desde 2009.2
2 Para obtener información sobre cómo se determinan las ubicaciones de los equipos, consulte la entrada del blog Determinar la ubicación geográfica de los sistemas infectados con malware (en inglés).
33
33
Ilustración 19. Países o regiones con un gran número de equipos desinfectados desde 2009
En la siguiente ilustración se muestran los países o regiones que han registrado en el pasado
altas tasas de infección en comparación con el porcentaje medio de infecciones de todos los
países y regiones.
34
Ilustración 20. Países o regiones con altos porcentajes de infección en el pasado en comparación con la media mundial desde 2009
En la siguiente ilustración se muestran los países o regiones que han registrado en el pasado
bajos porcentajes de infección en comparación con el porcentaje medio de infecciones en
todos los países o regiones.
Ilustración 21. Países o regiones con bajos porcentajes de infección en el pasado en comparación con la media
mundial desde 2009
35
35
Lecciones aprendidas de los países o regiones menos infectados
Austria, Finlandia, Alemania y Japón han registrado porcentajes de infección de malware
relativamente bajos en los últimos años. Sin embargo, muchas de las mismas amenazas globales
que prevalecen en países o regiones con altos porcentajes de infección de malware, como Brasil,
Corea y Turquía, también prevalecen en países o regiones con bajos porcentajes de infección.
El adware se encuentra entre las categorías de amenazas que más prevalecen en países
o regiones con porcentajes de infección de malware altos y bajos; ocupa el primer o el
segundo puesto en estos países. Tanto JS/Pornpop (detectado en más de 6,5 millones de
equipos distintos en todo el mundo en la segunda mitad de 2010) como Win32/ClickPotato
están muy extendidos en estos países o regiones.
Win32/Renos fue el primer responsable de los niveles de descargadores y droppers de
troyanos detectados en los países o regiones con porcentajes de infección de malware
altos y bajos. Win32/Renos ha sido una familia de descargadores y droppers de troyanos
muy extendida durante una serie de años, y se detectó en más de ocho millones de equipos
distintos en todo el mundo en 2010.
Win32/Autorun, detectado en más de 9 millones de equipos distintos en todo el mundo
en 2010, y Win32/Conficker, detectado en más de 6,5 millones de equipos distintos en todo
el mundo en 2010, están en la lista de las diez primeras amenazas en los países o regiones
con porcentajes de infección de malware altos y bajos, a excepción de Finlandia.
Las tasas relativamente bajas de infección de malware en Austria, Finlandia, Alemania y Japón
no indican necesariamente que no haya actividades delictivas activas en estos países o regiones.
Por ejemplo:
En 2010, se detectaron más sitios de hospedaje de malware (por 1.000 hosts) en Alemania
que en Estados Unidos.
El porcentaje de sitios que hospedaban descargas ocultas (“drive-by downloads”) en Finlandia
duplicaba el de Estados Unidos en la primera mitad de 2010.
En el cuarto trimestre de 2010, el porcentaje de sitios que hospedaban descargas ocultas
en Alemania era 3,7 veces superior al número observado en Estados Unidos.
El porcentaje de sitios que hospedaban descargas ocultas en Japón era un 12 por ciento
mayor que el de Estados Unidos durante la primera mitad de 2010. Aunque este porcentaje
descendió apresuradamente en ambos países en el cuatro trimestre de 2010, el porcentaje de
sitios que hospedaban descargas ocultas en Japón era 4,7 veces mayor que en Estados Unidos
en el cuatro trimestre.
36
Los expertos en seguridad de estos países o regiones indican que los siguientes factores contribuyen
a reducir de manera constante los porcentajes de infección de malware en estos lugares.
Existen estrechas asociaciones entre empresas públicas y privadas que permiten responder
a las amenazas de manera proactiva.
Los equipos de respuesta ante emergencias informáticas (CERT), los proveedores de acceso
a Internet (ISP) y otras personas que supervisan activamente las amenazas pueden responder
rápidamente a las nuevas amenazas.
Es útil instaurar una cultura de TI en la que los administradores de sistemas respondan
rápidamente a las denuncias de infección o uso indebido de los sistemas.
Las directivas de cumplimiento y la corrección activa de amenazas poniendo en cuarentena
los sistemas infectados en las redes del país o la región son medidas eficaces.
Las campañas educativas y la atención de los medios que pueden mejorar la concienciación
del público hacia los temas de seguridad son beneficiosas a la larga.
Las tasas bajas de piratería de software y el uso generalizado de Windows Update o Microsoft
Update han contribuido a mantener relativamente bajos los porcentajes de infección.
Esta lista presenta curiosas similitudes con el concepto de defensa colectiva presentado
en un artículo escrito por Scott Charney, vicepresidente corporativo de Informática de confianza
de Microsoft, en 2010. En “Collective Defense: Applying Public Health Models to the Internet
(Defensa colectiva: aplicación de los modelos de salud pública a Internet” (PDF) se describe un
modelo para mejorar la salud de los dispositivos conectados a Internet. Para ello, los gobiernos,
la industria de TI y los ISP deben garantizar la salud de los dispositivos de consumo antes de
concederles libre acceso a Internet. El enfoque ofrecido en este artículo aboga por tratar los
problemas de seguridad en línea utilizando un modelo similar al empleado por la sociedad para
tratar la enfermedad del ser humano. El modelo de salud pública comprende varios conceptos
interesantes que se pueden aplicar a la seguridad en Internet.
Parece ser que los países o regiones menos infectados del mundo ya han puesto en práctica
muchos de los aspectos que propone el modelo de salud de defensa colectiva. En un vídeo
disponible en el sitio web de Informática de confianza aquí se examina este modelo.
37
37
Windows Update y Microsoft Update
Microsoft proporciona varias herramientas y servicios que permiten a los sistemas o a sus
usuarios descargar e instalar actualizaciones directamente de Microsoft o, para los clientes
empresariales, desde los servidores de actualizaciones administrados por los administradores
del sistema. El software cliente de actualizaciones (denominado Actualizaciones automáticas en
Windows XP y Windows Server 2003, y simplemente Windows Update en Windows 7, Windows
Vista y Windows Server 2008) se conecta a un servicio de actualizaciones para obtener la lista de
actualizaciones disponibles. Cuando el cliente de actualizaciones determina las actualizaciones
que se aplican a cada sistema, las instala o informa al usuario de que están disponibles, en función
de cómo se haya configurado el cliente o de la naturaleza de cada actualización.
Para los usuarios, Microsoft proporciona dos servicios de actualizaciones que pueden usar
los clientes de actualizaciones:
Windows Update ofrece actualizaciones para los componentes de Windows y para
los controladores de dispositivos proporcionados por Microsoft y otros proveedores de
hardware. Windows Update distribuye también actualizaciones de firmas para los productos
antimalware de Microsoft y para la publicación mensual de la herramienta MSRT. De forma
predeterminada, cuando un usuario habilita las actualizaciones automáticas, el cliente de
actualizaciones se conecta al servicio Windows Update para obtener las actualizaciones.
Microsoft Update proporciona todas las actualizaciones ofrecidas a través de Windows Update
y actualizaciones para otro software de Microsoft, como Microsoft Office system, Microsoft
SQL Server y Microsoft Exchange Server. Los usuarios pueden inscribirse en el servicio cuando
instalan software servido a través de Microsoft Update o en sitio web de Microsoft Update.
Los clientes empresariales pueden usar también Windows Server Update Services (WSUS)
o la familia de productos de administración de Microsoft System Center 2012 para proporcionar
servicios de actualización a sus equipos administrados.
38
Ilustración 22. Uso de Windows Update y Microsoft Update, 2S06-2S11, indizado con arreglo al uso total en 2S06
Desde su introducción en 2005, el uso de Microsoft Update ha aumentado drásticamente.
39
39
Conclusión
En esta edición especial del informe SIR se proporciona información acerca de cómo el malware y
otras formas de software potencialmente no deseado han evolucionado durante los 10 últimos años.
La informática se ha convertido en una parte esencial de nuestra vida diaria y las bases
de la sociedad moderna son cada vez más digitales. La tecnología de la información y de
las comunicaciones (TIC) ha cambiado para mejor nuestra forma de vida, pero la sociedad
aún se enfrenta a problemas que no se han resuelto y que han evolucionado.
A medida que aumenta el número de personas, equipos y dispositivos que se conectan
a Internet, más complicadas son las amenazas cibernéticas en cuanto a su capacidad de
obtener datos confidenciales, interrumpir operaciones críticas o cometer fraudes.
Las amenazas cibernéticas de la actualidad se califican a menudo como avanzadas técnicamente,
persistentes, con grandes dotaciones económicas y motivadas por las ganancias o la obtención de
una ventaja estratégica. La inteligencia de seguridad es un activo valioso para todos los usuarios,
organizaciones, gobiernos y consumidores de Internet, quienes se enfrentan a innumerables
amenazas que son cualquier otra cosa menos estáticas. Como vivimos en un mundo con una
gran dependencia de la tecnología de la información, la dedicación de Microsoft a la seguridad,
privacidad y confiabilidad podría ser más importante hoy en día que cuando se estableció
Informática de confianza en 2002.
Muchas industrias y organizaciones, incluida Microsoft, invierten en investigación, métodos de
desarrollo de software y herramientas que ayudan a los gobiernos, a la industria y a las personas
a reducir y controlar mejor los riesgos resultantes del incierto panorama de la amenazas en rápido
cambio. Informática de confianza de Microsoft sigue contribuyendo al ecosistema informático,
puesto que nos enfrentamos a un nuevo mundo de dispositivos, servicios y tecnologías de las
comunicaciones que continúa evolucionando.
40
Apéndice A: Tecnologías de protección de equipos y mitigación
El tratamiento de las amenazas y los riesgos requiere un esfuerzo conjunto por parte
de las personas, las organizaciones y los gobiernos de todo el mundo. En la sección
“Administración de riesgos” del sitio web del informe de inteligencia de seguridad de
Microsoft (SIR) se ofrecen muchas sugerencias para prevenir las acciones dañinas que producen
el malware, las infracciones de seguridad y otras amenazas relacionadas, y para detectar y mitigar
los problemas cuando estos ocurren. Los temas de esta sección del sitio web son los siguientes:
“Proteger la organización”, que ofrece orientación a los administradores de TI de
organizaciones pequeñas, medianas y grandes para mejorar sus prácticas de seguridad
y permanecer al tanto de los últimos desarrollos.
“Proteger el software”, que ofrece información a los desarrolladores de software acerca del
desarrollo de software seguro, incluido el software local, y de la protección de los sistemas
conectados a Internet frente a los ataques.
“Proteger a las personas”, que ofrece orientación para promover la concienciación sobre las
amenazas de seguridad y los hábitos seguros de uso de Internet dentro de una organización.
Los siguientes documentos (en inglés) contienen información adicional útil sobre los esfuerzos
de protección del malware y las vulnerabilidades:
Uso compartido de la información y MSRC 2010, un informe del Centro de respuestas
de seguridad de Microsoft
Notas del producto Mitigar las vulnerabilidades del software
Investigación y respuesta de Microsoft ante el malware. Este informe se centra en el rol y las
actividades del Centro de protección contra el malware de Microsoft, y sobre nuestra visión
acerca de cómo realizar una investigación exhaustiva y continua del malware, y sobre cómo
hacerle frente.
Introducción a las tecnologías antimalware de Microsoft. En estas notas del producto
se pretende dar a conocer a los profesionales de TI el panorama general del malware
y el modo de usar las características en la tecnología antimalware.
41
41
Apéndice B: Familias de amenazas mencionadas en este informe
Las definiciones de las familias de amenazas mencionadas en este informe se han adaptado de
la enciclopedia de malware del Centro de protección contra el malware de Microsoft, que contiene
información detallada sobre un gran número de familias de malware y software potencialmente no
deseado. Consulte la enciclopedia para obtener más información y orientación sobre las familias
mencionadas aquí y en el informe.
Win32/Alureon. Un troyano de robo de datos que obtiene información confidencial, como
nombres de usuario, contraseña y datos de la tarjeta de crédito, del tráfico entrante y saliente de
Internet. También puede descargar datos malintencionados y modificar la configuración de DNS.
Win32/Autorun. Una familia de gusanos que se propagan copiándose a sí mismos en las
unidades asignadas de un equipo infectado. Las unidades asignadas pueden incluir unidades
de red o extraíbles.
Win32/Bagle. Un gusano que se propaga enviándose a sí mismo por correo electrónico
a las direcciones encontradas en un equipo infectado. Algunas variantes se propagan también
a través de redes P2P. Bagle actúa como un troyano de puerta trasera y se puede usar para
distribuir otro software malintencionado.
Win32/ClickPotato. Un programa que muestra mensajes emergentes y anuncios en forma
de notificación en función de los hábitos de navegación del usuario.
Win32/Conficker. Un gusano que se propaga aprovechando una vulnerabilidad tratada
por el boletín de seguridad MS08-067. Algunas variantes se propagan también a través de
unidades extraíbles y aprovechándose de las contraseñas poco seguras. Deshabilita varios
servicios del sistema importantes y productos de seguridad, y descarga archivos arbitrarios.
Win32/FakeSpyPro. Una familia de software de seguridad fraudulento que se distribuye con
los nombres de Antivirus System PRO y Spyware Protect 2009, entre otros.
Win32/Fixer. Malware que busca determinadas entradas del Registro y otros tipos de datos,
las identifica erróneamente como infracciones de privacidad e insta al usuario a comprar un
producto para eliminar las supuestas infracciones.
Win32/Frethog. Una gran familia de troyanos de robo de contraseñas cuyo objetivo es obtener
datos confidenciales, como la información de la cuenta, de juegos en línea masivos multijugador.
42
Win32/Hiloti. Una familia de troyanos que interfiere con los hábitos de navegación de un usuario
afectado, y descarga y ejecuta archivos arbitrarios.
Win32/Keygen. Una detección genérica de herramientas que generan claves de producto para
versiones de distintos productos de software obtenidas ilegalmente.
Win32/Msblast. Una familia de gusanos de red que ataca una vulnerabilidad de Microsoft
Windows 2000 y Windows XP, y que puede realizar también ataques por denegación de servicio
(DoS) en algunos sitios de servidores o crear programas de puerta trasera que permitan a los
atacantes acceder a los equipos infectados.
Win32/Mydoom. Una familia de gusanos de envío masivo de correo electrónico que actúan
como troyanos de puerta trasera y permiten a los atacantes acceder a los sistemas infectados.
Win32/Mydoom se puede usar para distribuir otro software malintencionado, y algunas variantes
lanzan ataques DoS contra sitios web específicos.
Win32/Nimda. Una familia de gusanos cuyo objetivo son los equipos que ejecutan
determinadas versiones de Windows, que atacan una vulnerabilidad descrita en el boletín
de seguridad de Microsoft MS01-020 para propagarse infectando documentos de contenido
web y adjuntándose a sí mismos a los mensajes de correo electrónico.
Win32/OpenCandy. Un programa de adware que se empaqueta con algunos programas de
instalación de software de terceros. Algunas versiones pueden enviar información específica del
usuario, como un código de equipo único, información del sistema operativo, la configuración
regional y otra información, a un servidor remoto sin el consentimiento del usuario.
JS/Pornpop. Una detección genérica de objetos con JavaScript habilitado que intentan desplegar
anuncios emergentes en los exploradores web del usuario, normalmente con contenido para adultos.
Win32/Rbot. Una familia de troyanos de puerta trasera que atacan a determinadas versiones de
Windows y permiten a los atacantes controlar los equipos infectados a través de un canal IRC.
Win32/Renos. Una familia de descargadores de troyanos que instala software de seguridad
fraudulento.
Win32/Rimecud. Una familia de gusanos con varios componentes que se propaga a través de las
unidades fijas y extraíbles y de la mensajería instantánea. Contiene también una funcionalidad de
puerta trasera que permite el acceso no autorizado a un sistema infectado.
43
43
Win32/Rustock. Una familia de troyanos de puerta trasera activados por rootkits formada por
varios componentes, que se desarrolló por primera vez en torno a 2006 para ayudar a distribuir
correo electrónico no deseado.
Win32/Sasser. Una familia de gusanos de red que ataca la vulnerabilidad del Servicio de
subsistema de autoridad de seguridad local (LSASS) corregida en la actualización de seguridad
de Microsoft MS04-011.
Win32/Sdbot. Una familia de troyanos de puerta trasera que permite a los atacantes controlar
los sistemas infectados.
Win32/Sircam. Una familia de gusanos de red de envío masivo de correo electrónico cuyo
objetivo son los equipos que ejecutan determinadas versiones de Windows, y que se propagan
enviando una copia de sí mismos como datos adjuntos de correo electrónico a las direcciones
encontradas en los equipos infectados.
Win32/Starware. Una barra de herramientas de explorador web que supervisa las búsquedas
realizadas en motores de búsqueda populares, crea su propia búsqueda en tándem y muestra
los resultados en un IFrame en la ventana del explorador.
Win32/Taterf. Una familia de gusanos que se propaga a través de unidades asignadas para
robar los datos de inicio de sesión y de la cuenta en juegos en línea populares.
Win32/Wukill. Una familia de gusanos de red y de envío masivo de correo electrónico que se
propaga a los directorios raíz de algunas unidades locales y asignadas. También se propaga
enviando una copia de sí mismo por correo electrónico como datos adjuntos a las direcciones
encontradas en los equipos infectados.
Win32/Zlob. Una gran familia de malware de varios componentes que modifica la configuración
de Windows Internet Explorer, cambia y redirige las páginas de búsqueda y principal
predeterminadas de Internet, e intenta descargar y ejecutar archivos arbitrarios (incluido otro
software malintencionado).
Win32/Zotob. Un gusano de red que ataca principalmente a los equipos que ejecutan
Windows 2000 que no tienen el boletín de seguridad de Microsoft MS05-039 instalado; ataca
la vulnerabilidad de desbordamiento del búfer de la característica Plug-and-Play de Windows.
Win32/Zwangi. Un programa que se ejecuta como servicio en segundo plano y modifica
la configuración del explorador web para visitar un determinado sitio web.
