www.microsoft.com/sir

Microsoft Security Intelligence Report

Volumen 12

JULIO–DICIEMBRE DE 2011

PRINCIPALES CONCLUSIONES

JULIO–DICIEMBRE DE 2011 3

Microsoft Security Intelligence Report Este documento se publica exclusivamente a título informativo. MICROSOFT NO

GARANTIZA, NI EXPLÍCITA, NI IMPLÍCITA NI LEGALMENTE, LA

INFORMACIÓN CONTENIDA EN EL PRESENTE DOCUMENTO.

Este documento se presenta “tal cual”. La información y las opiniones contenidas

en el mismo, incluyendo las direcciones URL y otras referencias a sitios web de

Internet, pueden cambiar sin previo aviso. El lector asume el riesgo de utilizarlo.

Copyright © 2012 Microsoft Corporation. Reservados todos los derechos.

Los nombres de las empresas y productos reales aquí mencionados pueden ser

marcas comerciales de sus respectivos titulares.

4 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 12

Microsoft Security Intelligence Report, volumen 12

El volumen 12 del Microsoft® Security Intelligence Report (SIRv12) presenta en

detalle perspectivas acerca de las vulnerabilidades de software, amenazas de

código malicioso y software posiblemente no deseado en programas de software

de Microsoft y de terceros. Microsoft ha elaborado estas perspectivas basándose

en detallados análisis de tendencias realizados en los últimos años, haciendo

hincapié en el segundo semestre de 2011.

Este documento resume las principales conclusiones del informe. El informe

completo incluye también un análisis a fondo de las tendencias observadas en más

de 100 países/regiones del mundo, y presenta sugerencias que contribuirán a

gestionar los riesgos para su organización, sus programas de software

y su personal.

SIRv12 incluye los dos artículos especiales siguientes, que presentan información

detallada de la amenaza de malware denominada Conficker y de las amenazas

persistentes avanzadas (APA), respectivamente.

Cómo sigue propagándose Conficker

Este artículo presenta información acerca de un análisis que realizó Microsoft para

entender mejor por qué Conficker sigue siendo una amenaza seria, en especial

para empresas. El análisis emplea información obtenida desde que tratamos el

tema de Conficker en el informe SIRv7.

Este artículo determina que Conficker sigue siendo una amenaza, fundamenta por

qué es una amenaza seria y qué pueden hacer las organizaciones para protegerse.

El análisis completo puede descargarse desde www.microsoft.com/sir.

JULIO–DICIEMBRE DE 2011 5

Adversarios decididos y ataques dirigidos

Los informes de ataques dirigidos contra organizaciones privadas y públicas, así

como contra particulares, se han incrementado en los últimos años. Este artículo

explica en detalle tales amenazas, conocidas también como amenazas persistentes

avanzadas (APA).

Además, expone las amenazas que suponen los ataques dirigidos realizados por

adversarios decididos, y presenta una estrategia defensiva de prevención,

detección, contención y recuperación. El análisis completo puede descargarse

desde www.microsoft.com/sir.

El informe completo, así como los volúmenes anteriores y vídeos relacionados,

pueden descargarse desde www.microsoft.com/sir.

6 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 12

Evaluación de la amenaza mundial del SIR

Vulnerabilidades

Las vulnerabilidades son los puntos débiles de un programa de software

que permiten a un atacante comprometer la integridad, disponibilidad

o confidencialidad del software o de los datos que procesa. Algunas de las peores

vulnerabilidades permiten a los atacantes aprovecharse del sistema comprometido

haciéndolo ejecutar códigos maliciosos sin conocimiento del usuario.

Figura 1. Tendencias de severidad (CVE) y complejidad de la vulnerabilidad, denuncias por proveedor

y por tipo, en todo el sector del software, 1S09-2S111

1 La nomenclatura utilizada en el documento para hacer referencia a los diferentes períodos de informes es nSAA, siendo la S el primer (1) o el segundo (2) semestre del año, y AA el año. Por ejemplo, 1S09 denota el primer semestre del año 2009 (del 1 de enero hasta el 30 de junio), en tanto que 2S11 representa el período que cubre el segundo semestre de 2011 (desde el 1 de julio hasta el 31 de diciembre).

JULIO–DICIEMBRE DE 2011 7

La tendencia general de la severidad de la vulnerabilidad ha sido positiva.

Las tres clasificaciones de severidad del CVSS (Sistema de puntuación

de vulnerabilidades comunes) disminuyeron entre el 1S11 y el 2S11. Las

clasificaciones de severidad Media y Alta continuaron su tendencia

de descenso de denuncias en cada período desde el 2S09.

Manipulaciones

Una manipulación es un código malicioso que se aprovecha de las vulnerabilidades

de un programa de software para infectar, trastornar o controlar un equipo

informático sin autorización del usuario y, por lo general, sin su conocimiento.

Las manipulaciones van dirigidas a vulnerabilidades de los sistemas operativos,

exploradores web, aplicaciones o componentes de software instalados en los

equipos. Para obtener más información, descargue el informe SIRv12 completo

desde www.microsoft.com/sir.

Figura 2. Manipulaciones detectadas y bloqueadas por productos antimalware de Microsoft en cada

trimestre de 2011, por plataforma o tecnología contra las que estuvieron dirigidas.

8 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 12

Las detecciones de manipulaciones ejecutadas a través de HTML

o de JavaScript experimentaron un brusco incremento en el segundo semestre

de 2011, sobre todo por la aparición de JS/Blacole, una familia de

manipulaciones empleadas por el así llamado kit “Blackhole”, que carga

software malicioso a través de páginas web infectadas.

Las detecciones de manipulaciones apuntadas las vulnerabilidades de lectores

y editores de texto se incrementaron durante el 4T11, con lo que se

convirtieron en el tercer tipo más habitual del trimestre, principalmente por

el aumento de las manipulaciones dirigidas contra Adobe Reader.

JULIO–DICIEMBRE DE 2011 9

Malware y software potencialmente no deseado

Salvo en los casos en que se especifica, la información de esta sección fue

compilada a través de datos de telemetría generados a partir de más de 600

millones de equipos en todo el mundo y de algunos de los servicios en línea más

utilizados de Internet. Las tasas de infección se presentan como equipos limpiados

por millares (CCM, por sus siglas en inglés), y representan el número de equipos

que se limpiaron durante el trimestre por cada 1.000 ejecuciones de la

Herramienta de eliminación de software malintencionado de Windows®,

disponible a través de Microsoft Update y del sitio web Centro de seguridad

y protección de Microsoft.

Desde una perspectiva de patrones de infección en todo el mundo, la Figura 3

muestra las tasas de infección en distintos lugares utilizando el parámetro CCM.

Las detecciones y eliminaciones en los distintos países/regiones pueden variar

significativamente entre un trimestre y otro.

Figura 3. Tasas de infección por país/región el 4T11, por CCM

10 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 12

Figura 4. Tasas de infección (CCM) por sistema operativo y Service Pack el 4T11

“32” = edición de 32 bits. “64” = edición de 64 bits. SP = Service Pack. RTM = enviado a producción

o sin Service Pack. Se indican los sistemas operativos compatibles con al menos un 0,1% de ejecuciones

totales en el 4T11.

Estos datos han sido normalizados: la tasa de infecciones por cada versión

de Windows se calcula comparando un número equivalente de equipos por

versión (por ejemplo, 1.000 equipos con sistema operativo Windows XP SP3

con 1.000 equipos con Windows 7 RTM).

JULIO–DICIEMBRE DE 2011 11

Familias de amenazas

Figura 5. Tendencias de detección de determinada cantidad de familias destacadas en 2011

Win32/Keygen fue la serie más detectada en el 4T11, y la única de las diez

familias principales con más detecciones en el cuarto trimestre del año que

en el primero. Keygen es una detección genérica de herramientas que general

claves para versiones obtenidas ilícitamente de diversos productos de

software.

Keygen, Win32/Autorun y Win32/Sality fueron las únicas familias de

las diez principales con más detecciones en el cuarto trimestre de 2011

que en el tercero.

Amenazas para particulares y empresas

La comparación de las amenazas detectadas por equipos unidos y no unidos

a un dominio puede facilitar información sobre los diversos métodos que emplean

los atacantes para dirigirse a usuarios de empresas y particulares, y también cuáles

son las amenazas con mayores probabilidades de éxito en cada entorno.

12 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 12

Cinco familias son comunes en ambas listas, notablemente las familias

de genéricos Win32/Keygen y Win32/Autorun, y la familia de manipulaciones

JS/Blacole.

Entre las familias significativamente mas prevalentes en equipos

pertenecientes a un dominio se incluyen Conficker, la familia de robots

Win32/Zbot y el programa de software potencialmente no deseado

Win32/RealVNC.

Entre las familias significativamente mas prevalentes en equipos no

pertenecientes a un dominio se incluyen las familias de publicidad no deseada

JS/Pornpop y Win32/Hotbar, así como la detección genérica ASX/Wimad.

Wimad es una detección de archivos maliciosos en formato Advanced Stream

Redirector (ASX), utilizado por el Reproductor de Windows Media.

JULIO–DICIEMBRE DE 2011 13

Amenazas de correo electrónico

Mensajes de correo no deseado bloqueados

La información de esta sección del Microsoft Security Intelligence Report se compila

a partir de datos de telemetría facilitados por Microsoft Forefront® Online

Protection for Exchange (FOPE), que presta servicios de filtrado de correo no

deseado, de suplantaciones de identidad y de software malicioso a miles de

clientes empresariales de Microsoft que procesan decenas de miles de millones

de mensajes cada mes.

Figura 6. Mensajes bloqueados por FOPE cada mes de 2011

En diciembre de 2011, FOPE bloqueó 14.000 millones de mensajes, menos

de la mitad de la cantidad bloqueada en enero. El importante descenso

en el número de mensajes bloqueados observado durante 2011 podría

atribuirse a las medidas adoptadas contra una serie de robots de alto volumen,

como por ejemplo el Rustock (en marzo) y el Kelihos (septiembre). Estas

acciones, realizadas por Microsoft en cooperación con otros integrantes

de la industria del software y organismos policiales, han tenido significativas

repercusiones en la capacidad de distribución de mensajes no deseados

a amplios públicos.

14 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 12

Los filtros de contenidos de FOPE reconocen diversos tipos comunes

de mensajes de correo no deseado. La siguiente figura muestra la prevalencia

relativa de estos tipos de mensajes no deseados en 2011.

Figura 7. Mensajes entrantes bloqueados por los filtros de FOPE el 2S11, por categoría.

Sitios web malintencionados

Los sitios de suplantación de identidad (phishing) están alojados en todo

el mundo en sitios de alojamiento gratuito, en servidores web vulnerados

y en muchos otros contextos.

JULIO–DICIEMBRE DE 2011 15

Figura 8. Sitios de suplantación de identidad por cada 1000 hosts de Internet ubicados en todo

el mundo durante el 2S11

Entre los lugares significativos con concentraciones desusadamente altas de sitios

que alojan software malintencionado se incluyen Irán, con 16,8 sitios por cada

1.000 alojamientos, y Corea, con 5,52.

Figura 9. Sitios de distribución de software malintencionado por cada 1.000 hosts de Internet en lugares

de todo el mundo durante el 2S11

Un sitio de descargas drive-by es un sitio web que aloja una o más manipulaciones

dirigidas a vulnerabilidades de exploradores web y complementos de

exploradores. Los usuarios con equipos vulnerables pueden resultar afectados

por software mal intencionado por el solo hecho de visitar estos sitios, incluso

sin intentar descargar nada.

16 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 12

Figura 10. Páginas de descargas drive-by indizadas por Bing.com a finales del 4T11, por cada 1.000

direcciones URL de cada país/región

One Microsoft Way

Redmond, WA 98052-6399

microsoft.com/security