microsoft security intelligence reportdownload.microsoft.com/download/5/2/7/52783f53-e81... · en...
TRANSCRIPT
www.microsoft.com/sir
Microsoft Security Intelligence Report
Volumen 12
JULIO–DICIEMBRE DE 2011
PRINCIPALES CONCLUSIONES
JULIO–DICIEMBRE DE 2011 3
Microsoft Security Intelligence Report Este documento se publica exclusivamente a título informativo. MICROSOFT NO
GARANTIZA, NI EXPLÍCITA, NI IMPLÍCITA NI LEGALMENTE, LA
INFORMACIÓN CONTENIDA EN EL PRESENTE DOCUMENTO.
Este documento se presenta “tal cual”. La información y las opiniones contenidas
en el mismo, incluyendo las direcciones URL y otras referencias a sitios web de
Internet, pueden cambiar sin previo aviso. El lector asume el riesgo de utilizarlo.
Copyright © 2012 Microsoft Corporation. Reservados todos los derechos.
Los nombres de las empresas y productos reales aquí mencionados pueden ser
marcas comerciales de sus respectivos titulares.
4 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 12
Microsoft Security Intelligence Report, volumen 12
El volumen 12 del Microsoft® Security Intelligence Report (SIRv12) presenta en
detalle perspectivas acerca de las vulnerabilidades de software, amenazas de
código malicioso y software posiblemente no deseado en programas de software
de Microsoft y de terceros. Microsoft ha elaborado estas perspectivas basándose
en detallados análisis de tendencias realizados en los últimos años, haciendo
hincapié en el segundo semestre de 2011.
Este documento resume las principales conclusiones del informe. El informe
completo incluye también un análisis a fondo de las tendencias observadas en más
de 100 países/regiones del mundo, y presenta sugerencias que contribuirán a
gestionar los riesgos para su organización, sus programas de software
y su personal.
SIRv12 incluye los dos artículos especiales siguientes, que presentan información
detallada de la amenaza de malware denominada Conficker y de las amenazas
persistentes avanzadas (APA), respectivamente.
Cómo sigue propagándose Conficker
Este artículo presenta información acerca de un análisis que realizó Microsoft para
entender mejor por qué Conficker sigue siendo una amenaza seria, en especial
para empresas. El análisis emplea información obtenida desde que tratamos el
tema de Conficker en el informe SIRv7.
Este artículo determina que Conficker sigue siendo una amenaza, fundamenta por
qué es una amenaza seria y qué pueden hacer las organizaciones para protegerse.
El análisis completo puede descargarse desde www.microsoft.com/sir.
JULIO–DICIEMBRE DE 2011 5
Adversarios decididos y ataques dirigidos
Los informes de ataques dirigidos contra organizaciones privadas y públicas, así
como contra particulares, se han incrementado en los últimos años. Este artículo
explica en detalle tales amenazas, conocidas también como amenazas persistentes
avanzadas (APA).
Además, expone las amenazas que suponen los ataques dirigidos realizados por
adversarios decididos, y presenta una estrategia defensiva de prevención,
detección, contención y recuperación. El análisis completo puede descargarse
desde www.microsoft.com/sir.
El informe completo, así como los volúmenes anteriores y vídeos relacionados,
pueden descargarse desde www.microsoft.com/sir.
6 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 12
Evaluación de la amenaza mundial del SIR
Vulnerabilidades
Las vulnerabilidades son los puntos débiles de un programa de software
que permiten a un atacante comprometer la integridad, disponibilidad
o confidencialidad del software o de los datos que procesa. Algunas de las peores
vulnerabilidades permiten a los atacantes aprovecharse del sistema comprometido
haciéndolo ejecutar códigos maliciosos sin conocimiento del usuario.
Figura 1. Tendencias de severidad (CVE) y complejidad de la vulnerabilidad, denuncias por proveedor
y por tipo, en todo el sector del software, 1S09-2S111
1 La nomenclatura utilizada en el documento para hacer referencia a los diferentes períodos de informes es nSAA, siendo la S el primer (1) o el segundo (2) semestre del año, y AA el año. Por ejemplo, 1S09 denota el primer semestre del año 2009 (del 1 de enero hasta el 30 de junio), en tanto que 2S11 representa el período que cubre el segundo semestre de 2011 (desde el 1 de julio hasta el 31 de diciembre).
JULIO–DICIEMBRE DE 2011 7
La tendencia general de la severidad de la vulnerabilidad ha sido positiva.
Las tres clasificaciones de severidad del CVSS (Sistema de puntuación
de vulnerabilidades comunes) disminuyeron entre el 1S11 y el 2S11. Las
clasificaciones de severidad Media y Alta continuaron su tendencia
de descenso de denuncias en cada período desde el 2S09.
Manipulaciones
Una manipulación es un código malicioso que se aprovecha de las vulnerabilidades
de un programa de software para infectar, trastornar o controlar un equipo
informático sin autorización del usuario y, por lo general, sin su conocimiento.
Las manipulaciones van dirigidas a vulnerabilidades de los sistemas operativos,
exploradores web, aplicaciones o componentes de software instalados en los
equipos. Para obtener más información, descargue el informe SIRv12 completo
desde www.microsoft.com/sir.
Figura 2. Manipulaciones detectadas y bloqueadas por productos antimalware de Microsoft en cada
trimestre de 2011, por plataforma o tecnología contra las que estuvieron dirigidas.
8 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 12
Las detecciones de manipulaciones ejecutadas a través de HTML
o de JavaScript experimentaron un brusco incremento en el segundo semestre
de 2011, sobre todo por la aparición de JS/Blacole, una familia de
manipulaciones empleadas por el así llamado kit “Blackhole”, que carga
software malicioso a través de páginas web infectadas.
Las detecciones de manipulaciones apuntadas las vulnerabilidades de lectores
y editores de texto se incrementaron durante el 4T11, con lo que se
convirtieron en el tercer tipo más habitual del trimestre, principalmente por
el aumento de las manipulaciones dirigidas contra Adobe Reader.
JULIO–DICIEMBRE DE 2011 9
Malware y software potencialmente no deseado
Salvo en los casos en que se especifica, la información de esta sección fue
compilada a través de datos de telemetría generados a partir de más de 600
millones de equipos en todo el mundo y de algunos de los servicios en línea más
utilizados de Internet. Las tasas de infección se presentan como equipos limpiados
por millares (CCM, por sus siglas en inglés), y representan el número de equipos
que se limpiaron durante el trimestre por cada 1.000 ejecuciones de la
Herramienta de eliminación de software malintencionado de Windows®,
disponible a través de Microsoft Update y del sitio web Centro de seguridad
y protección de Microsoft.
Desde una perspectiva de patrones de infección en todo el mundo, la Figura 3
muestra las tasas de infección en distintos lugares utilizando el parámetro CCM.
Las detecciones y eliminaciones en los distintos países/regiones pueden variar
significativamente entre un trimestre y otro.
Figura 3. Tasas de infección por país/región el 4T11, por CCM
10 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 12
Figura 4. Tasas de infección (CCM) por sistema operativo y Service Pack el 4T11
“32” = edición de 32 bits. “64” = edición de 64 bits. SP = Service Pack. RTM = enviado a producción
o sin Service Pack. Se indican los sistemas operativos compatibles con al menos un 0,1% de ejecuciones
totales en el 4T11.
Estos datos han sido normalizados: la tasa de infecciones por cada versión
de Windows se calcula comparando un número equivalente de equipos por
versión (por ejemplo, 1.000 equipos con sistema operativo Windows XP SP3
con 1.000 equipos con Windows 7 RTM).
JULIO–DICIEMBRE DE 2011 11
Familias de amenazas
Figura 5. Tendencias de detección de determinada cantidad de familias destacadas en 2011
Win32/Keygen fue la serie más detectada en el 4T11, y la única de las diez
familias principales con más detecciones en el cuarto trimestre del año que
en el primero. Keygen es una detección genérica de herramientas que general
claves para versiones obtenidas ilícitamente de diversos productos de
software.
Keygen, Win32/Autorun y Win32/Sality fueron las únicas familias de
las diez principales con más detecciones en el cuarto trimestre de 2011
que en el tercero.
Amenazas para particulares y empresas
La comparación de las amenazas detectadas por equipos unidos y no unidos
a un dominio puede facilitar información sobre los diversos métodos que emplean
los atacantes para dirigirse a usuarios de empresas y particulares, y también cuáles
son las amenazas con mayores probabilidades de éxito en cada entorno.
12 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 12
Cinco familias son comunes en ambas listas, notablemente las familias
de genéricos Win32/Keygen y Win32/Autorun, y la familia de manipulaciones
JS/Blacole.
Entre las familias significativamente mas prevalentes en equipos
pertenecientes a un dominio se incluyen Conficker, la familia de robots
Win32/Zbot y el programa de software potencialmente no deseado
Win32/RealVNC.
Entre las familias significativamente mas prevalentes en equipos no
pertenecientes a un dominio se incluyen las familias de publicidad no deseada
JS/Pornpop y Win32/Hotbar, así como la detección genérica ASX/Wimad.
Wimad es una detección de archivos maliciosos en formato Advanced Stream
Redirector (ASX), utilizado por el Reproductor de Windows Media.
JULIO–DICIEMBRE DE 2011 13
Amenazas de correo electrónico
Mensajes de correo no deseado bloqueados
La información de esta sección del Microsoft Security Intelligence Report se compila
a partir de datos de telemetría facilitados por Microsoft Forefront® Online
Protection for Exchange (FOPE), que presta servicios de filtrado de correo no
deseado, de suplantaciones de identidad y de software malicioso a miles de
clientes empresariales de Microsoft que procesan decenas de miles de millones
de mensajes cada mes.
Figura 6. Mensajes bloqueados por FOPE cada mes de 2011
En diciembre de 2011, FOPE bloqueó 14.000 millones de mensajes, menos
de la mitad de la cantidad bloqueada en enero. El importante descenso
en el número de mensajes bloqueados observado durante 2011 podría
atribuirse a las medidas adoptadas contra una serie de robots de alto volumen,
como por ejemplo el Rustock (en marzo) y el Kelihos (septiembre). Estas
acciones, realizadas por Microsoft en cooperación con otros integrantes
de la industria del software y organismos policiales, han tenido significativas
repercusiones en la capacidad de distribución de mensajes no deseados
a amplios públicos.
14 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 12
Los filtros de contenidos de FOPE reconocen diversos tipos comunes
de mensajes de correo no deseado. La siguiente figura muestra la prevalencia
relativa de estos tipos de mensajes no deseados en 2011.
Figura 7. Mensajes entrantes bloqueados por los filtros de FOPE el 2S11, por categoría.
Sitios web malintencionados
Los sitios de suplantación de identidad (phishing) están alojados en todo
el mundo en sitios de alojamiento gratuito, en servidores web vulnerados
y en muchos otros contextos.
JULIO–DICIEMBRE DE 2011 15
Figura 8. Sitios de suplantación de identidad por cada 1000 hosts de Internet ubicados en todo
el mundo durante el 2S11
Entre los lugares significativos con concentraciones desusadamente altas de sitios
que alojan software malintencionado se incluyen Irán, con 16,8 sitios por cada
1.000 alojamientos, y Corea, con 5,52.
Figura 9. Sitios de distribución de software malintencionado por cada 1.000 hosts de Internet en lugares
de todo el mundo durante el 2S11
Un sitio de descargas drive-by es un sitio web que aloja una o más manipulaciones
dirigidas a vulnerabilidades de exploradores web y complementos de
exploradores. Los usuarios con equipos vulnerables pueden resultar afectados
por software mal intencionado por el solo hecho de visitar estos sitios, incluso
sin intentar descargar nada.
16 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 12
Figura 10. Páginas de descargas drive-by indizadas por Bing.com a finales del 4T11, por cada 1.000
direcciones URL de cada país/región
One Microsoft Way
Redmond, WA 98052-6399
microsoft.com/security