taller - informes de seguridad - david saldaña zurita
TRANSCRIPT
Taller Informes de Seguridad Universidad Pontifica de Salamanca
Alumno: David Saldaña Zurita
Profesor: Luis Joyanes Aguilar
Nº Expediente: 64079
Correo electrónico: [email protected]
1
Índice
Resumen ....................................................................................................................... 2
Palabras clave: .......................................................................................................... 2
Abstract ......................................................................................................................... 2
Key Words: ............................................................................................................... 2
1. Kaspersky Security Bulletin 2012.
Desarrollo de las amenazas informáticas en 2012 .................................................... 3
1.1. Las 10 historias de seguridad que perfilaron 2012 ......................................... 3
1.2. Conclusiones: Desde lo explosivo hasta lo revelador .................................... 8
1.3. Pronóstico sobre la ciberseguridad en 2013 ................................................... 9
2. Informe Anual de Seguridad de CISCO 2013 ........................................................ 16
2.1. El nexus de dispositivos, nubes y aplicaciones ............................................ 16
2.2. Los servicios se encuentran en muchas nubes ............................................. 19
2.3. La fusión del uso personal y laboral; el nuevo milenio y el lugar de trabajo20
2.4. La privacidad y los trabajadores del nuevo milenio ..................................... 21
2.5. Big-data, La gran oportunidad para las empresas actuales .......................... 22
2.6. Estado de las vulnerabilidades, el peligro se esconde en los sitios más
extraños ................................................................................................................... 23
2.7. Evolución de las amenazas; Nuevos métodos, mismas vulnerabilidades .... 27
2.8. Spam, ese intruso constante ......................................................................... 29
2.9. Previsión de seguridad para 2013................................................................. 32
3. ESET NOD 32 ........................................................................................................ 33
3.1. Informe anual de Seguridad 2012 ................................................................ 33
3.2. Informe cuatrimestral de seguridad ............................................................. 43
4. Conclusiones ........................................................................................................... 53
5. Referencias ............................................................................................................. 54
2
Resumen
En este taller tenemos vamos a estudiar y comparar los diferentes informes de seguridad
de tres compañías importantes, como son Cisco, Kaspersky y ESET NOD32.
Comprobamos la clasificación de amenazas que realiza cada uno de ellos y la previsión
para este año en el que nos encontramos.
Palabras clave:
Seguridad, Mac, Android, software malicioso, troyano, la nube, ciberespionaje,
hacktivismo, ciberataque, virus, privacidad, ciberextorsión, BYOD.
Abstract
In this workshop we are going to study and compare three different security bulletins of
the major companies such as Cisco, Kaspersky and ESET NOD32. We check the
classification of threats made by each one of them and the forecast for this year in which
we find ourselves.
Key Words:
Security, Mac, Android, malware, trojan, cloud, cyberspy, hacktivism, cyberattacks,
virus, privacy, ciberextortion, BYOD.
3
1. Kaspersky Security Bulletin 2012.
Desarrollo de las amenazas informáticas en 2012
1.1. Las 10 historias de seguridad que perfilaron 2012
En base a los acontecimientos y a los actores que definieron las principales historias de
seguridad de 2011, Kaspersky hizo algunas predicciones para 2012.
El progresivo aumento de grupos hacktivistas.
El crecimiento de los incidentes APT (Advanced Persistent Threat).
El surgimiento de la ciberguerra y de más estados-naciones que buscan imponerse
mediante campañas de ciberespionaje.
Ataques contra desarrolladores de software y juegos, como Adobe, Microsoft,
Oracle y Sony.
Acciones más decididas de las autoridades policiales y jurídicas contra los
ciberdelincuentes tradicionales.
Una explosión de las amenazas contra Android.
Ataques contra la plataforma Mac OS X.
Tras estas predicciones, observamos los 10 principales incidentes de seguridad que
perfilaron 2012.
4
1.1.1. Flashback ataca a Mac OS X
Basándonos en las estadísticas, Kaspersky estimo que Flashback infectó más de 700.000
Macs, la mayor infección conocida de Mac OS X hasta ahora. Aunque este troyano para
Mac OS X, Flashback/Flashfake, apareció a fines de 2011, no fue sino hasta abril de
2012 cuando ganó mucha popularidad. Gracias a dos factores principales: una
vulnerabilidad Java (CVE-2012-0507) y la sensación generalizada de apatía entre los
usuarios de Mac cuando se trata de su seguridad.
Flashback sigue manteniendo su relevancia porque fue capaz de rebatir el mito de
invulnerabilidad que caracterizaba a Mac y porque confirmó que los estallidos masivos
en realidad pueden afectar no sólo a las plataformas Windows.
1.1.2. Flame y Gauss: campañas de ciberespionaje gubernamental
A mediados de abril de este 2012, una serie de ciberataques destruyeron sistemas
informáticos de varias plataformas petroleras en el Medio Oriente. Nunca se detectó el
programa malicioso responsable de estos ataques, llamado 'Wiper', aunque varias pistas
indicaban su cercanía con Duqu y Stuxnet. Durante la investigación, nos topamos con
una enorme campaña de ciberespionaje que ahora se conoce con el nombre de Flame.
Podría decirse que Flame es uno de los programas maliciosos más sofisticados que se
han creado. Cuando está instalado por completo en un sistema, posee más de 20 MB de
módulos que ejecutan una amplia gama de funciones como intercepción de audio,
análisis de dispositivos bluetooth, robo de documentos y capturas de pantalla del
ordenador infectado. La parte más impresionante fue el uso de falsos certificados de
Microsoft para realizar un ataque contra Windows Update que le permitía infectar
sistemas Windows 7 completamente parcheados. La complejidad de esta operación no
dejaba duda alguna sobre su naturaleza gubernamental.
Flame es importante porque demostró que durante años pueden existir programas
maliciosos altamente complejos sin que se los detecte. Se calcula que el proyecto Flame
tenía, por lo menos, unos cinco años de vigencia.
No pasó mucho tiempo antes de que aparecieran nuevas amenazas similares a
Flame. El descubrimiento de Gauss1, otro troyano altamente sofisticado que se propagó
ampliamente en Medio Oriente, añadió una nueva dimensión a las cibercampañas
gubernamentales.
Gauss es significativo por varias razones, algunas de las cuales siguen siendo un
misterio. Uno de estos misterios es el uso de una fuente personalizada llamada 'Palida
Narrow' o de su contenido codificado que ataca a los ordenadores desconectados de
Internet. Además se trata del primer troyano bancario con respaldo gubernamental que
tiene la habilidad de secuestrar los datos de las cuentas bancarias online de sus víctimas,
particularmente en Líbano.
1 Gauss: Troyano bancario se utiliza en el espionaje cibernético gubernamental.
5
Flame y Gauss inyectaron una nueva dimensión en el escenario bélico del Medio
Oriente: la ciberguerra.
1.1.3. La explosión de amenazas contra Android
La cantidad de muestras que se recibieron alcanzó su pico en junio de 2012, cuando se
identificaron casi 7.000 programas maliciosos para Android. En general, este año se han
identificado más de 35.000 programas maliciosos para Android, seis veces más que en
2011, y cinco veces más que todas las muestras maliciosas para Android desde 2005.
La razón de este gigantesco crecimiento tiene dos factores: el económico y la
plataforma. En primer lugar, la plataforma Android ha ganado inmensa popularidad,
llegando a ser la más común para nuevos Smartphones, con más del 70% de
participación en el mercado, la naturaleza abierta de este sistema, la facilidad con la que
se pueden crear aplicaciones y la amplia variedad de mercados (no oficiales) de
aplicaciones han ensombrecido las medidas de seguridad de la plataforma Android.
Mirando en perspectiva, no queda duda de que esta tendencia continuará, tal como
sucedió con los programas maliciosos para Windows hace muchos años. Por lo tanto, se
prevé que 2013 estará lleno de ataques dirigidos contra los usuarios de Android.
1 Crecimiento del Software Malicioso de Android
6
1.1.4. Fugas de contraseñas de LinkedIn, Last.fm, Dropbox y Gamigo
El 5 de junio de 2012, LinkedIn, una de las mayores redes sociales para usuarios
profesionales, sufrió ataques de orígenes desconocidos lo que ocasionó que los hashes
de contraseñas de más de 6,4 millones de usuarios se filtraran en Internet. Gracias a las
rápidas tarjetas GPU, los expertos en seguridad cibernética recuperaron el 85% de las
contraseñas originales.
Esto fue posible gracias a varios factores. En primer lugar, LinkedIn guardaba las
contraseñas como hashes SHA1. Las modernas tarjetas GPU, mejores que las muy
populares MD5, pueden descifrar hashes SHA1 a velocidades impresionantes. Esto,
junto a los modernos ataques criptográficos, como el uso de cadenas Markov para
optimizar la búsqueda forzada o los ataques camuflados, enseñó a los desarrolladores
cibernéticos nuevas lecciones sobre el almacenamiento de contraseñas codificadas.
Cuando DropBox anunció que había sufrido un ataque y que se habían filtrado datos de
las cuentas de sus usuarios, fue una confirmación más de que los hackers estaban en
busca de valiosa información (especialmente los datos de los usuarios) en conocidos
servicios web. En 2012, se verificaron similares ataques contra Last.fm y Gamigo, que
provocaron la fuga de más de 8 millones de contraseñas.
Estos ataques muestran que en la edad de la nube, cuando la información sobre millones
de cuentas se encuentra disponible en un servidor, y con veloces enlaces en Internet, el
concepto de fuga de información adquiere nuevas dimensiones.
1.1.5. El robo de certificados de Adobe y la omnipresente APT
El 27 de septiembre de 2012, Adobe anunciaba el descubrimiento de dos programas
maliciosos que estaban firmados con un certificado legítimo de Adobe. Los certificados
de Adobe estaban guardados bajo medidas de seguridad en un HSM, un dispositivo
criptográfico especial de seguridad. Sin embargo, las hackers se las ingeniaron para
infectar un servidor que era capaz de realizar peticiones de firmas de códigos.
Este descubrimiento pertenece a la misma cadena de ataques sofisticados y
extremadamente dirigidos, conocidos como APT.
7
1.1.6. El cierre de DNSChanger
Cuando se arrestó a los responsables del programa malicioso DNSChanger en
noviembre de 2011 bajo la operación 'Ghost Click', la infraestructura de este programa
ladrón de identidades quedó en manos del FBI.
El FBI accedió a mantener los servidores activos hasta el 9 de julio de 2012, de manera
que las víctimas tuvieran tiempo de desinfectar sus sistemas. Marcada por los más
nefastos presagios, la fecha pasó sin mayores problemas. Esto no hubiese sido posible
sin el tiempo y los recursos que el FBI invirtió en el proyecto, junto a otras agencias
policiales, compañías privadas y gobiernos de todo el mundo.
Se trató de una acción a gran escala que demostró que el éxito en la lucha contra la
ciberdelincuencia puede ser posible gracias a una abierta cooperación e intercambio de
información.
1.1.7. El incidente Madi
Entre fines de 2011 y el primer semestre de 2012 se desarrolló una campaña para
infiltrarse en los sistemas informáticos del Medio Oriente, atacando a usuarios
individuales en Irán, Israel, Afganistán, y otros países en el mundo. Se investigó y se la
ha bautizado con el nombre de "Madi", en base a ciertos strings y handles que usan los
atacantes.
Aunque Madi no era muy sofisticada, logró infectar muchos sistemas en todo el mundo
a través de la ingeniería social y las tácticas de rescritura conocidas como Right-to-
Left. La campaña de Madi introdujo otra dimensión más en las operaciones de
ciberespionaje en el Medio Oriente, y demostró algo muy importante, que operaciones
de bajo coste, en contraste con los programas maliciosos promovidos por gobiernos con
elevados presupuestos, pueden tener bastante éxito.
1.1.8. Los días-cero de Java
En agosto de 2012 se detectó una vulnerabilidad día-cero para Java que circulaba
masivamente en la red. Este exploit estaba incorporado en el ampliamente popular
paquete de exploits BlackHole y se convirtió muy rápido en lo más efectivo del paquete,
siendo responsable de millones de infecciones en todo el mundo.
Durante el segundo trimestre de 2012, efectuamos el análisis de software vulnerable
instalado en ordenadores, y encontramos que más del 30% tenía instalada una versión
8
vulnerable de Java. Era sin duda alguna el software vulnerable más popular instalado en
ordenadores.
1.1.9. Shamoon
A mediados de agosto, se descubrió un programa malicioso muy destructivo que se usó
en los ataques lanzados contra Saudí Aramco, una de las corporaciones petroleras más
grandes del mundo. Según los informes, este programa malicioso destruyó por completo
más de 30.000 ordenadores.
Analizando este programa malicioso se encuentra que tiene incorporado un interruptor
para activar el proceso destructivo el 15 de agosto, 8:08 UTC. Más tarde, se informó
sobre otro ataque de este mismo programa malicioso contra otra compañía petrolera en
el Medio Oriente.
Shamoon es importante porque planteó la idea usada en el programa malicioso Wiper
que consiste en una carga destructiva cuyo propósito es infectar masivamente las
operaciones de una compañía. Tal como sucedió con Wiper, se desconocen muchos
detalles, como la forma en que el programa malicioso llegó a infectar los sistemas, y
quién estaba detrás del ataque.
1.1.10. Módems DSL, prohibición de Huawei y ataques contra hardware
En marzo de 2012, el equipo brasileño CERT confirmó que más de 4,5 millones de
módems quedaron infectados debido al ataque y que los ciberdelincuentes los estaban
abusando para todo tipo de actividades fraudulentas.
El caso de Huawei y el de los routers DSL en Brasil no son incidentes aislados, porque
señalan que los routers, como hardware, representan el mismo riesgo de seguridad, o
mayor, que el software viejo y olvidado que nunca se actualiza, y que la defensa se ha
vuelto más compleja y difícil que nunca antes, y en algunos casos, incluso imposible.
1.2. Conclusiones: Desde lo explosivo hasta lo revelador
A medida que nos acercamos a 2013, nos preguntamos acerca de lo que viene. Como
hemos podido ver en estas 10 historias, acertamos con muchas de nuestras predicciones.
A pesar del arresto de LulzSec's Xavier Monsegur y de muchos e importantes hackers
de 'Anonymus', los hacktivistas continuaron con sus actividades. Las campañas de
ciberguerra /ciberespionaje alcanzaron nuevas dimensiones con el descubrimiento de
Flame y Gauss. Las operaciones APT siguieron dominando los titulares de prensa, con
ataques día-cero y otros astutos métodos empleados para atacar a víctimas de alto perfil.
Los usuarios de Mac OS X sufrieron el duro golpe de Flashback, la mayor epidemia
para Mac OS X conocida hasta ahora, mientras que las grandes compañías se
enfrentaron a programas maliciosos destructivos que inutilizaron decenas de miles de
PCs.
9
Los poderosos actores de 2011 siguieron siendo los mismos: grupos de hacktivistas,
compañías de seguridad informática, gobiernos en luchas de ciberespionaje, grandes
desarrolladores de software y juegos como Adobe, Microsoft, Oracle y Sony,
autoridades policiales y jurídicas y ciberdelincuentes tradicionales, Google, a través de
su plataforma Android, y Apple, gracias a su plataforma Mac OS X.
Habíamos calificado a 2011 como 'explosivo' y creemos que los incidentes de 2012 nos
dejaron pasmados. Hemos comprendido las nuevas dimensiones de las amenazas que ya
existen a la vez que se están incubando los nuevos ataques.
1.3. Pronóstico sobre la ciberseguridad en 2013
1.3.1. Ataques dirigidos y ciberespionaje
Los ataques dirigidos se han convertido en una característica constante durante los dos
últimos años. Estos ataques están diseñados específicamente para penetrar en una
determinada organización y recopilar información crítica que tenga valor monetario en
el 'mercado negro".
Los ataques dirigidos suelen ser muy sofisticados. Pero muchos ataques comienzan
'hackeando al humano', es decir, utilizando trucos que lo induzcan a revelar información
que pueda ser útil para acceder a recursos corporativos. El enorme volumen de
información que se comparte de forma virtual y el creciente uso de las redes sociales en
el ámbito empresarial han contribuido a la consolidación de estos ataques, y el personal
en contacto con el público (como el de ventas o marketing) puede ser particularmente
vulnerable.
Se prevé que el crecimiento del ciberespionaje continuará en
2013. Cualquier organización puede convertirse en víctima. Todas las organizaciones
poseen información valiosa para los ciberdelincuentes, que pueden usar esas
organizaciones como 'puente' para llegar a otras compañías.
1.3.2. La progresiva marcha del 'hacktivismo'
El robo de dinero, ya sea accediendo directamente a cuentas bancarias o robando
información confidencial, no es el único motivo de los ataques. A veces, el objetivo de
un ataque puede ser plantear una cuestión política o social. En este año se evidenció un
flujo constante de este tipo de ataques, entre los cuales estuvieron los ataques DDoS de
Anonymous contra sitios gubernamentales en Polonia en represalia por el anuncio del
gobierno de ese país de apoyar el acuerdo comercial antifraude ACTA, el hackeo del
sitio oficial de la F1 en protesta contra el tratamiento a los manifestante
antigubernamentales en Bahréin, el hackeo de varias compañías petroleras en protesta
10
contra las perforaciones en el Ártico, el ataque contra Saudí Aramco, y el ataque contra
el sitio francés Euromillions en protesta contra los juegos de azar.
1.3.3. Ciberataques apadrinados por gobiernos
Stuxnet fue el pionero en el uso de programas maliciosos altamente sofisticados en
ataques dirigidos contra importantes instalaciones industriales. Aunque estos ataques
no son algo común, ahora queda claro que lo de Stuxnet no fue un incidente
aislado. Estamos en el umbral de una era de 'ciberguerra fría', en la que las naciones
poseen la habilidad de librar batallas sin las limitaciones de la guerra convencional en el
mundo real. Es posible que más países desarrollen sus ciberarmas, diseñadas para robar
información o sabotear sistemas, sobre todo porque el acceso a su diseño es mucho más
factible que al de las armas convencionales. También es posible que veamos ataques
similares que no respondan a gobiernos, con el enorme riesgo de 'daños colaterales' que
vayan más allá de las supuestas víctimas del ataque. Entre los blancos de estos
ciberataques podrían estar plantas generadoras de electricidad y de control de transporte,
sistemas financieros y de telecomunicaciones, y otras infraestructuras críticas.
1.3.4. El uso de herramientas de vigilancia legales
En los últimos años, el ciberdelito ha alcanzado niveles de desarrollo cada vez más
sofisticados, lo que no sólo ha creado nuevos desafíos para los investigadores antivirus,
sino también para las autoridades policiales y judiciales en todo el mundo. Sus
esfuerzos para mantenerse al ritmo de las avanzadas tecnologías en manos de los
ciberdelincuentes los están llevando por caminos que tienen claras implicaciones
legales. Es el caso, por ejemplo, de qué se hará con los ordenadores infectados después
de que las autoridades desbaratan una red zombi, como sucedió con la operación Ghost
Click del FBI.
Pero también incluye el uso de la tecnología para monitorear las actividades de los
sospechosos de actividades delictivas. En la medida en que las autoridades policiales y
judiciales, y los gobiernos, traten de estar un paso por delante de los ciberdelincuentes,
es posible que continúe el uso de estas herramientas, y el consiguiente debate.
1.3.5. Nublado con posibles programas maliciosos
Queda claro que el uso de los servicios en la nube crecerá en los próximos años. Pero, a
medida que se incremente el uso de la nube, también aumentarán las amenazas lanzadas
contra la seguridad en la nube.
Primero, los centros de datos de los proveedores de servicios en la nube son un blanco
atractivo para los ciberdelincuentes. Los ciberdelincuentes podrían robar la gran
11
cantidad de información personal acumulada en un solo lugar, de un solo golpe, si el
ataque lanzado contra el proveedor tiene éxito.
Segundo, es posible que los ciberdelincuentes recurran con más frecuencia a los
servicios en nube para alojar y propagar sus programas maliciosos, por lo general
mediante cuentas robadas.
Tercero, recordemos que a la información guardada en la nube se accede desde un
dispositivo en el mundo material. Entonces, si un ciberdelincuente es capaz de infectar
este dispositivo, podrá acceder a la información, donde sea que se ésta se encuentre. El
amplio uso de dispositivos móviles, con sus grandes ventajas para el entorno
empresarial, aumenta el riesgo de que se acceda a la información en la nube desde
dispositivos no tan seguros como los tradicionales ordenadores de escritorio.
Y el riesgo aumenta aún más cuando se usa el mismo dispositivo para propósitos
personales y empresariales.
1.3.6. ¿Y dónde quedó mi privacidad?
Cada vez que abrimos una cuenta online, tenemos que revelar nuestros datos personales,
y las compañías en todo el mundo recopilan activamente información sobre sus
clientes. Las amenazas a la privacidad tienen dos formas.
Primero, la información personal queda en peligro cuando nuestros proveedores de
bienes y servicios están infectados. Por supuesto, el progresivo desarrollo de los
servicios en nube sólo aumentará este problema.
Segundo, las compañías agregan y usan la información sobre sus clientes con fines
publicitarios y promocionales, a veces sin informarnos al respecto, y no siempre queda
claro cómo quitar nuestros datos de estos procesos. El valor de la información personal,
para los ciberdelincuentes y para las empresas legítimas, no cesará de aumentar en el
futuro, y con ello aumentarán también las amenazas contra nuestra privacidad.
1.3.7. ¿En quién podemos confiar?
Todos estamos predispuestos a confiar en sitios web que posean un certificado de
seguridad otorgado por una genuina autoridad de certificación (Certificate Authority, o
CA por sus siglas en inglés), o en una aplicación con una firma digital válida. Por
desgracia, no sólo los ciberdelincuentes han logrado otorgar certificados falsos a sus
programas maliciosos, usando los así llamados certificados autofirmados, sino que
también se las ingeniaron para vulnerar los sistemas de diferentes autoridades de
certificación, robar certificados y firmar su código en ellos.
Si las aplicaciones fraudulentas logran infiltrarse en una lista segura, podrían burlar el
radar de las soluciones de seguridad y pasar desapercibidas. Esto puede suceder de
12
varias formas. Los programas maliciosos pueden firmarse con un certificado robado: si
la lista segura de una aplicación confía automáticamente en el software firmado por una
determinada organización, entonces también confiará en los programas infectados. O
los ciberdelincuentes (o un infiltrado en la compañía) pueden acceder al directorio o
base de datos que contenga la lista segura y añadir sus programas maliciosos. Un
infiltrado confiable, ya sea en el mundo real o en el digital, siempre está en el lugar
adecuado para socavar la seguridad.
1.3.8. Ciberextorsión
Este año hemos sido testigos del aumento en la cantidad de troyanos ransomware
diseñados para codificar los datos del usuario en el disco o bloquearle el acceso al
sistema, y exigir dinero a sus víctimas a cambio de desbloquearles su información o
sistema. Hasta hace poco, este tipo de ciberdelito se concentraba sobre todo en Rusia y
en otros países de la ex URSS. Pero ahora es todo un fenómeno mundial, a veces con
métodos que apenas difieren entre sí. Por ejemplo, en Rusia, los troyanos que bloquean
al usuario el acceso a su sistema, le anuncian que detectaron software sin licencia
instalado en su equipo, exigiéndole un pago para desinfectarlo.
En Europa, donde el software pirata no es muy común, esta estrategia no funciona. En
vez de ella se usan mensajes pop supuestamente pertenecientes a las autoridades
policiales o judiciales que afirman haber encontrado en el ordenador del usuario
pornografía infantil u otros contenidos ilegales, y también le exigen el pago de una
multa. Estos ataques son fáciles de elaborar y, como sucede con los ataques phishing,
parece que nunca faltan víctimas potenciales. En consecuencia, es posible que en el
futuro sigan creciendo.
1.3.9. Programas maliciosos para Mac OS
A pesar de ciertas percepciones muy arraigadas, los Macs no son inmunes a los
programas maliciosos. Por supuesto, cuando se compara con el torrente de programas
maliciosos diseñados para Windows, el volumen de aquellos diseñados para Mac parece
pequeño.
Sin embargo, la cantidad de estos ha estado creciendo constantemente durante los dos
últimos años, y sería ingenuo que un usuario de Mac creyera que no es posible que sea
víctima de la ciberdelincuencia. No sólo los ataques generalizados, como los 700.000
de la red zombi Flashfake, representan una amenaza, sino que también hemos visto
ataques dirigidos contra determinados grupos o individuos usuarios de Mac.
La amenaza contra Mac es real y es previsible que siga creciendo.
13
1.3.10. Programas maliciosos para dispositivos móviles
Los programas maliciosos para dispositivos móviles han tenido un auge impresionante
en los últimos 18 años. La mayor parte, más del 90%, se la llevan aquellos diseñados
para los dispositivos con plataforma Android.
Este sistema operativo es irresistible para los ciberdelincuentes por su amplio uso, la
facilidad de desarrollo, y porque los usuarios del sistema pueden descargar programas
(incluso los maliciosos) desde donde deseen. Por esta razón, es muy improbable que
disminuya el desarrollo de aplicaciones maliciosas para Android.
Hasta el momento, la mayoría de los programas maliciosos está diseñada para acceder al
dispositivo. En el futuro, es posible que veamos el uso de vulnerabilidades dirigidas
contra el sistema operativo, y por lo tanto, el desarrollo de 'descargas al paso'. También
es muy probable que aparezca el primer gusano masivo para Android, capaz de
autopropagarse mediante mensajes de texto y de enviar enlaces a él mismo desde alguna
tienda virtual de aplicaciones. Asimismo, es posible que veamos más redes zombi
conformadas por dispositivos móviles, como la creada con el backdoor RootSmart en el
primer trimestre de 2012.
En cambio, iOS es un sistema de archivos cerrado, restringido, que sólo permite
descargas y uso de aplicaciones desde una sola fuente, como App Store. Esto significa
un menor riesgo de seguridad: para propagar el código, los posibles autores de
programas maliciosos tendrían que encontrar la forma de infiltrar un código en la tienda
App Store.
La aparición, a principios de este año, de la aplicación 'Find and Call' ha demostrado
que es posible que aplicaciones indeseables se filtren en la red. Pero al menos por el
momento, Android seguirá siendo el blanco principal de los ciberdelincuentes. La
importancia de la aplicación 'Find and Call' radica en el tema de la privacidad, la fuga
de información y el potencial daño a la reputación de una persona: esta aplicación está
diseñada para subir el directorio telefónico de un usuario a un servidor remoto para
usarlo en el envío de SMS spam.
14
2 Distribución App Maliciosas según SO en 2012
3Aparición nuevos programas maliciosos por mes en 2012
1.3.11. Vulnerabilidades y exploits
Uno de los principales métodos que usan los ciberdelincuentes para instalar sus
programas maliciosos en el ordenador de la víctima consiste en explotar
vulnerabilidades en las aplicaciones que no se han reparado. Este método se basa en la
existencia de vulnerabilidades y en la dejadez de los usuarios, individuales o
15
corporativos, para parchar sus aplicaciones. Las vulnerabilidades en Java representan
más del 50% de los ataques, mientras que las de Adobe Reader, un 25%. Esto no debe
sorprendernos ya que los ciberdelincuentes suelen concentrar su atención en
aplicaciones populares y que permanezcan sin parches por largo tiempo, lo que les da
una ventana de oportunidad suficientemente amplia para alcanzar sus objetivos. Java no
sólo está instalada en millones de ordenadores (1,1 mil millones, según Oracle), sino
que sus actualizaciones no se instalan automáticamente, sino mediante petición del
usuario. Por esta razón, los ciberdelincuentes seguirán explotando Java el próximo
año. Es probable que los ciberdelincuentes sigan usando Adobe Reader, pero quizás
con menos intensidad ya que las últimas versiones traen incorporado un mecanismo de
actualizaciones automáticas.
16
2. Informe Anual de Seguridad de CISCO 2013
2.1. El nexus de dispositivos, nubes y aplicaciones
Este mundo de interconexiones de “cualquiera a cualquiera” y el Internet de Todo son la
materialización de una capacidad de conectividad y colaboración que se multiplica
exponencialmente. Son el resultado del nexus de dispositivos, nubes y aplicaciones.
Aunque esta evolución no resulta sorprendente, las empresas actuales pueden no estar
preparadas para la realidad de ese mundo de “cualquiera a cualquiera”, al menos desde
el punto de vista de la seguridad.
“El quid del sistema de ‘cualquiera a cualquiera’ es el siguiente: nos acercamos a un
punto en el que cada vez hay menos posibilidades de que un usuario acceda a una
empresa a través de la red empresarial”, asegura Chris Young, Vicepresidente sénior del
grupo de seguridad y dirección de Cisco. “Cada vez se impone más la idea de que
cualquier dispositivo se conecte a cualquier instancia de la red desde la ubicación que
desee. Los dispositivos con conexión a Internet (como Smartphones o tablets) intentan
conectar con aplicaciones que podrían ejecutarse en cualquier lugar, como una nube
pública de software como servicio (SaaS), una nube privada o una nube híbrida.”
Simultáneamente se está produciendo otra transformación, una progresión constante
hacia la formación de un “Internet de Todo”, en la que se produce una conexión
inteligente de:
• Personas: redes sociales, núcleos de población, entidades digitales
• Procesos: sistemas, procesos comerciales
• Datos: World Wide Web, información
• Cosas: mundo físico, dispositivos y objetos
“Cada vez se impone más la idea de que cualquier dispositivo se conecte a cualquier
instanciación de la red desde la ubicación que desee. Los dispositivos con conexión a
Internet (como Smartphones o tablets) intentan conectar con aplicaciones que podrían
ejecutarse en cualquier lugar.”
Chris Young, Vicepresidente sénior del grupo de seguridad y gobierno de Cisco
Ese Internet de Todo se basa en un “Internet de las cosas”1 y añade la inteligencia de
redes que posibilita una convergencia, orquestación y visibilidad entre sistemas
anteriormente aislados. Las conexiones en ese Internet de Todo no se reducen a
dispositivos móviles o portátiles y equipos de sobremesa, sino también a un número
cada vez mayor de conexiones entre máquinas (M2M) que se unen a la red cada día.
Esas “cosas” a menudo son elementos que usamos cada día sin reparar en ellos y que no
solemos creer que estén conectados, como un sistema de calefacción doméstico, una
turbina eólica o un automóvil.
El Internet de Todo es sin duda un concepto aún por materializar, aunque no está lejos
del concepto “cualquiera a cualquiera”. Y aunque sin duda supondrá desafíos de
seguridad para las empresas, también ofrecerá nuevas oportunidades. “Se crearán y
ocurrirán cosas increíbles a medida que crezca ese Internet de Todo”, asegura Nancy
17
Cam-Winget, ingeniera de Cisco. “El crecimiento y la convergencia de personas,
procesos, datos y cosas en Internet darán una importancia y un valor a las conexiones de
red nunca vistos.” Y al final, el Internet de Todo ofrecerá nuevas funciones,
experiencias más ricas y oportunidades económicas sin precedentes a países, empresas y
personas.
2.1.1. La Nube complica la seguridad
La dificultad que supone asegurar una amplia gama de aplicaciones, dispositivos y
usuarios, tanto en el contexto del “cualquiera a cualquiera” como en el de Internet de
Todo, se ve acrecentada por la popularidad de la nube como medio para administrar
sistemas empresariales. Según los datos recopilados por Cisco, se espera que el tráfico
mundial de los Data Centers se cuadriplique en los próximos cinco años, y el
componente que presenta un crecimiento más rápido son los datos en la nube. En el año
2016, el tráfico mundial en la nube supondrá casi dos tercios del tráfico total de los
Data Centers. Las soluciones de seguridad fragmentadas, como firewalls en un
perímetro de red cambiable, no aseguran unos datos que ahora están en constante
movimiento entre dispositivos, redes y nubes. Incluso entre los Data Centers, que ahora
alojan las “joyas de la corona” de las organizaciones (bigdata), la virtualización empieza
a ser más la regla que la excepción. Para afrontar los desafíos de seguridad que plantean
la virtualización y la nube es necesario replantearse los métodos de seguridad de
acuerdo con este nuevo paradigma; hay que cambiar los controles perimetrales y los
antiguos modelos de acceso y contención para proteger el nuevo modelo empresarial.
2.1.2. Trabajadores conectados y privacidad de datos
Otro factor que complica esta ecuación de “cualquiera a cualquiera” son los trabajadores
jóvenes y móviles. Este grupo está convencido de que deben poder trabajar estén donde
estén, con cualquier dispositivo que tengan a su alcance. En el Informe anual de
seguridad de Cisco 2013 se han incluido los resultados del informe tecnológico sobre un
mundo conectado de Cisco 2012 (2012 Cisco Connected World Technology Report),
que se basa en un estudio realizado en 2011 sobre el cambio de actitud de los
estudiantes universitarios y jóvenes profesiones del mundo hacia el trabajo, la
tecnología y la seguridad.
Este último estudio arroja más luz sobre la actitud de estos trabajadores hacia la
seguridad, y se centra especialmente en el tema de la privacidad y en hasta qué punto y
frecuencia puede una empresa inmiscuirse en el deseo de un empleado de recorrer
Internet mientras trabaja. Ese informe tecnológico sobre un mundo conectado de Cisco
2012 también examina si la privacidad en línea sigue siendo una preocupación activa
para todos los usuarios.
18
2.1.3. Proliferación de terminales
Teniendo en cuenta que hoy en día menos del 1% de los objetos del mundo físico están
conectados, hay un inmenso potencial para “conectar lo esconectado”4. Se espera que
con un Internet que ya cuenta con aproximadamente 50 000 “cosas” conectadas, el
número de conexiones alcance la cifra de 13 311 666 640 184 600 en el año 2020.
Con que solo una “cosa” se añada a Internet (50 000 millones + 1) el número de
conexiones aumentará en otros 50 000 millones. En cuanto a los “objetos” que
formarán parte de ese “todo”, se incluirán desde Smartphones a sistemas de calefacción
domésticos y desde turbinas eólicas a automóviles. Dave Evans, jefe de la sección
Futuro de Cisco en el Grupo de Soluciones Empresariales para Internet, describe el
concepto de proliferación de puntos terminales de la siguiente forma: “Cuando su
automóvil se conecte a Internet de Todo en un futuro próximo, solo aumentará en uno
los objetos que se integran en Internet. Pero piense en todos los otros elementos a los
que puede conectarse su automóvil: otros automóviles, semáforos, su hogar, el servicio
de mantenimiento, los informes del tiempo, las señales de tráfico... incluso la propia
carretera”.
En el Internet de Todo lo más importante son las conexiones. Son los tipos de
conexiones, y no su número, lo que aportan un valor entre personas, procesos, datos y
objetos. Y llegará el momento en el que el número de conexiones dejará atrás al número
de cosas. La explosión de nuevas conexiones que ya empiezan a formar parte del
Internet de Todo se ve impulsada principalmente por el desarrollo de cada vez más
dispositivos con IP, pero también por el aumento de la disponibilidad mundial de banda
ancha y la llegada del IPv6. Los riesgos de seguridad que plantea el Internet de Todo no
están solo relacionados con la proliferación de terminales que se relacionan libremente y
nos acercan, día a día, a un mundo cada vez más conectado, sino también con la
oportunidad que tienen algunos sujetos malintencionados de utilizar cada vez más
vericuetos para poner en peligro a los usuarios, redes y datos. Las nuevas conexiones en
sí pueden provocar riesgos porque ponen en movimiento más datos que necesitan
protección en tiempo real, incluyendo los crecientes volúmenes de big-data que las
empresas siguen recopilando, almacenando y analizando.
“El Internet de Todo se está materializando rápidamente, por lo que los profesionales de
seguridad deben cambiar su enfoque y dejar de simplemente asegurar terminales y el
perímetro de la red”, asegura Chris Young. “Habrá demasiados dispositivos, conexiones
y tipos de contenidos y aplicaciones, y el número no deja de crecer. Con este panorama,
la propia red se convierte en parte del paradigma de seguridad que permite a las
empresas ampliar las políticas y el control en distintos entornos.”
19
2.2. Los servicios se encuentran en muchas nubes
El componente con mayor crecimiento de esta increíble proliferación son los datos en la
nube. El tráfico mundial en la nube se sextuplicará durante los próximos cinco años, con
una tasa de crecimiento del 44% de 2011 a 2016. De hecho, en el año 2016 el tráfico
mundial en la nube supondrá casi dos tercios del tráfico total de los Data Centers.
Esta explosión del tráfico en la nube plantea dudas sobre la capacidad de las empresas
de administrar esta información. En la nube, las líneas de control son difusas: ¿cómo
puede una organización situar redes de seguridad alrededor de sus datos en la nube si no
es la propietaria y gestora del Data Center? ¿Cómo pueden aplicarse herramientas
básicas de seguridad como firewalls y software antivirus si no es posible definir el
perímetro de la red? Independientemente de las dudas de seguridad que surjan, está
claro que cada vez más empresas recurren a los beneficios de las nubes, y aquellas que
lo han hecho no se muestran propensas a volver al modelo de Data Center privado.
Aunque la nube ofrece a las organizaciones muchas oportunidades como la reducción de
costes, mayor colaboración para la plantilla, productividad y una menor huella de
carbono, los posibles riesgos de seguridad a los que se enfrentan las empresas por
trasladar sus datos y procesos comerciales a la nube incluyen:
2.2.1. Hipervisores
La violación de este software que crea y ejecuta las máquinas virtuales podría poner en
peligro los datos o provocar el hackeo masivo de múltiples servidores, ya que la
facilidad de gestión y acceso que ofrece la virtualización correría a favor del ataque
pirata. Un hipervisor no autorizado (o controlado mediante “hyperjacking”) podría
hacerse con el control total de un servidor
2.2.2. Menor coste de acceso
La virtualización ha reducido el coste de acceso para proporcionar servicios como un
servidor virtual privado (VPS). En comparación con otros modelos de Data Centers
basados en hardware, la infraestructura para realizar actividades criminales es cada vez
más barata, fácil y rápida de obtener. Por ejemplo, hay muchos servicios VPS de venta
instantánea (que pueden comprarse mediante Bitcoin o algún otro tipo de pago de difícil
seguimiento) especialmente pensados para el submundo criminal. Gracias a la
virtualización la infraestructura es más barata y fácil de conseguir, sin prácticamente
ningún control de las actividades.
2.2.3. “Separación” de aplicaciones virtualizadas
Como las aplicaciones virtualizadas se han separado de los recursos físicos que utilizan,
cada vez es más difícil para las empresas aplicar los enfoques tradicionales de
seguridad. Los proveedores de IT buscan minimizar los costes con una oferta muy
20
flexible en la que pueden trasladar recursos según sea necesario, en oposición con el
grupo de seguridad que busca ubicar juntos los servicios con características similares de
seguridad y separarlos de aquellos que pueden ser menos seguros.
“La virtualización y el Cloud Computing ocasionan problemas parecidos a los el
BYOD, solo que al revés”, afirma Joe Epstein, anterior director ejecutivo de Virtuata,
una compañía adquirida por Cisco en 2012 que ofrece innovadoras funciones para
asegurar la información de máquinas virtuales en Data Centers y entornos en la nube.
“Ahora las aplicaciones y datos de mayor valor están en movimiento en el Data Center.
Y a las empresas les resulta incómoda la idea de las cargas de trabajo virtuales.
En un entorno virtual, ¿cómo se puede saber si lo que se está ejecutando es fiable? La
respuesta es que hasta ahora no ha sido posible... y esa incertidumbre ha supuesto una
gran barrera para la adopción de la nube.”
Sin embargo, Epstein asegura que cada vez resulta más difícil para las empresas ignorar
la virtualización y la nube. “El mundo va a compartirlo todo”, asegura. “Todo va a
virtualizarse, todo va a compartirse. Ya no tendrá sentido seguir ejecutando Data
Centers privados; la IT evoluciona hacia las nubes híbridas.”
La respuesta a estos crecientes desafíos de la nube y la virtualización es una seguridad
ágil y adaptable. En este caso, la seguridad debe ser un elemento programable que se
integre a la perfección en el fabricante de Data Center, según Epstein. Además, la
seguridad debe integrarse en la fase de diseño en lugar de embutirse tras la
implementación.
2.3. La fusión del uso personal y laboral; el nuevo milenio y el
lugar de trabajo
Según el informe tecnológico sobre un mundo conectado de Cisco 2012, dos tercios de
los encuestados creían que los empleadores no debían supervisar las actividades en línea
de sus empleados con dispositivos proporcionados por la empresa.
En resumen, creen que esas actividades no son asunto de sus empleadores. Solo un
tercio (34%) de los trabajadores encuestados afirmaba que no le importaba si sus
empleadores controlaban lo que hacían en línea. Solo uno de cada cinco encuestados
afirmaba que sus empleadores supervisaban sus actividades en línea con los dispositivos
propiedad de la empresa, y el 46% afirmaba que sus empleadores no supervisaban
ninguna actividad.
Los resultados del último estudio de un mundo conectado también demuestran que los
trabajadores del nuevo milenio tienen muy claro lo que piensan sobre los empleadores
que vigilan la actividad en línea de sus trabajadores, incluso aquellos que trabajan en
empresas en las que esa vigilancia no se produce.
En lo relativo a los desafíos para los profesionales de seguridad, parece haber una
disociación entre lo que los empleados creen que pueden hacer con los dispositivos de
21
su empresa y las políticas de IT aplicables al uso personal. Cuatro de cada 10
encuestados afirman que en teoría solo deben usar los dispositivos de la empresa para
realizar su trabajo, mientras que una cuarta parte de ellos afirma que tienen permiso
para utilizar dichos dispositivos para usos personales. Sin embargo, el 90% de los
profesionales de IT encuestados afirmaba que existen políticas que prohíben el uso
personal de dispositivos de la empresa, aunque el 38% reconoce que los empleados
infringen esa política y emplean los dispositivos para actividades personales, además de
las laborales.
2.4. La privacidad y los trabajadores del nuevo milenio
De acuerdo con el informe tecnológico sobre un mundo conectado de Cisco 2012, los
trabajadores del nuevo milenio han aceptado que, gracias a Internet, la privacidad
personal puede ser un concepto del pasado. El 91% de los jóvenes consumidores
encuestados afirma que la era de la privacidad ha llegado a su fin y cree que no puede
controlar la privacidad de su información, y un tercio de ellos informa de que no le
preocupa que se almacenen y recopilen datos sobre ellos.
En general, los trabajadores del milenio también creen que su identidad en línea es
distinta de la física. El 45% de ellos afirma que esas identidades suelen ser distintas en
función de la actividad en cuestión, y el 36% piensa que las identidades son
completamente diferentes. Solo el 8% cree que las identidades son idénticas.
Los jóvenes consumidores también tienen altas expectativas sobre el celo con el que los
sitios web cuidan la privacidad de su información y, a menudo, se sienten más cómodos
compartiendo datos en grandes redes sociales o comunidades en línea por el grado de
anonimato que ofrece la multitud. El 46% asegura que esperan que ciertos sitios web
garanticen la seguridad de su información, y el 17% asegura que confían en que la
mayoría de los sitios web realmente lo hagan. Sin embargo, el 29% asegura que no solo
no confían en los sitios web para que mantengan la privacidad de su información, sino
que además les preocupa mucho la seguridad y el robo de identidad. Estos datos
resultan curiosos si se piensa en la idea de compartir datos con un empleador que tiene
el contexto de quiénes son y lo que hacen.
“Los trabajadores del nuevo milenio están entrando ahora en el mercado laboral, y traen
consigo nuevos hábitos de trabajo y actitudes sobre la información y la seguridad
relacionada con ella. Creen que el concepto de privacidad está desfasado (que en la
práctica ya no es operativo y que las organizaciones deben responder a este paradigma),
lo que puede resultar chocante para las generaciones anteriores con las que comparten
lugar de trabajo” asegura Adam Philpott, director de ventas de seguridad de EMEAR de
Cisco. “Sin embargo, las organizaciones pueden asegurarse de proporcionar a sus
empleados formación sobre seguridad de la información para advertirles de los riesgos y
ofrecerles orientación sobre la mejor forma de compartir información y aprovechar las
herramientas en línea respetando los límites de seguridad de los datos.”
22
2.5. Big-data, La gran oportunidad para las empresas actuales
El informe tecnológico sobre un mundo conectado de Cisco 2012 examinaba el impacto
de la tendencia del big-data en las empresas, más concretamente en sus equipos de IT.
Según los resultados del estudio, aproximadamente tres cuartas partes de las
organizaciones (74%) de todo el mundo ya recopilan y almacenan datos, y sus
directivos usan el análisis del big-data para adoptar decisiones comerciales. Además,
siete de cada diez encuestados de IT aseguraban que el big-data será una prioridad
estratégica de su compañía y el equipo de IT en el siguiente año.
La aparición y evolución de la movilidad, la nube, la virtualización y la proliferación de
puntos terminales y otras tendencias de redes allanan el camino para un big-data aun
mayor y oportunidades de análisis para los negocios. Pero el bigdata plantea problemas
de seguridad. El estudio sobre un mundo conectado de 2012 demuestra que un tercio de
los encuestados (32%) cree que el big-data complica los requisitos de seguridad y la
protección de los datos y las redes, dado que hay una inmensa cantidad de datos y
demasiadas formas de acceder a ellos. En pocas palabras, el big-data aumenta los
vectores y ángulos que deben cubrir los equipos y las soluciones de seguridad
empresariales.
Corea (45%), Alemania (42%), Estados Unidos (40%) y México (40%) tienen el
mayor porcentaje de encuestados de IT que creen que el big-data dificulta la seguridad.
Para ayudar a garantizarla, la mayoría de los encuestados de IT (más de dos tercios, el
68%) cree que todo el equipo de IT debe participar en crear estrategias y liderar los
esfuerzos de big-data en sus empresas.
Gavin Reid, director de investigación de amenazas de Cisco Security Intelligence
Operations, asegura que “El big-data no complica la seguridad: la hace posible. En
Cisco recopilamos y almacenamos 2,6 billones de registros cada día, con lo que
formamos la plataforma desde la que iniciamos la detección y el control de incidentes.”
En cuanto a las soluciones diseñadas para ayudar a las empresas a administrar mejor y
aprovechar el valor de su big-data, hay ciertas barreras para su adopción.
Los encuestados señalaron la falta de presupuesto o tiempo para analizar el big-data, así
como la falta de soluciones adecuadas, personal de IT o conocimientos de IT. El hecho
de que casi uno de cada cuatro encuestados en todo el mundo (23%) señalara la falta de
conocimientos y personal como obstáculo para que su empresa usara el big-data con
eficacia indica la necesidad de más profesionales de esta área en el mercado laboral. La
nube es otro factor para el éxito del big-data, de acuerdo con el 50% de encuestados de
IT del estudio sobre un mundo conectado de 2012. Creen que sus organizaciones
necesitan elaborar planes e implementaciones en la nube para que el big-data valga la
pena. Esta opinión era generalizada en China (78%) e India (76%), donde más de tres
de cada cuatro encuestados creían que existía cierta dependencia de la nube para que el
big-data realmente pudiera despegar. Como resultado, en algunos casos el estudio
indicaba que la adopción de la nube afectaría a la tasa de adopción (y los beneficios) de
los esfuerzos en big-data. Más de la mitad de los encuestados generales de IT también
confirmaban que las conversaciones sobre big-data en sus empresas aún no habían dado
frutos. Eso no es sorprendente si se tiene en cuenta que el mercado acaba de empezar a
entender cómo aprovechar su big-data, analizarlo y usarlo de forma estratégica.
23
Sin embargo, en algunos países el planteamiento del big-data comienza a redundar en
importantes decisiones estratégicas, orientación y soluciones. China (82%), México
67%), India (63%) y Argentina (57%) son líderes en este sentido, y más de la mitad de
los encuestados de estos países asegura que los proyectos de big-data en sus
organizaciones están en marcha y generan acciones y resultados favorecedores.
Tres de cada cinco encuestados de IT del informe sobre un mundo conectado 2012
creen que el big-data ayudará a los países y sus economías a hacerse más competitivos
en el mercado mundial.
2.6. Estado de las vulnerabilidades, el peligro se esconde en los
sitios más extraños
La creencia general es que los sitios que promueven actividades delictivas, como los de
venta de fármacos ilegales o de mercancías de lujo falsificadas, son los que tienen más
posibilidades de alojar malware. Nuestros datos revelan que esa creencia está desfasada,
ya que las amenazas de malware web no son habituales en los sitios web “malos” del
paisaje de amenazas actual. “Los problemas de malware web se producen en cualquier
lugar de Internet que reciba muchas visitas, incluyendo sitios web legítimos que visitan
con frecuencia, incluso con fines comerciales”, afirma Mary Landesman, investigadora
sénior de seguridad de Cisco.
“De hecho, los sitios web comerciales e industriales eran una de las tres principales
categorías visitadas cuando se produjo un ataque de malware. Por supuesto, no se debe
a que esos sitios web comerciales se diseñaran con fines perniciosos.” Sin embargo, los
peligros se ocultan a plena vista, en anuncios en línea con vulnerabilidades o piratas que
buscan la comunidad del usuario en los sitios comunes que más visitan.
Además, los sitios web infectados con malware son comunes en muchos países y
regiones, no solo en uno o dos países, lo que contradice la idea de que los sitios web de
ciertas naciones son más propensos a contener contenido dañino que otros. “La web es
el mecanismo de distribución de malware más formidable que hemos visto hasta la
fecha, superando incluso al virus o gusano más prolífico en capacidad de llegar e
infectar a una audiencia masiva de forma silenciosa e inexorable”, afirma Landesman.
“Las empresas necesitan protección, aunque bloqueen los sitios malos más comunes,
con un examen y análisis más detallados.”
2.6.1. Ataques de malware según el tamaño de la empresa
Las mayores empresas (más de 25 000 empleados) tienen más de 2,5 veces el riesgo de
sufrir malware web que las de menor tamaño. Este aumento del riesgo puede deberse a
que las empresas de mayor volumen poseen una propiedad intelectual de mayor valor, y
son un objetivo más codiciado. Aunque las empresas más pequeñas sufren menos
ataques por usuario, es importante señalar que todas las compañías, sin importar su
tamaño, se enfrentan a un fuerte peligro de ataque de malware. Todas las organizaciones
deben centrarse en asegurar su red y su propiedad intelectual.
24
2.6.2. Ataques de malware por país
Un estudio de Cisco muestra importantes cambios en el paisaje mundial de ataques de
malware por país en 2012. China, que fue la segunda de la lista de ataques de malware
web en 2011 tuvo una notable bajada hasta la sexta posición en 2012. Dinamarca y
Suecia ostentan la tercera y cuarta posición, respectivamente. Estados Unidos conserva
la primera posición en 2012, como ya hiciera en 2011, siendo el país que alojó el 33%
de los sitios web en los que produjeron ataques de malware web.
Es probable que los cambios de distribución geográfica entre 2011 y 2012 reflejen
cambios en la detección y los hábitos de los usuarios. Por ejemplo, el “malvertising” o
malware distribuido mediante anuncios en línea representó una mayor proporción en los
ataques de malware web en 2012 que en 2011. Cabe repetir que los ataques de malware
en la web suelen producirse al navegar con normalidad en sitios web auténticos que
pueden haber sido pirateados o que sin saberlo incluyen anuncios dañinos. Los anuncios
perniciosos pueden afectar a cualquier sitio web, independientemente de su origen.
En general, los datos geográficos de 2012 demuestran que la web es un agente
infeccioso bastante ecuánime, desmintiendo la idea generalizada de que hay países más
seguros que otros en cuanto a alojamiento de malware web. Al igual que la distribución
dinámica de contenido de la Web 2.0 permite la rentabilización de sitios web en todo el
mundo, también puede facilitar la distribución mundial de malware web.
Por supuesto, hay una gran diferencia entre el lugar en el que se produce un ataque de
malware web y el lugar que, de hecho, aloja dicho malware. Por ejemplo, en los
anuncios de malware, el ataque suele producirse cuando alguien visita un sitio web
auténtico y bien establecido que resulta que contiene publicidad de terceros.
Sin embargo, el propio malware que se desea distribuir está alojado en un dominio
totalmente distinto. Como los datos de Cisco se basan en dónde se produjo el ataque, no
hay información sobre el origen real del malware. Por ejemplo, el aumento de
popularidad de las redes sociales y los sitios de ocio en Dinamarca y Suecia, unida a los
riesgos de los anuncios web, son en gran medida responsables del aumento de ataques
en los sitios alojados en esas regiones, aunque esto no es indicativo del origen primero
del malware.
2.6.3. Principales tipos de malware web en 2012
El malware para Android creció significativamente más rápido que ninguna otra forma
de malware distribuido por la red, lo que constituye una tendencia importante dado que
Android parece ostentar la mayor cuota de mercado de dispositivos móviles del mundo.
Es importante tener en cuenta que los ataques de malware móvil solo representan el
0,5% de todos los ataques de malware web de 2012, y Android asumió más del 95% de
todos estos ataques de malware web.
Además, 2012 fue testigo del primer botnet Android descontrolado, lo que indica que
cabe vigilar el desarrollo de malware móvil durante 2013. Aunque algunos expertos
aseguran que Android es la “mayor amenaza” o debería ser uno de los principales
25
objetivos para los equipos de seguridad de las empresas en 2013, los datos reales
muestran otra cosa. Como se indica anteriormente, el malware web móvil en general
representa menos del 1% total de los ataques, lo que se aleja mucho del escenario
apocalíptico que muchos vaticinan.
No conviene exagerar el impacto del BYOD y la proliferación de dispositivos, pero las
organizaciones deben preocuparse más por amenazas como la pérdida de datos
accidentales, asegurándose de que los empleados no desbloqueen la “root” de sus
dispositivos ni los liberen, y que únicamente instalen aplicaciones de canales de
distribución oficiales y de confianza. Si los usuarios eligen acudir a tiendas de
aplicaciones móviles que no sean oficiales, deben conocer al autor de la aplicación y
confiar en él, así como validar que el código no ha sido manipulado. Viendo al amplio
espectro de malware web, no es de sorprender que los scripts y los marcos iFrame
representen el 83% de los ataques en 2012.
Aunque esta tendencia es relativamente coherente con los años anteriores, merece la
pena cierta valoración. Estos tipos de ataques a menudo representan código dañino en
páginas fiables” que los usuarios visitan todos los días, lo que significa que un atacante
puede poner en riesgo a los usuarios sin siquiera levantar sospechas.
El aprovechamiento de vulnerabilidades ocupa el segundo puesto, con un 10% del
número total de ataques de malware web durante el último año. Sin embargo, esas cifras
representan el lugar donde se produjo el bloqueo, no la concentración real de
aprovechamiento de vulnerabilidades en la web. Por ejemplo, el 83% de scripts dañinos
y marcos iFrames ocultos son bloqueos que se producen en una fase temprana, antes de
que realmente se aproveche la vulnerabilidad, y por ello puede reducir artificialmente el
número de vulnerabilidades observadas. El aprovechamiento de vulnerabilidades sigue
siendo una importante causa de infección a través de la web, y su presencia continuada
destaca la necesidad de los proveedores de adoptar buenas prácticas de seguridad en los
ciclos de vida de sus productos. Las organizaciones deben centrarse en la seguridad
como parte del proceso de diseño y desarrollo de productos, con identificación puntual
de las vulnerabilidades y ciclos periódicos y frecuentes de parches.
Las organizaciones y usuarios también deben ser conscientes de los riesgos de
seguridad asociados con el uso de productos que ya no reciben soporte de sus
proveedores. También es vital que las organizaciones tengan un proceso central de
gestión de vulnerabilidades y que los usuarios mantengan su hardware y software
actualizados. Redondeando, los cinco principales de la lista son ladrones de
información, con 3,5% de los ataques de malware web totales en 2012, descargadores
troyanos (1,1%) y gusanos (0,8%). Una vez más, esos números reflejan dónde se
produce el bloqueo, generalmente en el punto en el que el guion o marco iFrame dañino
ataca por primera vez. En consecuencia, estos números no reflejan el número real de
ladrones de información, descargadores troyanos o gusanos que se distribuyen a través
de la Web.
2.6.4. Principales tipos de contenido de malware
Los creadores de malware buscan constantemente multiplicar el retorno de su inversión
(ROI) alcanzando a la mayor población de víctimas con el menor esfuerzo y aprovechan
las tecnologías compatibles con varias plataformas siempre que les resulta posible. Con
26
este fin, los kits de herramientas de aprovechamiento de vulnerabilidades suelen
distribuir los intentos en un orden específico, de modo que cuando se ha encontrado una
vulnerabilidad con éxito, no se buscan más. La alta concentración de vulnerabilidades
de Java (87% del total de ellas) demuestra que son la primera opción antes de intentar
otros tipos de amenazas y que los atacantes suelen tener éxito con esas vulnerabilidades.
Además, al haber más de 3000 millones de dispositivos ejecutando Java16, esta
tecnología representa un valor seguro para que los piratas extiendan sus ataques en
múltiples plataformas.
Otras dos tecnologías compatibles con varias plataformas (PDF y Flash) ostentan el
segundo y tercer lugar en el análisis de Cisco de principales tipos de contenido para
distribución de malware. Aunque las vulnerabilidades de Active X se siguen
aprovechando, los investigadores de Cisco han detectado un uso cada vez menor de esta
tecnología como vehículo de malware. Sin embargo, como se mencionó anteriormente
sobre Java, el bajo número de un cierto tipo de vulnerabilidades solo refleja el orden en
el que se intentan aprovechar las vulnerabilidades. Al examinar el contenido
multimedia, los datos de Cisco revelan casi el doble de malware basado en imágenes
que en vídeos que no sean de Flash. Sin embargo, esto se debe en parte a la forma en
que los navegadores gestionan los tipos de contenido declarado y a los esfuerzos de los
atacantes para manipular esos controles declarando tipos de contenido erróneos.
Además, los sistemas de control y comando de malware a menudo distribuyen
información de servidor mediante comentarios ocultos en archivos de imágenes
normales.
2.6.5. Principales categorías de sitios
Como muestran los datos de Cisco, la noción de que las infecciones de malware suelen
ser resultado de sitios “peligrosos” como los de software pirateado es un concepto
erróneo.
Los análisis de Cisco demuestran que la gran mayoría de problemas de malware web en
realidad se producen por la exploración correcta de sitios web reales. O, lo que es lo
mismo, la mayoría de problemas se producen en los sitios web más visitados por los
usuarios en línea, los que toman por seguros.
El segundo puesto de la lista lo ocupan los anuncios en línea, que representan el 16%
del total de ataques de malware web. La publicidad sindicada es un método común de
rentabilizar sitios web, por lo que un único anuncio dañino que se distribuya de este
modo puede tener un impacto muy amplio y negativo. Si examinamos más
detalladamente la lista de categorías de sitios en los que se producen ataques de
malware, el tercer lugar lo ocupan los sitios comerciales e industriales, que incluyen
desde sitios empresariales a recursos humanos, pasando por servicios de transporte. Los
juegos en línea están en cuarto lugar, seguidos de sitios de alojamiento web y motores
de búsqueda, que ocupan el quinto y el sexto respectivamente.
Las 20 categorías principales de sitios Web no incluyen los sitios que se suelen
considerar perniciosos. Hay una rica mezcla de tipos de sitios populares y auténticos
como compras en línea (nº 8), noticias (nº 13) y aplicaciones SaaS/entre compañías (nº
16).
27
Los ciberdelincuentes prestan gran atención a los hábitos modernos de navegación para
exponer la mayor población posible al malware web. Los creadores de malware irán allá
donde se encuentren los usuarios en línea para aprovechar los sitios web de confianza
mediante manipulación directa o aprovechando las redes de distribución de terceros.
2.6.6. Aplicaciones populares por coincidencias de búsqueda
Los cambios de hábitos de los usuarios en línea amplían el coto de caza en el que los
ciberdelincuentes pueden aprovechar las vulnerabilidades. Las organizaciones de todos
los tamaños adoptan las redes sociales y el vídeo en línea; la mayoría de marcas
principales tienen presencia en Facebook y Twitter y muchos integran las redes sociales
en sus propios productos. Estos destinos web atraen grandes audiencias y tienen gran
aceptación en los entornos de las empresas, por lo que ofrecen una excelente
oportunidad para distribuir malware.
De acuerdo con los datos de Cisco AVC (del inglés Application Visibility and Control,
Visibilidad y control granular de aplicaciones), la gran mayoría (91%) de solicitudes
web se dividen entre motores de búsqueda (36%), sitios de vídeo en línea (22%), redes
de publicidad (13%) y redes sociales (20%).
Si los datos sobre los principales sitios web visitados en Internet se relacionan con la
categoría más peligrosa de sitio web, los mismos lugares en línea a los que se exponen
más los usuarios son los de mayor exposición al malware, como los motores de
búsqueda, que son las principales zonas que propician los ataques de malware web. Esta
relación muestra una vez más que los creadores de malware buscan obtener el mayor
ROI posible, por lo que se centrarán en los lugares con mayor número de usuarios,
donde haya mayor facilidad de exposición.
2.7. Evolución de las amenazas; Nuevos métodos, mismas
vulnerabilidades
Esto no quiere decir que aquellos que actúan en la sombra no sigan buscando
herramientas y técnicas cada vez más avanzadas para poner en riesgo a los usuarios,
infectar redes o robar datos confidenciales, entre muchos otros objetivos. Sin embargo,
en 2012 se produjo una tendencia de retorno a los viejos métodos comprobados para
engañar o evitar la protección de seguridad de las empresas. Los ataques de negación de
servicio (DDoS) distribuida son un gran ejemplo: varias instituciones financieras
importantes de EE. UU. Constituyeron objetivos de alto perfil de dos grandes campañas
relacionadas e iniciadas por grupos de hacktivistas extranjeros en el último semestre de
2012 (consulte la sección Tendencias de negación de servicio distribuida de 2012 si
desea más información). Algunos expertos de seguridad advierten que estos eventos son
solo el principio y que “hacktivistas, círculos de crimen organizado e incluso gobiernos
soberanos podrían estar en el origen”19 de estos ataques en el futuro, trabajando tanto
en colaboración como de forma independiente.
28
“Estamos observando una tendencia en la DDoS, en la que los atacantes proporcionan
contexto adicional sobre el sitio objetivo para que la interrupción sea más significativa”
afirma Gavin Reid, director de investigación de amenazas de Cisco Security Intelligence
Operations. “En vez de realizar una inundación SYN, ahora la DDoS intenta manipular
una aplicación concreta de la organización, que al fallar puede provocar una serie de
daños en cascada.” Aunque las empresas pueden creer que estar bien protegidas contra
la amenaza de DDoS, lo más probable es que su red no pueda defenderse contra el tipo
de inexorables ataques de DDoS de alto volumen observados en 2012. “Incluso la
seguridad de la red más puntera y vanguardista se ve a menudo superada por adversarios
avanzados, aunque mediocres”, afirma Gregory Neal Akers, vicepresidente sénior del
grupo de iniciativas de seguridad avanzada de Cisco.
Otra tendencia en la comunidad del cibercrimen está relacionada con la
“democratización” de las amenazas. Estamos observando que aquellos que trabajan al
margen de la legalidad comparten ampliamente herramientas y técnicas, junto con la
información sobre cómo aprovechar las vulnerabilidades. “Se ha producido una gran
evolución en su capacidad de maniobra”, afirma Akers. “Estamos detectando una mayor
especialización y colaboración entre agentes perniciosos. Se parece a una línea de
montaje: alguien desarrolla un error, otro escribe el malware, un tercero diseña el
componente de ingeniería social, y así sucesivamente.”
Uno de los motivos por el que los ciberdelincuentes combinan sus conocimientos con
mayor frecuencia es para crear potentes amenazas que les ayuden a acceder a los
grandes volúmenes de activos de alto valor procedentes de la red. Pero al igual que
cualquier organización real que externaliza tareas, la eficiencia y el ahorro de costes son
uno de los principales impulsores del enfoque de creación de amenazas de la
comunidad de la ciberdelincuencia. Los “expertos independientes” que suelen
contratarse para estas tareas suelen anunciar sus habilidades y tarifas en mercados en
línea secretos.
2.7.1. Utilización hostil de las técnicas de evasión modernas
Los ciberdelincuentes desarrollan constantemente nuevas técnicas para evitar los
dispositivos de seguridad. Los investigadores de Cisco buscan concienzudamente
nuevas técnicas y el uso hostil de técnicas ya conocidas.
El departamento de operaciones y estudio de seguridad de Cisco gestiona varios
laboratorios de malware para observar el tráfico malintencionado sin controlar. Se libera
intencionadamente malware en el laboratorio para asegurar que los dispositivos de
seguridad son efectivos, y también se dejan desprotegidos ordenadores para que sean
vulnerables y se les expone a Internet.
Durante una de esas pruebas, la tecnología del Sistema de prevención de intrusiones
(IPS) de Cisco detectó un ataque bien conocido de llamada de procedimiento remoto de
Microsoft (MSRPC). Un exhaustivo análisis determinó que el ataque usaba una táctica
nunca vista de evasión de malware para intentar omitir los dispositivos de seguridad28.
La evasión envió varios ID de contexto de enlace dentro de la solicitud inicial de enlace.
Este tipo de ataque puede evitar las barreras de protección a no ser que el IPS supervise
y determine cuál de los ID tuvo éxito.
29
2.8. Spam, ese intruso constante
.
Sin embargo, a pesar de la idea extendida de que el malware suele propagarse a través
de los archivos adjuntos de los correos electrónicos spam, el estudio de Cisco demuestra
que muy pocos spammers confían hoy en este método; en su lugar optan por vínculos
dañinos en el correo electrónico como mecanismo eficaz de distribución.
Además, el spam es hoy en día menos generalista que en el pasado, y los spammers
prefieren dirigirse a un grupo específico de usuarios con la esperanza de obtener
mejores beneficios. Los fármacos de marca, los relojes de lujo y acontecimientos como
la declaración de la renta son los principales productos que los spammers promocionan
en sus campañas.
Con el tiempo, los spammers han aprendido que la forma más rápida de atraer clics y
compras (y generar beneficios) es aprovechar marcas falsificadas y acontecimientos
actuales que atraen a grandes grupos de usuarios.
2.8.1. Tendencias mundiales de spam
Desde los desmantelamientos de las botnet a gran escala en 2010, el spam de gran
volumen ya no es tan efectivo como solía ser, y los spammers han aprendido de ello y
han cambiado sus tácticas. Hay una clara evolución hacia campañas más reducidas y
mejor orientadas que se basan en acontecimientos mundiales o subconjuntos específicos
de usuarios. El spam de mayor volumen es el que los proveedores de correo pueden
detectar con más facilidad y eliminar antes de que cumpla su propósito. En 2011, el
volumen mundial total de spam se redujo en un 18%, lo que queda lejos de la
formidable reducción de volumen que tuvo lugar en 2010 tras el desmantelamiento de
las botnet, aunque la continuidad de la tendencia de descenso no deja de ser positiva.
Los spammers siguen concentrándose en minimizar el esfuerzo maximizando el
impacto. Según el análisis de Cisco, los volúmenes de spam se reducen en un 25%
durante los fines de semana, momento en que los usuarios no suelen consultar su correo,
y llegan a sus niveles más altos los martes y miércoles, siendo de media un 10%
superior a otros días laborables.
Este pico de actividad a mediados de semana con volúmenes más reducidos durante el
fin de semana permite a los spammers tener “vidas normales”, y les permite contar con
tiempo para elaborar a principios de semana campañas personalizadas para eventos
mundiales que les ayudarán a generar una mayor tasa de respuesta. En 2012 se
produjeron varios ejemplos de spammers que aprovecharon acontecimientos mundiales,
e incluso tragedias humanas, para aprovecharse de los usuarios.
Durante el huracán Sandy, por ejemplo, los investigadores de Cisco detectaron un
fraude masivo de venta de acciones basado en una campaña de spam. Los spammers
usaron un mensaje de correo electrónico preexistente que animaba a invertir en acciones
de precio muy reducido para la exploración de recursos naturales, y a ese mensaje le
adjuntaron titulares sensacionalistas sobre el huracán Sandy.
30
Algo poco habitual de esta campaña es que los spammers utilizaron direcciones IP
únicas para enviar el lote de spam y no han vuelto a activar esas direcciones desde
entonces.
2.8.2. Origen del spam
En el mundo del spam, algunos países se mantienen estables mientras que otros
cambian sus posiciones radicalmente.
En 2012, la India conservó el primer puesto como origen del spam mundial, y Estados
Unidos ha ascendido desde la sexta posición en 2011 a la segunda en 2012. En general,
los cinco principales países remitentes de spam son Corea (tercero), China (cuarto) y
Vietnam (quinto).
En general, la mayoría de spammers centran sus esfuerzos en crear mensajes de spam en
los idiomas hablados por las audiencias más amplias que usen el correo electrónico con
regularidad.
De acuerdo con el análisis de Cisco, los idiomas más empleados para los mensajes de
spam en 2012 fueron el inglés, el ruso, el catalán, el japonés y el danés. Cabe destacar
las diferencias entre el lugar de origen del spam y los idiomas que se utilizan en los
mensajes; por ejemplo, aunque La India fue el principal país remitente de spam en 2012,
los dialectos de ese país no entran dentro de los 10 principales idiomas empleados en el
spam enviado. Lo mismo se aplica a Corea, Vietnam y China.
2.8.3. Archivos adjuntos a correos electrónicos
Durante mucho tiempo se ha considerado el spam como un mecanismo de distribución
de malware, especialmente cuando incluye archivos adjuntos. Sin embargo, un análisis
reciente de Cisco sobre el uso de archivos adjuntos a correos electrónicos en campañas
de spam demuestra que esta idea puede ser errónea. Solo el 3% de spam contiene
archivos adjuntos, mientras que el 25% de los correos electrónicos válidos lo tienen.
Y en los raros casos en los que un mensaje de spam incluye archivos adjuntos, esos
archivos son un 18% mayor que los que normalmente incluiría un correo electrónico
válido, por lo que dichos archivos suelen destacar mucho.
En el correo electrónico moderno, los enlaces son los reyes. Los spammers diseñan sus
campañas para convencer a los usuarios de que visiten sitios web en los que pueden
adquirir productos o servicios (a menudo dudosos). Una vez allí, se recopila
información personal de usuario, a menudo sin su conocimiento, o se les pone en riesgo
de algún otro modo.
En cuanto al análisis de “marcas falsificadas” que aparece más tarde en esta sección, la
mayoría del spam procede de grupos que quieren vender mercancía muy específica de
marca, desde relojes de lujo a medicamentos, que en la mayoría de los casos son falsos.
31
2.8.4. Spam IPv6
Aunque el correo electrónico basado en IPv6 sigue suponiendo un porcentaje muy
reducido del tráfico total, está creciendo a medida que los usuarios de correo electrónico
se trasladan a la infraestructura con IPv6. Sin embargo, aunque los volúmenes de correo
electrónico totales están creciendo rápidamente, el spam IPv6 no.
Esto sugiere que los spammers se resisten a dedicar el tiempo y dinero necesarios para
cambiar al nuevo estándar de Internet.
Los spammers no tienen ningún motivo para realizar ese cambio en estos momentos y
prácticamente no obtienen ningún beneficio de ello. Se espera que los spammers
cambien su infraestructura y aceleren sus esfuerzos a medida que se agoten las
direcciones IPv4 y los dispositivos móviles y la comunicación entre máquinas impulsen
un crecimiento exponencial del IPv6.
2.8.5. Marcas falsificadas
Los spammers aprovechan los correos spam de marcas falsificadas para que
organizaciones y productos envíen sus mensajes esperando que los usuarios en línea
hagan clic en un vínculo o realicen compras. La mayoría de marcas falsificadas son
medicamentos como ansiolíticos y analgésicos. Además, las marcas de relojes de lujo
son un “ruido” constante que se mantiene uniforme todo el año.
El análisis de Cisco muestra que los spammers también tienen facilidad para vincular
sus campañas a noticias. Desde enero a marzo de 2012, Cisco detectó un pico de spam
relacionado con software de Windows que coincidió con la comercialización del
sistema operativo Windows 8. Desde febrero a abril de 2012, durante la temporada de
declaración de la renta de EE. UU., el análisis muestra un aumento vertiginoso del spam
sobre software contable. Y en los periodos de enero a marzo y de septiembre a
diciembre de 2012 (principios y finales de año) hizo su entrada el spam relacionado con
redes profesionales, quizás porque los spammers saben que la gente suele iniciar las
búsquedas de trabajo en esos periodos del año. De septiembre a noviembre de 2012, los
spammers realizaron una serie de campañas simulando ser operadoras de telefonía
móvil, coincidiendo con la comercialización del iPhone 5.
En resumen: los spammers actúan por dinero, y los años les han enseñado la forma más
rápida de atraer clics y compras ofreciendo fármacos y objetos de lujo, y adaptando sus
ataques a eventos a los que el mundo presta gran atención.
32
2.9. Previsión de seguridad para 2013
Este informe ha demostrado que los atacantes se han vuelto cada vez más avanzados,
atacando los sitios web, herramientas y aplicaciones que los usuarios visitan con mayor
frecuencia y les resultan menos sospechosos. Las amenazas actuales pueden infectar a
gran número de usuarios de forma silenciosa y efectiva, sin discriminar por sector,
empresa, tamaño ni país. Los ciberdelincuentes están aprovechando el inmenso coto de
caza que es el mundo de “cualquiera a cualquiera”, donde las personas emplean
cualquier dispositivo para acceder a su red comercial.
Y a medida que los mercados financieros mundiales, empresas e infraestructuras
nacionales vitales continúan su evolución hacia servicios basados en la nube y
conectividad móvil, cada vez resulta más imprescindible un enfoque integrado y por
capas de la seguridad para proteger el Internet de Todo.
“Los hackers y los ciberdelincuentes aprovechan que cada entidad pública o empresa
privada tiene su propio programa de seguridad de IT”, afirma John Stewart. “Vamos a
conferencias y nos mantenemos en contacto, pero lo que de verdad tenemos que hacer
es avanzar desde una seguridad de IT individualizada a un modelo de respuesta
colectiva e intercambio de información en tiempo real.”
La creación de una infraestructura de seguridad mejor no implica que deba ser más
compleja, de hecho es más bien al contrario. Se trata de que la infraestructura y los
elementos que la componen funcionen juntos, con más inteligencia para detectar y
mitigar amenazas. La rápida adopción del BYOD, la existencia de múltiples
dispositivos por usuario y el crecimiento de los servicios basados en la nube han puesto
fin a la era en la que las funciones de seguridad se gestionaban en cada punto terminal.
“Debemos asumir un enfoque holístico que garantice que supervisamos las amenazas en
todos sus vectores, desde el correo electrónico a la web, pasando por los propios
usuarios”, asegura Michael Covington, responsable de productos de Cisco SIO. “Es
necesario extraer la inteligencia de amenazas de las plataformas individuales para poder
obtener una perspectiva de red.”
A medida que las amenazas llegan a usuarios y organizaciones desde múltiples vectores,
las empresas deben recopilar, almacenar y procesar toda la actividad de red relacionada
con la seguridad para entender mejor la amplitud y extensión de los ataques.
Este nivel de análisis puede aumentar según el contexto de la actividad de red para
poder tomar decisiones más precisas y atinadas. Los atacantes cada vez son más
aventajados, por lo que las empresas deben integrar las funciones de seguridad en el
diseño de la red desde el principio, incluyendo soluciones que aúnen la inteligencia de
amenazas, las políticas de seguridad y los controles aplicables a todos los puntos de
acceso de la red.
Los atacantes cada vez están mejor preparados, y las herramientas diseñadas para
repelerlos deben estar a su altura. La red ofrece un marco común de comunicaciones
entre plataformas, pero también proporciona un método para proteger los dispositivos,
servicios y usuarios que la usan regularmente para intercambiar contenido delicado.
La red del mañana es una red inteligente con un marco de colaboración que permite de
ofrecer una seguridad mucho mayor de la que ofrece la suma de sus componentes
individuales.
33
3. ESET NOD 32
3.1. Informe anual de Seguridad 2012
3.1.1. Enero: Cierre de Megaupload
Comenzábamos el año con la noticia del cierre de Megaupload y todas las reacciones
que se produjeron especialmente de grupos hacktivistas como Anonymous.
Hubo múltiples ataques, especialmente contra las agencias encargadas de gestionar los
derechos de autor y contra empresas como Sony.
En varios países, pero también en el nuestro, vimos cómo se hacían públicos algunos
datos privados de los responsables de la ley Sinde, empezando por los de su promotora,
Ángeles González Sinde, y los del actual Ministro de Educación, Cultura y Deporte,
José Ignacio Wert.
Estos datos incluían domicilios, teléfonos personales, datos de familiares e incluso fo-
tografías de su residencia, estando a disposición de cualquiera que quisiera consultarlos.
En enero también vimos varias intrusiones importantes, como la que sufrió la web de
venta online de zapatos Zappos.com, propiedad de Amazon.com. En esta intrusión se
comprometieron los datos de 24 millones de clientes, pero no fue la única ya que
grandes empresas como T-Mobile o incluso la Universidad de Harvard se vieron
afectadas.
Durante ese mes analizamos una vulnerabilidad en ciertos modelos de cámaras web que
permitía observar lo que estuviesen viendo en ese momento miles de estos dispositivos.
Aun hoy, son muchos los usuarios que desconocen este fallo y pueden ser vigilados por
cualquiera como si de un Gran Hermano global se tratase.
Las redes sociales también fueron campo de propagación de amenazas y engaños, como
los que prometían volver a la versión anterior del Timeline de Facebook o el uso de
fotografías llamativas para engañar a los usuarios y hacerlos completar innumerables
encuestas.
Enero también fue el mes en el que Microsoft decidió terminar con el soporte de
Internet Explorer 6 y en el que Apple retiró de su iTunes Store la aplicación WhatsApp
por supuestos fallos de seguridad.
3.1.2. Febrero: En San Valentín, novios mil
En febrero observamos cómo se volvía a utilizar la festividad de San Valentín para
propagar engaños y amenazas.
Usando diversas técnicas, los ciberdelincuentes propagaban sus creaciones y
observamos cómo seguían usando técnicas clásicas, como el envío de emails con
enlaces o adjuntos maliciosos.
También se usaron las redes sociales como vector de ataque, llenándose Facebook,
Twitter e incluso LinkedIn de enlaces con motivos de San Valentín que ofrecían
34
diversos premios. Entre estos enlaces encontramos varios que promocionaban falsas
farmacias online.
Las actividades de los grupos hacktivistas también estuvieron presentes este mes reali-
zando acciones como, por ejemplo, publicar los datos personales de miles de usuarios
de foros neonazis o datos de acceso a Youporn.
No obstante, la acción que más repercusión tuvo en España fue la filtración de datos que
realizó Anonymous durante la celebración de los Goya y que contenía datos personales
de usuarios almacenados en servidores de la Academia de Cine.
Durante este mes vimos varios casos de webs legítimas que estaban usándose para
propagar malware, algo que se repetiría a lo largo del año y que, en esta ocasión, afec-
taba a versiones vulnerables de Wordpress.
El FBI anunció su intención de desconectar los servidores usados por el malware
DNSCHanger, acción que podría haber ocasionado que miles de usuarios infectados
perdiesen el acceso a Internet.
El popular ransomware conocido como “Virus de la policía” continuó infectando miles
de ordenadores en España y alrededor de Europa, pidiendo un rescate a los usuarios
para poder desbloquear sus sistemas. Esto no evitó que se siguiesen distribuyendo ame-
nazas clásicas en forma de phishing a varios bancos o estafas que hacían creer a sus
víctimas que habían ganado una supuesta lotería con motivo de las Olimpiadas de
Londres.
3.1.3. Marzo: Ai si te pego, ai, ai…
Como ya vimos en el resumen del mes anterior, el “Virus de la Policía” representaba
una de las principales amenazas para los usuarios.
Durante marzo se detectaron múltiples variantes de este malware y fueron bastantes los
usuarios que vieron sus ordenadores afectados por este código malicioso que suplanta a
la Policía de varios países y pide un rescate por desbloquear el ordenador.
Mac también sufrió los efectos del malware, principalmente de dos amenazas. La
primera de ellas, OSX/Imuler, simulaba ser fotos de la modelo Irina Shayk que, al
intentar ser abierta por el usuario, ejecutaba el malware en el dispositivo.
Por su parte, Flashback seguía evolucionando para afectar al mayor número de usuarios
posible, algo que comprobaríamos el mes siguiente.
Java siguió usándose como vector de ataque y, debido a sus características
multiplataforma, fueron varias las amenazas que se aprovecharon de vulnerabilidades en
este software para propagarse.
Entre estas amenazas encontramos también ataques dirigidos, como los sufridos por va-
rias organizaciones pro-Tíbet y que detectaban el sistema operativo usado para lanzar un
exploit diferente para cada uno de ellos.
Una vulnerabilidad en la implementación del protocolo RDP en sistemas Windows hizo
saltar todas las alarmas y Microsoft tuvo que explicar cómo mitigar esta amenaza para
evitar una infección masiva en miles de sistemas vulnerables.
35
Asimismo, Microsoft fue noticia al ayudar a desmantelar varias botnets basadas en el
conocido malware Zeus.
Por su parte, ESET colaboró con las autoridades de Georgia para desmantelar una
botnet que tenía como objetivo espiar al gobierno de ese país de Europa del Este.
Otros vectores clásicos de propagación como el spam consiguieron propagar amenazas
usando como gancho a jugadores del F.C. Barcelona como Alexis, Piqué y su novia, la
famosa cantante Shakira o al cantante brasileño Michel Teló.
De esta forma atraían la atención de sus víctimas y obtenían sus datos bancarios bien
usando técnicas de phishing o troyanos bancarios.
3.1.4. Abril: Lluvia de amenazas para Mac
Durante este mes, el protagonismo fue sin duda de Flashback, el troyano para sistemas
Mac OS que contaba ya con varias variantes a sus espaldas.
Fue en abril cuando se descubrió una botnet compuesta con más de 600.000 usuarios
infectados principalmente por contar con una versión vulnerable de Java y que Apple no
actualizó a tiempo.
Otras amenazas para Mac como OSX/Sabpab quisieron aprovecharse de este agujero de
seguridad y decidieron incorporar estas vulnerabilidades en Java como vectores de
propagación.
Las webs legítimas vulnerables siguieron siendo aprovechadas por los ciberdelincuentes
para propagar sus amenazas entre usuarios confiados.
Este mes comprobamos cómo se podía comprometer la seguridad de 180.000 webs
usando una simple inyección SQL.
El ransomware siguió haciendo de las suyas y al “Virus de la Policía” se le unieron
otros como Win32/Ransomcrypt y otras variantes que infectaban el sistema y reem-
plazaban el MBR original por uno propio impidiendo que el sistema arrancase normal-
mente hasta que el usuario ceda al chantaje.
Los móviles con sistema operativo Android tuvieron durante este mes un goteo
constante de malware como, por ejemplo, RootSmart, evolución de otra amenaza an-
terior y que permitía ganar permisos de administrador en el dispositivo infectado.
De nuevo volvimos a observar un supuesto ataque dirigido cuando el Ministerio del
Petróleo iraní y otras empresas asociadas anunciaron haber sido víctimas de un gusano
informático. Al parecer, no se vio comprometido ningún documento oficial y tan solo se
desconectaron temporalmente algunas refinerías para evitar que sufrieran daños.
Con respecto a intrusiones y filtraciones de datos, Nissan y VMWare anunciaron que
algunas de sus redes se vieron comprometidas y se había conseguido acceder a datos
confidenciales que llevaron a la filtración de alguno de estos.
Por su parte, Microsoft alertó de la existencia de una vulnerabilidad en Hotmail que
permitía a un atacante acceder a las cuentas de los usuarios y cambiar las contraseñas.
Esta vulnerabilidad fue aprovechada, sobre todo, en países árabes.
36
3.1.5. Mayo: El mes de las Redes
Durante este mes, miembros españoles de Anonymous protagonizaron una intrusión en
una importante multinacional especializada en sanidad y con muchos intereses
económicos en España, para protestar contra los recortes en sanidad.
Twitter anunció cambios en sus políticas de privacidad que no gustaron a sus usuarios.
Asimismo, también sufrió una filtración de más de 55.000 nombres de usuario y contra-
señas de otras tantas cuentas de usuarios.
También durante este mes se descubrió un exploit que se aprovechaba de una
vulnerabilidad en Skype para obtener las IP de nuestros contactos.
Por su parte, la conocida herramienta Sudo, usada en sistemas basados en el kernel de
Linux, también tuvo problemas de seguridad.
El esperado lanzamiento del videojuego Diablo III provocó que algunos ciberde-
lincuentes se aprovecharan del interés de muchos jugadores para engañarles y con-
ducirles a webs fraudulentas. Un buen número de estos usuarios se quejó pocos días
después del robo y venta de sus cuentas.
Apple volvió a encontrarse en el centro del huracán tras un error en la actualización del
sistema operativo Lion que permitía acceder a contraseñas de los usuarios y a archivos
supuestamente protegidos.
Por su parte, la seguridad de iOS fue rota de nuevo al presentarse una nueva herramienta
que permitía realizar jailbreak.
Yahoo! cometió un grave descuido al lanzar una nueva extensión para el navegador
Chrome e incluir su clave privada.
El “Virus de la Policía “seguía causando problemas a los usuarios y cambió su
estrategia haciéndose pasar por una denuncia de la SGAE.
También observamos varios casos de phishing con varios bancos como objetivos. Otros
servicios como Skydrive de Microsoft fueron usados como ganchos en una nueva
campaña de spam con enlaces maliciosos preparados para robar contraseñas de
Windows Live.
3.1.6. Junio: filtraciones y más filtraciones
El malware protagonista de este mes fue Flame, una nueva ciberamenaza diseñada para
espiar y obtener información de ciertos países, especialmente de Irán.
No obstante, no fue el único ataque dirigido descubierto durante este mes, puesto que
investigadores de ESET descubrieron Medre, un nuevo gusano especializado en robar
diseños realizados con Autocad y enviarlos a emails en China. Perú fue el país más
afectado por este caso de espionaje industrial aunque también se encontraron casos en
otros países de habla hispana.
Las filtraciones de datos siguieron estando a la orden del día, afectando a un elevado
número de empresas, LinkedIn entre ellas. Esta red social vio cómo alrededor de 6,4
millones de cuentas de usuarios fueron comprometidas.
Poco después, la red social eHarmony, también anunció la filtración de información de
1,5 millones de sus usuarios.
Twitter también vio cómo los hacktivistas publicaban 10.000 nombres de usuario y
contraseñas aprovechando una vulnerabilidad en TweetGif. Por otra parte un supuesto
ataque de hacktivistas dejó sin acceso a Facebook a miles de usuarios.
37
También los jugones vieron cómo uno de los juegos online más conocidos del
momento, League of Legends, sufría una filtración de datos de usuarios registrados en
Europa y Asia.
Los ciberdelincuentes aprovecharon vulnerabilidades en Microsoft XML para propagar
malware usando Internet Explorer.
Otra vulnerabilidad en el software de bases de datos MySQL y Maria DB podía ser
aprovechada para acceder como administrador.
Con respecto a vulnerabilidades en sistemas SCADA, estos fueron también el objetivo
de hacktivistas. Algunos de ellos consiguieron acceder a los sistemas de gestión de
varias aerolíneas, a los sistemas de control de pacientes de varios hospitales y a varias
redes internas de entidades bancarias como Cobank o Citibank.
Durante junio el malware tradicional también hizo de las suyas usando el envío de en-
laces y ficheros adjuntos maliciosos, como los que recibieron en la empresa Digitalbond
en forma de emails con ficheros PDF modificados adjuntos que contenían, en realidad,
una herramienta de control remoto para acceder a los sistemas comprometidos.
3.1.7. Julio: ¡destape frente al calor!
Este mes pudimos asistir a Blackhat USA y Defcon en Las Vegas, donde vimos muchas
charlas interesantes. Entre estas, destacamos las que dieron dos investigadores españoles
y que descubrieron graves vulnerabilidades en el sistema de transporte público español
y en OVH, uno de los proveedores de servicios más grande de Europa.
En España se destapó la existencia de una red de espionaje encargada de investigar a
todo tipo de personalidades. La “Operación Pitiusa” contaba con informadores en todo
tipo de organismos oficiales y empresas privadas que se encargaban de recopilar datos
privados.
Grum, la tercera mayor botnet a nivel mundial fue desmantelada ese mes y con ella un
tercio del envío de spam a nivel global.
Asimismo, ESET descubrió Dorkbot, una botnet especialmente activa en países
hispanohablantes y que robaba información personal del usuario.
Las tiendas de aplicaciones de Apple y Android vieron cómo se les colaba una
aplicación maliciosa y recopilaba datos de los contactos para enviarles spam.
También vimos cómo el exportero Cañizares publicaba accidentalmente fotos de su
mujer desnuda en su cuenta de Twitter.
Asimismo, analizamos la aparición de un nuevo malware para Android en China que
compraba aplicaciones sin consentimiento del usuario.
38
Apple sufrió el ataque de un nuevo malware de nombre OS/X Crisis. Esta amenaza
utilizaba técnicas de ofuscación para evitar ser detectado, realizando funciones de puerta
trasera, aunque no consiguió una propagación destacable.
Muchas fueron las webs afectadas por filtraciones de datos durante este mes como por
ejemplo Yahoo! con alrededor de 453.000 credenciales de acceso filtradas. El sitio de
Android Forums también vio cómo se filtraban más de un millón de credenciales.
Las redes sociales sufrieron el clásico engaño de enlaces maliciosos en Facebook que
intentan que los usuarios pulsen sobre enlaces preparados especialmente para despertar
la curiosidad.
Una vulnerabilidad en Kindle Touch permitía que se ejecutase código solo con visitar
una web. No tardó en usarse este agujero de seguridad para liberar el dispositivo aunque
también podría ejecutarse código malicioso y obtener las credenciales del usuario.
3.1.8. Agosto: los Juegos Olímpicos y la Supercopa, ¡a escena!
Durante este mes se descubrieron varias vulnerabilidades en el software de Java que
hicieron que se convirtiera una vez más en el vector de ataque preferido por muchos
atacantes.
El uso de falsas noticias y el aprovechamiento de la popularidad de eventos como los
Juegos Olímpicos fueron varios de los ganchos usados para atraer a los usuarios a pulsar
sobre enlaces maliciosos y abrir ficheros adjuntos.
Asimismo, fueron varias las marcas famosas usadas como reclamo en casos de
phishing.
La red social española Tuenti vio cómo algunos ciberdelincuentes se intentaban apro-
vechar de su cambio de look para preparar portales falsos y capturar contraseñas.
Por su parte, Twitter tuvo un alto protagonismo en el partido de vuelta de la Supercopa
ya que varias cuentas de famosos futbolistas fueron secuestradas.
Durante agosto analizamos el malware Dorifel/Quervar, que infectaba archivos de Word
y Excel, cifrándolos a continuación y convirtiéndolos en ejecutables. Otra amenaza
dirigida conocida como Shamoon afectó a la mayor compañía petrolera del mundo, in-
fectando alrededor de 30.000 ordenadores.
Dentro de las amenazas sofisticadas analizamos Raksha, un malware persistente con uso
de tecnología Bootkit que podría llegar a convertirse en una amenaza de difícil
eliminación.
39
Las amenazas diseñadas para dispositivos móviles continuaron apareciendo, como la
nueva variante de Android/Spy. Zitmo que permitía su control mediante mensajes de
texto o el protocolo HTTP.
Grandes empresas como Philips vieron cómo se filtraban miles de correos electrónicos
internos mientras que otra gran intrusión consiguió más de un terabyte de datos de
empresas como la CIA, el MIT, grupos financieros de Wall Street y gobiernos como el
de Estados Unidos, China y Japón.
Por otra parte, en España seguimos observando varias estafas y engaños en webs de
compra/venta de artículos de segunda mano. Los estafadores compraban o vendían
artículos, pidiendo que se envíe el artículo o el dinero a un país africano.
3.1.9. Septiembre: otra vez Facebook, Twitter... y ¡Mahoma!
Facebook fue protagonista de varios incidentes de seguridad y privacidad. Por una parte
se aprobó el sistema de publicidad Premium que permite a las empresas enviar
publicidad personalizada. También vimos un fallo en el diseño de Facebook que per-
mitiría a otro usuario publicar algo en nuestro muro e impedir que lo elimináramos.
Asimismo, la supuesta publicación de un vídeo comprometido en Facebook y su
propagación en enlaces de Twitter hizo que muchos usuarios instalasen un falso códec
con malware.
WhatsApp también fue usada como gancho para atraer a los usuarios a instalar una
versión falsa de una aplicación pero lo único que conseguían era realizar encuestas y
llenar sus muros de Facebook de basura. Asimismo otro escándalo relacionado con la
privacidad afectó a una concejal cuando se difundió por este medio un vídeo íntimo.
Las filtraciones y robo de datos también estuvieron presentes y vimos casos como el del
robo de 12 millones de datos identificativos de usuarios de Apple, la filtración de
100.000 nombres de usuario y contraseñas de personal de Google, IBM, Oracle, Sam-
sung y Apple, la publicación de datos fiscales del candidato republicano a las elecciones
presidenciales de EE.UU., Mitt Romney o laintrusión en varios de los servidores del sis-
temas de moneda virtual Bitcoin, desde donde se robaron alrededor de 24.000 Bitcoins.
Con respecto a actividades hacktivistas, destacamos todo el revuelo tras la publicación
de un polémico vídeo y unas viñetas satíricas del profeta Mahoma, lo que ocasionó las
protestas de grupos radicales musulmanes dejando varias webs inaccesibles.
Las vulnerabilidades en software estuvieron presentes de la mano de Java al descubrirse
una vulnerabilidad crítica. Por su parte, Microsoft solucionó una grave vulnerabilidad
en Internet Explorer y también fue protagonista por los cambios realizados en su políti-
ca de privacidad y por su colaboración en la desmantelación de una botnet emergente.
40
Adobe también tuvo su ración de vulnerabilidades en varios productos como Photoshop
CS6, ColdFusion y Flash Player. Esta empresa sufrió además una intrusión en uno de
sus servidores que provocó el robo de un certificado que permite firmar sus propias
herramientas.
Se descubrieron agujeros de seguridad graves en varios modelos de móviles Android y
terminales iPhone, entre las que destacamos la vulnerabilidad que dejaba inutilizados
terminales Android con solo visitar un enlace malicioso.
3.1.10. Octubre: el mes de los robos de información
Redes sociales y servicios de mensajería fueron usados durante ese mes para propagar
malware como el gusano Dorkbot, que se hacía pasar por una foto de perfil.
Twitter empezó a ser usado por los ciberdelincuentes para reclutar a muleros y también
fue el canal por el cual la presentadora Paula Vazquez publicó su número de teléfono y
recibió miles de llamadas.
El spam también tuvo su protagonismo y vimos varios tipos de correos maliciosos que
se hacían pasar por avisos de Facebook, recibos de fax digital, avisos de LinkedIn o
respuestas a mensajes publicados en foros que contenían enlaces maliciosos.
Los colectivos hacktivistas realizaron varios ataques encontrándose entre las víctimas
57 de las universidades más prestigiosas del mundo, varios sitios del Gobierno aus-
traliano, Orange, la NASA o el estado de Carolina del Sur. Una de las acciones que más
repercusión obtuvo fue el defacement que sufrió la web de la policía británica mientras
que en España se realizaron varios ataques a webs de varios partidos políticos de las que
se obtuvo información confidencial.
Los jugones también se vieron en el punto de mira de los atacantes con ejemplos como
la muerte virtual de varios personajes de World of Warcraft aprovechándose de un
exploit, el uso de Bad piggies como reclamo para que los usuarios se descargasen
aplicaciones maliciosas o la publicación de un análisis que demostraba cómo
aprovecharse del manejo de direcciones web desde Steam para engañar al usuario y
llevarlo a un enlace malicioso.
Durante octubre observamos todo tipo de vulnerabilidades como las presentes en varios
modelos de cámaras IP que permiten ver lo mismo que ve la cámara.
Además de las habituales vulnerabilidades en el software de Java o aplicaciones de
Adobe se descubrieron varias en Firefox que permitían a un atacante descubrir las webs
visitadas por los usuarios o ejecutar código arbitrario en el sistema.
41
El sistema Mac OS X de Apple adoptó una medida drástica al eliminar el complemento
de Java de sus sistemas para así evitar nuevos agujeros de seguridad. Mientras tanto, el
26 de este mes Microsoft lanzó al mercado la nueva versión de su sistema operativo
Windows 8.
3.1.11. Noviembre: Skype, WhatsApp, Deusto... hasta Pipi Estrada
En noviembre tuvieron especial protagonismo las filtraciones de datos desde teléfonos
móviles. Por una parte, la filtración de la agenda del periodista Pipi Estrada provocó que
numerosos famosos recibieran cientos de llamadas y mensajes de desconocidos.
Por otra parte, el supuesto caso de difusión de fotos eróticas de estudiantes de Deusto
acaparó titulares en la mayoría de medios de comunicación. Tras una investigación,
descubrimos que se trataba todo de un engaño y que las fotos no pertenecían a los
estudiantes de esa universidad.
La seguridad en dispositivos móviles siguió provocando casos como el del troyano
Boxer, amenaza para Android presente en 63 países.
Aplicaciones como Instagram sufrieron vulnerabilidades que permitían acceder y
modificar de forma no autorizada al contenido de la cuenta del usuario.
Por su parte, WhatsApp vio cómo se propagaban numerosos bulos como el que indicaba
que la aplicación pasaría a cobrar por los mensajes.
Skype sufrió una grave vulnerabilidad en su sistema de recuperación de cuentas que
permitía hacerse con el control de cualquier cuenta solo conociendo el email asociado.
Twitter bloqueó accidentalmente y forzó un cambio de contraseña a 140 millones de
usuarios tras un incidente con varias cuentas involucradas.
Los hacktivistas lanzaron una serie de operaciones que ocasionaron numerosos ataques
y filtraciones a todo tipo de webs y afectando a empresas como VMWare, Imageshack o
incluso a miembros del Gobierno de Estado Unidos. El otro foco de atención se
encontraba en la #OpIsrael donde también se produjeron numerosas filtraciones como
protesta a los bombardeos de Israel en la franja de Gaza.
En materia de espionaje internacional vimos cómo se propagaba un troyano especializa-
do en robar archivos .jpg, jpeg y .dmp y que los enviaba a un servidor en Oriente
Medio.
Asimismo, dos países aliados como Francia y EE.UU. también se vieron envueltos en
una trama de espionaje al descubrirse una intrusión en la red del Gobierno francés.
En España vimos cómo la nueva web del Senado, con un coste superior al medio millón
de euros, presentaba fallos de seguridad mientras que, a nivel internacional, el servicio
de alojamiento GoDaddy comprobó cómo webs que alojaba se estaban usando para
propagar ransomware.
42
3.1.12. Diciembre: el acabose...
En el mes que cerraba el año en el que, según el Centro Criptográfico Nacional, las altas
instituciones del Gobierno de España han recibido el mayor número de ciberataques,
vimos toda una serie de ataques y filtraciones por parte de grupos hacktivistas.
Siguiendo con las operaciones iniciadas el mes anterior entre partidarios de Israel y de
países musulmanes vimos toda una serie de ataques a webs de los que se filtraron miles
de datos privados.
En Oriente Medio, la #OpSyria siguió condenando los ataques del Gobierno sirio a su
población, produciéndose incluso la desconexión durante unas horas de Internet del país
entero, aunque no quedó claro quién realizó esta acción.
Universidades de todo el mundo y varias agencias aeroespaciales también fueron víc-
timas de este tipo de ataques donde se hicieron públicos datos supuestamente privados y
miles de credenciales de acceso.
Pero no fueron los únicos en sufrir estos ciberataques ya que varias webs de contenido
pornográfico vieron cómo se publicaban miles de credenciales de acceso a servicios
online de pago. Asimismo, Anonymous inició una campaña para exponer a pederastas
usuarios de Twitter para que se tomasen acciones contra ellos.
Twitter y Facebook fueron víctimas de una vulnerabilidad que permitía publicar actuali-
zaciones en nombre de otros usuarios usando SMS.
A su vez, Facebook, junto a muchos otros servicios de Google experimentaron caídas
durante un buen rato el mismo día.
Facebook también anunció el cambio de sus políticas de privacidad tras realizar una
encuesta entre sus usuarios en la que apenas hubo participación.
Por su parte, Instagram fue protagonista de un gran revuelo cuando anunció cambios en
su política de propiedad intelectual que, resumidamente, le daba derecho a hacer lo que
quisiera con las fotos de los usuarios.
Hotmail vio publicada una vulnerabilidad que permitía el robo de sesiones aunque se
encontrasen cerradas. A su vez, Oracle anunció que empezaría a actualizar
automáticamente a los que usasen versiones antiguas de Java.
Mientras tanto, en Wordpress se publicó una vulnerabilidad en uno de sus
complementos más famosos que podría usarse para obtener contraseñas e información
de la base de datos.
43
3.2. Informe cuatrimestral de seguridad
3.2.1. Enero: el mes de las vulnerabilidades
Si tuviéramos que asignar un nombre propio al mes de enero relativo a la seguridad le
llamaríamos “vulnerabilidad”, porque esta ha sido la tónica general de los
acontecimientos con mayor repercusión, entidad y alcance durante enero. Facebook y
Twitter, siguiendo la tendencia de los últimos meses, también han estado en el punto de
mira, tanto por problemas de seguridad como de privacidad.
Empezábamos el año con el descubrimiento de una nueva vulnerabilidad en el
navegador Internet Explorer, vulnerabilidad que se estaba aprovechando para, por
ejemplo, propagar malware desde la web de la importante organización Council en
Foreign Relations.
Esta vulnerabilidad estaba presente en las versiones 6, 7 y 8 de Internet Explorer, por lo
que el número potencial de víctimas era muy elevado.
A pesar de no haber lanzado un parche de seguridad en las actualizaciones periódicas
que Microsoft publica cada segundo martes de cada mes, la solución solo tardó unos
pocos días más, lo que, aparentemente, ha ayudado a contener el número de usuarios
afectados.
Otro de los principales protagonistas en temas de seguridad del primer mes del año fue
Java. El descubrimiento de una nueva vulnerabilidad en la versión más reciente hasta
ese momento del software de Java activó todas las alarmas, puesto que se comprobó que
estaba siendo incluida en los principales kits de exploits para así explotarla de forma
activa.
Una de las primeras amenazas que no dudó en aprovecharse de esta nueva
vulnerabilidad para propagarse fue una variante del conocido como “Virus de la
Policía”, incluyendo variantes destinadas a usuarios españoles. Como ya vimos en casos
anteriores, estas amenazas utilizaban sitios legítimos que habían visto comprometida su
seguridad para propagarse e infectar al mayor número de usuarios posible.
A los pocos días de conocerse la noticia de esta nueva vulnerabilidad, Oracle lanzó una
actualización que, aparentemente, la corregía. No obstante, el análisis a fondo de este
parche desveló que solo se solucionaba parcialmente el problema y que la
vulnerabilidad seguía presente, pudiendo ser explotada.
A raíz de esto, pudimos ver cómo en varios foros underground se empezaba a vender
una nueva vulnerabilidad para Java a un precio relativamente bajo.
Asimismo, esta vulnerabilidad junto con la anteriormente mencionada en Internet
Explorer se usó en un supuesto caso de ciberespionaje a organizaciones no
gubernamentales, organismos oficiales y empresas discrepantes con el Gobierno chino.
Alojando un malware en el sitio web de la organización francesa “Reporteros sin
fronteras” se consiguió afectar a objetivos como organizaciones de derechos humanos
44
del pueblo tibetano y la etnia uigur, así como también partidos políticos de Hong Kong
y Taiwan, entre otras.
Este mes también fue bastante prolífico en cuanto a agujeros de seguridad en
dispositivos móviles.
Por una parte se anunció una vulnerabilidad en cierto modelo de routers de la marca
Linksys.
Según los investigadores que la hicieron pública se podría tomar el control de este
modelo de router incluso con la última versión del firmware disponible instalada. No
obstante, la información incompleta proporcionada (fácilmente manipulable) y el hecho
de que se trate de un modelo antiguo del cual muchas unidades no llevan el firmware
oficial, limitaba mucho los efectos de esta vulnerabilidad.
Asimismo, hicimos un repaso a la seguridad de millones de dispositivos conectados a
Internet y que se encuentran expuestos a ataques o intrusiones no autorizadas. En meses
anteriores hemos comentado los casos de cámaras IP, Smart TVs o impresoras. Aunque
no son pocos los avisos que se han realizado al respecto en los últimos meses, aun hoy
hay una cantidad importante de dispositivos vulnerables expuestos en Internet.
3.2.1.1. De nuevo, Facebook
Durante este mes, las redes sociales también tuvieron su parte de protagonismo con
varios temas relacionados con su seguridad y privacidad. Facebook, por ejemplo,
solucionó una vulnerabilidad que, de forma muy sencilla, permitía cambiar la
contraseña de cualquier usuario de Facebook sin conocer la anterior.
Siguiendo con Facebook, en una presentación realizada el 15 de enero se anunció
Facebook Graph Search. Este nuevo sistema de búsqueda se aprovecha de la gran
cantidad de información que esta red social posee de sus usuarios para mostrar
resultados basándose en diferentes perfiles de personas, su ubicación y sus aficiones.
Esto, que en principio puede ser usado por todos los usuarios para conocer a gente con
gustos similares cerca de nosotros, también puede ser usado por empresas de marketing
para bombardearnos con publicidad personalizada o de forma maliciosa por atacantes
para recopilar información de sus víctimas.
3.2.1.2. Twitter también fue vulnerable
Por su parte, Twitter también solucionó una vulnerabilidad que permitía que
aplicaciones de terceros tuvieran acceso a nuestros mensajes privados, aunque no
hubiesen pedido permiso para ello en el momento de su instalación. Esta vulnerabilidad
fue solucionada por parte de Twitter sin avisar a los usuarios, aunque sigue siendo
recomendable que revisemos las aplicaciones a las que hemos concedido permisos en
nuestra cuenta de Twitter para no llevarnos sorpresas desagradables.
45
Los ciberdelincuentes siguieron usando Twitter para seguir propagando sus amenazas, y
durante el mes pasado detectamos casos de phishing, mediante la propagación de un en-
lace acortado malicioso a través de mensajes directos entre usuarios, en los que se
indicaba que se estaba hablando mal de nosotros.
Todo esto estaba diseñado para robar credenciales de los usuarios y disponer de cuentas
de Twitter desde las cuales seguir propagando amenazas.
En enero también vimos el resurgir de Megaupload, justo cuando se cumplía un año de
su cierre. Este nuevo servicio, conocido simplemente como Mega, prometió muchas
novedades entre las que se incluye una mayor seguridad y privacidad aunque varios
investigadores se encargaron de revisar estos aspectos y descubrieron que había fallos
importantes que solucionar.
Otro tema que dio bastante de que hablar durante el pasado mes fue el descubrimiento
de nuevos certificados fraudulentos de Google. Y también analizamos en nuestro
laboratorio otro tipo de vulnerabilidades, como la que afectó al complemento de Foxit
PDF Reader para el navegador Firefox.
3.2.2. Febrero: más “agujeros” de Java
Febrero fue el mes de los ataques dirigidos contra grandes compañías, como Apple o
Microsoft, redes sociales, como Facebook y Twitter, y grandes medios de
comunicación.
Aunque no está clara la autoría, se especula con que China pudiera estar detrás de esta
maniobra a gran escala que, aprovechando vulnerabilidades de Java, ha conseguido
penetrar en grandes compañías y causar problemas.
Los primeros que dieron la voz de alarma a principios de mes fueron algunos de los
periódicos más importantes a nivel mundial como New York Times, Washington Post o
Wall Street Journal. Estos tres periódicos reconocieron haber sufrido una intrusión en
sus sistemas que habrían conseguido las credenciales de sus empleados y, por lo tanto,
acceso a información confidencial.
Casi al mismo tiempo, la red de microblogging Twitter anunció que también había
sufrido un ataque similar y que, según algunas estimaciones, podría haber
comprometido la seguridad de alrededor de 250.000 cuentas. En el blog de Twitter se
hacía mención a la posibilidad de que se hubiese usado una reciente vulnerabilidad en
Java como vector de ataque, que no iba nada desencaminada.
Un par de semanas después de este anuncio fue Facebook quien informó de una intru-
sión similar en su red en el mismo período que el anunciado por Twitter. En esta
ocasión se apuntó directamente a Java como el vector de ataque usado al haber sido
infectados varios equipos de los empleados de Facebook visitando una web legítima
preparada para descargar código malicioso si el equipo contaba con una versión
vulnerable de Java.
También hubo otra serie de intrusiones no autorizadas como la que sufrió el Departa-
mento de Energía de los Estados Unidos. En este ataque se consiguió acceder a la in-
46
formación de cientos de trabajadores de este organismo y para ello se llegaron a
comprometer 14 servidores y 20 estaciones de trabajo. También durante el pasado mes
observamos cómo se aprovecharon fallos en webs legítimas con una importante
reputación para propagar malware entre sus usuarios. Dos de estos ejemplos fueron las
webs de la cadena NBC o de la empresa de seguridad Bit9, que estuvieron durante
varias horas descargando malware en los ordenadores de los miles de usuarios que
visitaban sus webs.
3.2.2.1. Por San Valentín, tuvimos precauciones mil
Febrero fue también el mes en el que, como todos sabemos, celebramos la festividad de
San Valentín, un gancho que tradicionalmente ha sido aprovechado por los creadores de
malware para distribuir sus creaciones. Este año no ha sido la excepción y hemos visto
varios casos como los correos que prometían regalos especiales para esas fechas pero
que terminaban llevando a los usuarios a rellenar encuestas para participar en un sorteo
de dudosa procedencia.
Como dato anecdótico, los hacktivistas de Anonymous también se sumaron a celebrar
esta festividad con la #OpValentine. En esta operación querían mostrar su apoyo a todos
aquellos hacktivistas que hubieran sido privados de libertad tras haber realizado alguna
acción de protesta que su gobierno hubiera considerado ilegal.
En febrero también vimos cómo la Brigada de Investigación Tecnológica de la Policía
española, en colaboración con la Europol, asestaba un duro golpe a un grupo de
ciberdelincuentes que usaban el malware conocido comúnmente como “Virus de la
Policía” para lucrarse.
3.2.2.2. Engaños, vulnerabilidades y hackeos de cuentas en redes sociales
La red social Facebook también fue protagonista de varios incidentes de seguridad entre
los que destacamos un nuevo ejemplo de noticia falsa con gancho para atraer a los
usuarios a pulsar sobre un enlace malicioso.
En esta ocasión se utilizó como gancho a Justin Bieber y a su novia, en una foto
retocada para provocar la curiosidad de todos los que la vieran. La finalidad de esta
campaña era la de atraer a los usuarios hasta una web donde se les suscribía a un
servicio de trivial de pago.
Otra de las actividades de dudosa legalidad que vimos propagándose por Facebook con-
sistía en un supuesto sorteo de varios móviles Samsung Galaxy SIII que empezó a
difundirse desde la fanpage de una empresa y que tenía como objetivo a usuarios
españoles. En solo un par de días, alrededor de un cuarto de millón de usuarios habían
compartido ese falso sorteo que tan solo buscaba obtener datos como el teléfono de los
usuarios con dudosa finalidad.
Por último, también analizamos una vulnerabilidad en Facebook que había sido
corregida y que permitía a un atacante hacerse con el control de cualquier cuenta
aprovechando una vulnerabilidad en el manejo de URL especiales.
47
El descubridor de esta vulnerabilidad la comunicó a los desarrolladores de Facebook y
se pudo solucionar antes de que se hiciera pública y fuese explotada de forma masiva.
Además de por anunciar la intrusión en su red, Twitter también fue noticia al producirse
varios accesos no autorizados a cuentas importantes como las de Burguer King o Jeep.
En ambos casos se modificó la imagen de la cuenta mostrando información de la
competencia (McDonald’s en el caso de Burguer King y Cadillac en el caso de Jeep).
Por suerte esto no pasó a mayores y no se obtuvieron datos de los clientes, quedando tan
solo en una travesura.
Quienes sí tuvieron que preocuparse por los datos personales que se filtraron fueron los
miembros de la Academia de Cine española, puesto que, tal y como sucedió el año
pasado, miembros del grupo hacktivista LulzES consiguieron acceder a ellos y
publicarlos durante la celebración de la ceremonia de entrega de los premios Goya. Otro
caso de publicación de datos privados fue el que afectó a la familia de los expresidentes
Bush.
3.2.2.3. Más vulnerabilidades
Entre las múltiples vulnerabilidades que se publicaron en este mes encontramos la
descubierta en el protocolo de comunicación TLS (el más usado en la actualidad), que
permitiría interceptar comunicaciones que hasta ahora consideramos seguras con todos
los problemas que ello conlleva.
Microsoft sorprendió a todos al lanzar un parche de actualizaciones considerablemente
grande que solucionaba 56 vulnerabilidades, muchas de ellas críticas. Entre estas
vulnerabilidades se encontraba la que afectaba a Internet Explorer en sus versiones 6, 7
y 8, y que es aprovechada por ciberdelincuentes desde hace meses.
Otro software que sigue muy presente en entornos corporativos y que también presentó
vulnerabilidades el mes pasado fue BlackBerry Enterprise Server. Esta útil herramienta
de sincronización entre teléfonos móviles y servicios esenciales como el email
presentaba una vulnerabilidad en el manejo de cierto tipo de ficheros que hacía posible
que un atacante pudiera ejecutar código en el servidor donde se alojara.
3.2.3. Marzo: más “Virus de la Policía”
El pasado mes de marzo no defraudó en noticias relacionadas con la seguridad
informática y así pudimos ver todo tipo de amenazas, ataques y vulnerabilidades,
incluyendo más de un incidente que fue exagerado por los medios.
Empezábamos el mes con una nueva versión del ransomware conocido popularmente
como “Virus de la Policía”. Esta nueva variante no incluía ninguna novedad
especialmente destacable para aquellos países que llevan meses detectando este
malware, pero sí que presentó, por primera vez, variantes adaptadas a países de
Latinoamérica como Argentina, Bolivia, Ecuador y México.
Pero este no fue el único ransomware que analizamos en nuestro laboratorio ya que, a
mediados de mes, empezamos a observar cómo muchos usuarios, especialmente
empresas, empezaban a ver que sus sistemas Windows 2003 se bloqueaban y cifraban
48
los archivos almacenados. A continuación se mostraba un mensaje pidiendo una
cantidad de dinero y una dirección de email para poder recuperar la información cifrada.
49
3.2.3.1. ¿Ciberataques?
Durante este mes también hemos visto cómo lo que algunos medios han llamado
ciberataques, han saltado a la primera plana de medios generalistas. El primero de estos
supuestos ciberataques fue el sufrido por varios bancos y televisiones de Corea del Sur,
algo que algunos medios interpretaron como un posible ataque realizado desde Corea
del Norte.
Este ataque resultó ser una infección por un malware que sobrescribía el sector de arran-
que (MBR) del disco duro de los sistemas infectados, dejando inutilizadas las máquinas
afectadas.
Al mismo tiempo, algunas webs como la del proveedor de Internet LG Uplus
aparecieron modificadas por un grupo que se hace llamar “Whois Team”. Aun hoy, es
difícil decir si estos dos incidentes estuvieron relacionados o si se trató de una mera
coincidencia. Lo que parece claro es que no fue un ciberataque lanzado por otro país,
como algunos medios informaron.
Otro incidente que hizo correr ríos de tinta en medios generalistas como el New York
Times, fue el ataque de denegación de servicio sufrido por la organización SpamHaus,
encargada de gestionar la lista negra de spammers más conocidos.
A raíz de la inclusión en esta lista negra de la empresa CyberBunker, uno de los
servicios de alojamiento de datos preferido por organizaciones como The Pirate Bay o
la Russian Business Network, se lanzó un ataque de denegación de servicio de grandes
proporciones.
A pesar de que este ataque manejó cifras muy elevadas, que llegaron a alcanzar los 300
Gigabits por segundo, este tráfico no impidió el correcto funcionamiento de Internet. No
obstante, varios medios se hicieron eco de que este ataque podría haber causado graves
problemas a los usuarios e incluso haber tumbado toda la Red, algo muy exagerado y
que surgió a raíz de las declaraciones de CloudFare, empresa contratada por Spamhaus
para mitigar este ataque.
3.2.3.2. En marzo, vulnerabilidades mil
Siguiendo con las ya tradicionales vulnerabilidades en Java y productos de Adobe,
marzo no fue una excepción.
Así pues, a principios de mes vimos cómo se aprovechaba una vulnerabilidad en la
última versión de Java en ese momento para descargar e instalar un troyano, lo que
permitiría a un atacante acceder remotamente a la máquina infectada.
Poco tiempo después y con motivo de la celebración del evento PWN2OWN 2013,
salieron a la luz nuevas vulnerabilidades en Java, concretamente tres. No fue el único
software que cayó en este evento, donde varios investigadores buscan fallos de
seguridad a cambio de suculentos premios en metálico.
Además de Java, los navegadores Internet Explorer 10, Firefox y Chrome funcionando
bajo Windows también cayeron, solamente librándose Safari bajo Mac OS/X. Adobe
también vio cómo se comprometía la seguridad de sus productos Flash y Reader. Poco
tiempo después también se vio obligada a lanzar parches de seguridad para Adobe Air y
solucionar así varios agujeros críticos de seguridad.
50
Los sistemas de distribución digital de software como Origin llevan meses en el punto
de mira de los ciberdelincuentes.
Si no hace mucho fue Steam el que presentaba fallos que podrían ser aprovechados para
descargar malware desde un enlace modificado que utilizase la nomenclatura de esta
plataforma, ese mes comprobamos que Origin también era vulnerable a un ataque
similar. Sin duda, los jugones representan un objetivo más que interesante para los
creadores de malware viendo los ataques que tienen como objetivo este tipo de usuarios.
Una prueba de concepto que nos llamó la atención fue la que permitía que nuestro disco
duro se llenase por completo al acceder a un sitio web modificado especialmente. Esta
prueba de concepto se aprovechaba de una característica de HTML5, presente en la
mayoría de los navegadores actuales más usados, y permitía llenar 1 Gigabyte en tan
solo 20 segundos.
Como vulnerabilidad curiosa, destacamos la que Microsoft solucionó el pasado mes y
que permitía a un atacante saltarse los controles de seguridad del sistema Windows con
solo utilizar un pendrive USB. Esta vulnerabilidad requería de acceso físico a la
máquina, pero permitiría realizar esas acciones tan propias del cine de Hollywood
donde se puede saltar cualquier medida de seguridad con solo introducir un medio
extraíble en el sistema.
3.2.3.3. Mac, móviles, Evernote y Facebook
Los sistemas Mac tampoco se libraron de las amenazas en marzo. En nuestro blog
hablamos de un malware que, inicialmente desarrollado para Windows, había dado el
salto a sistemas Mac y que infectaba a los usuarios cuando estos visitaban una web
infectada. Los usuarios infectados sufrirían a partir de ese momento el bombardeo
constante de anuncios indeseados y redirecciones a sitios web con más publicidad.
Apple también nos dio una buena noticia al comenzar a utilizar el protocolo seguro
https en su Apple Store. A pesar del éxito de esta tienda online, no ha sido hasta ahora
que Apple ha optado por utilizar un protocolo seguro que impida realizar una serie de
ataques que podrían, entre otras opciones, capturar los datos de la cuenta del usuario en
una Wi-Fi pública.
Durante marzo también vimos cómo se presentaron varias maneras de saltarse la pro-
tección del bloqueo de pantalla en dos de los dispositivos móviles de más éxito como
son el iPhone y el Samsung Galaxy Note II.
Aprovechándose de fallos sin solucionar, a pesar de haber lanzado parches que
supuestamente los arreglaban, varios investigadores publicaron vídeos donde mostraban
cómo accedían a la agenda o las fotos de un móvil completamente bloqueado.
La privacidad de nuestros datos en la nube se vio comprometida al anunciar el popular
servicio Evernote que su seguridad había sido vulnerada y que, por eso, se veían
obligados a cambiar las contraseñas de sus más de 50 millones de usuarios. Por suerte,
entre los datos a los que los atacantes consiguieron acceder no se encontraban los de las
tarjetas de crédito ni las notas almacenadas por los usuarios.
Tampoco Facebook se libró de los fallos en privacidad, puesto que de nuevo se anunció
el descubrimiento de un nuevo fallo en su Timeline. Este fallo permitía que los amigos
51
de nuestros amigos en Facebook tuvieran acceso a ver a qué eventos habíamos asistido,
aun habiendo configurado la privacidad de forma que nuestras publicaciones solo
puedan ser vistas por nuestros amigos directos.
Pero sin duda, la fuga de datos privados que más revuelo mediático produjo fue la que
reveló información privada de varios personajes famosos de Estados Unidos.
Personas tan conocidas como Michelle Obama, Beyoncé, Hillary Clinton, Tom Cruise o
Bill Gates, entre otros, vieron cómo varios de sus datos privados eran accesibles a
cualquiera que visitara la web preparada a tal efecto. Entre esta información
encontramos varios lugares de residencia, números de teléfono e incluso movimientos
en sus cuentas bancarias.
3.2.4. Abril: ataques a marcas conocidas
Empezábamos el Jueves Santo con la noticia de la filtración de más de 200.000
credenciales de usuarios de McDonald’s en Austria y Taiwán. Asimismo, el sitio web
oficial de McDonald’s de Corea del Sur fue modificado para que mostrase un mensaje
de los perpetradores de este ataque, un integrante del Ajan hacker group conocido como
Maxney.
El mismo atacante consiguió acceder al sitio web taiwanés de otra importante empresa
como es MTV y filtrar más de medio millón de cuentas de sus usuarios, además de
modificar su página de inicio. Entre los datos filtrados se encuentran el nombre
completo de los usuarios, el correo electrónico y las credenciales de acceso en texto
plano.
Pero sin duda, el mayor número de webs atacadas por este grupo pertenecen a empresas
españolas con dominios .es y .cat. En el momento en el que escribimos el artículo en
nuestro blog aún se encontraban afectadas muchas de estas webs. Es posible que este
ensañamiento a estas webs de empresas españolas se debiera a intereses comerciales que
estas empresas puedan tener en el país, pero también podría deberse a una mera
coincidencia.
También supimos en abril que Anonymous habría conseguido, supuestamente, acceder
al sitio de propaganda norcoreano Uriminzokkiri.com y obtener más de 15.000
credenciales de sus usuarios. A través de un mensaje que se publicó para informar de
esta filtración de datos, estos miembros de Anonymous expusieron sus motivos para
lanzar este ataque a esta web norcoreana y pusieron como ejemplo seis cuentas
obtenidas de ella que mostraban sus nombres de usuario, direcciones de email, fecha de
nacimiento y las contraseñas cifradas.
En otro orden de cosas, alertamos en el blog de una serie de sorteos a los que
accedíamos tras pulsar sobre un enlace recibido por correo electrónico y que nos
llevaban a una web en la que debíamos contestar a una serie de preguntas y
proporcionar datos personales. Los usuarios completan las encuestas y proporcionan sus
datos con la esperanza de poder optar a alguno de los suculentos premios que se
anuncian y que varían desde coches de alta gama a dispositivos electrónicos como un
portátil o un móvil.
52
Normalmente todo empieza con la recepción de un correo electrónico, aunque también
pueden encontrarse enlaces que nos lleven al mismo sitio en redes sociales. Dicho
correo puede tener relación, o no, con las webs de los sorteos, pero todos incluyen un
enlace en el que el usuario debe pulsar.
Tras hacerlo, nos llevaba a unas webs donde se nos informaba de que habíamos ganado
algo y que teníamos que introducir nuestro número de teléfono. Y todo esto para al final
suscribirnos a mensajerías SMS Premium de pago que nos puede hacer que nos
llevemos más de un susto a final de mes.
También supimos que un nuevo malware se aprovechaba de Skype y de su sistema de
videoconferencia para distribuirse. Esta nueva amenaza utilizó el conocido truco de
envío de enlaces junto a un texto que provoca la curiosidad del usuario y hace que este
se sienta tentado de hacer clic.
También apareció una nueva variante del “Virus de la Policía”, que, en este caso,
mostraba imágenes de pedofilia.
Igualmente, y aprovechando el día en el que se recuerda a los judíos víctimas del
holocausto, miembros de Anonymous decidieron lanzar el pasado domingo 7 de abril la
#OpIsrael. Esta operación tenía como finalidad denunciar la precaria situación
humanitaria en la franja de Gaza y buscaba dejar inoperativas el máximo número
posible de webs en Israel y obtener datos privados para filtrarlos a continuación.
Igualmente, anunciábamos que Microsoft cerraba definitivamente su popular servicio de
mensajería Messenger, y que Google lanzaba un nuevo servicio para borrar todo tu
rastro de la Red... eso sí, tras hacer testamento digital primero y fallecer después.
También en abril hemos visto cómo el sistema de monedas virtuales Bitcoin era
atacado. El primer caso consiste en un ataque de denegación de servicio a la web basada
en Japón, mtgox.com, responsable de, según anuncia en su web, manejar alrededor del
80% de todos los cambios de monedas Bitcoin en todo el mundo. Las declaraciones de
la compañía apuntan principalmente a dos motivos para realizar estos ataques:
desestabilizar a Bitcoin como divisa virtual, y hacer que su valor decrezca para así
comprar estas divisas en gran cantidad y venderlas cuando vuelva a subir su valor.
El segundo caso es bastante más grave y afecta a uno de los servicios de
almacenamiento de Bitcoins más importantes, Instawallet. Según podemos observar si
tratamos de acceder a su web, este servicio ha sido suspendido indefinidamente debido a
un ataque realizado contra su base de datos que ha comprometido su seguridad.
También nos hicimos eco de la charla que dio el investigador Hugo Teso y que consistió
en tomar el control de los sistemas de navegación y de cabina de un avión, usando para
demostrarlo un laboratorio que simulaba un entorno real, Su autor ha programado un
conjunto de herramientas de explotación llamada Simon y una aplicación
complementaria para dispositivos Android. Según este investigador, se pueden usar
estos programas para modificar casi cualquier cosa relacionada con la navegación de la
aeronave, algo que a más de uno le causará sudores fríos.
Los atentados en la maratón de Boston han llenado los titulares y también han sido
aprovechados por la botnet Kelihos para, aprovechando la ingeniería social, llamar la
atención sobre un enlace que, una vez pinchado, infectaba el ordenador del usuario y
este pasaba a formar parte de la red de bots.
53
Java volvió a lanzar un parche que solucionaba 42 vulnerabilidades del popular sistema,
y Oracle hizo lo propio, lanzando actualizaciones para 128 agujeros de seguridad.
También hemos visto cómo un ciberatacante se infiltró en la cuenta de la popular
agencia de noticias Associated Press de Estados Unidos y publicó un tweet que durante
unos minutos hizo convulsionar a la Casa Blanca, a la Bolsa y a más de una institución
más. El tweet era una breve alerta del canal de la agencia de noticias en Twitter que
decía “Alerta: dos explosiones en la Casa Blanca y Barack Obama herido”. Por eso, nos
preguntamos si habían inventado una nueva ciberarma económica capaz de manejar en
beneficio propio las fluctuaciones de las Bolsas internacionales.
4. Conclusiones
Los tres informes coinciden en muchos de los aspectos a tener en cuenta en cuanto a
seguridad, a los principales ataques, y los dispositivos más susceptibles de recibir
ataques.
Por un lado remarcan la cantidad de ataques a los dispositivos de plataforma Android,
que alcanzan cuotas de entre 95% y 100%, aunque como se expone en los tres informes,
no hay un sistema operativo libre de ataques, lo cual, hasta el año 2012, para Mac era
impensable, y se ha demostrado que ya no es tan seguro como se creía.
Por otro lado se remarca el peligro del robo de identidad y datos personales, presente
durante el año pasado en muchas de las principales redes sociales, con la sustracción de
fotos e información.
También hay que tener en cuenta los ataques contra infraestructuras críticas, que
pueden dejar sin servicio a todo un país, originando un “caos”.
La proliferación de diferentes equipos, como el uso de equipos personales en el trabajo
(BYOD), ha supuesto otra grave amenaza para el mundo empresarial.
Con todo esto, puedo decir que los riesgos existentes en el 2012, continúan durante el
presente año, aunque las grandes empresas, redes sociales, etc. están comenzando a
tener una política de seguridad mucho mayor. Aunque seguirá habiendo nuevos ataques,
y siempre que aparezca una nueva tecnología, habrá una nueva amenaza.
54
5. Referencias
“Kaspersky_Security_Bulletin_2012_Malware_Evolution”, Kaspersky Lab, Diciembre
2012
“Kaspersky_Security_Bulletin_2012_The_overall_statistics_for_2012”, Costin Raiu,
David Emm, Diciembre 2012
“Informe de seguridad de Cisco 2012”, CISCO, Diciembre 2012.
“ESET NOD32 Informe anual de Seguridad 2012”, ESET NOD32, Diciembre 2012.
“ESET NOD32 Informe cuatrimestral de Seguridad 2013 enero-abril”, ESET
NOD32, Abril 2013.