la seguridad de los sitios web I 2015 - certisur.com · analizar e interpretar las nuevas...
Transcript of la seguridad de los sitios web I 2015 - certisur.com · analizar e interpretar las nuevas...
2 I Symantec Website Security Solutions
índIce
Introducción
Resumen ejecutivo
Amenazas en Internet
Ciberdelincuencia y malware
Consejos y prácticas recomendadas
Perfil de Symantec
3
4
5
21
36
40
3 I Symantec Website Security Solutions
Esta red supervisa las amenazas existentes en más de 157 países y regiones mediante una combinación de productos y servicios de Symantec, como:
• SymantecDeepSight™ThreatManagementSystem
• Symantec™ManagedSecurityServices
• ProductosdeNorton™
• SymantecWebsiteSecuritySolutions
• Otrasfuentesdedatosexternas
Symantec también mantiene una de las bases de datos sobre vulnerabilidades más completas del mundo.Enestemomento,hayregistradasmásde 60 000 vulnerabilidades que afectan a más de 54 000 productos de más de 19 000 proveedores.
Los datos sobre spam (envío de correo no deseado), phishing (suplantación de la identidad) y malware (código dañino) se registran a través de distintos recursos, como :
• SymantecProbeNetwork,unsistemaqueabarcamás de cinco millones de cuentas señuelo
• Symantec.cloud
• SymantecWebsiteSecuritySolutionsylosproductosdeprotecciónfrentealmalwareylasvulnerabilidades
• OtrastecnologíasdeseguridaddeSymantec
LatecnologíaheurísticapatentadadeSymantec.cloud,denominadaSkeptic™,detectalosataquesdirigidos más nuevos y avanzados antes de que lleguen a la red del cliente. 14 centros de datos proce- san más de 8400 millones de mensajes de correo electrónico al mes y filtran más de 1 700 millones de solicitudes por Internet al día. Symantec también recopila información sobre phishing a través de una amplia comunidad antifraude de empresas, proveedores de seguridad y más de 50 millones de consumidores.
IntroduccIón
Symantec cuenta con la fuente de datos más completa que existe sobre las amenazas enInternet:Symantec™GlobalIntelligenceNetwork,unsistemacompuestopormásde 41,5 millones de sensores de ataque que registra miles de incidencias por segundo.
157
54 000
19 000
60 000
proveedores
productos
vulnerabilidades registradas
1700 MILLONES
14
8400 MILLONES
centros de datos
de solicitudes
de correos electrónicos
SymantecWebsiteSecuritySolutionsfuncionasininterrupción, permite comprobar si un certificado digital X.509seharevocadoonomedianteelprotocolodeestadodecertificadosenlínea(OCSP)yprocesaadiariomásde6000 millones de consultas de este tipo en todo el mundo. Gracias a estos recursos, los analistas de Symantec cuentan con fuentes de información insuperables para detectar, analizar e interpretar las nuevas tendencias en materia de ataques, malware, phishing y spam.
TodosestosdatosnoshanservidoparaelaborarelinformesobreamenazasparalaseguridaddelossitioswebdeSymantec,queofreceaempresasyconsumidoresinformaciónesencialparaproteger sussistemasdeformaeficaztantoahoracomoenelfuturo.
Symantec mantiene una de las bases de datos sobre vulnerabilidades más completas del mundo
Skeptic™, la tecnología heurística patentada de Symantec.cloud
4 Symantec Website Security Solutions I
Por supuesto, mientras Heartbleed acaparaba titulares, los ciberdelincuentes seguían buscando nuevas maneras de atacar, robar y perjudicar a sus víctimas. En 2014, recurrieron a tácticas más profesionales, avanzadas y agresivas que afectaron tanto a empresas como a consumidores.
Las vulnerabilidades, un riesgo que pone en peligro a todos
Heartbleed no fue la única vulnerabilidad descubierta en 2014. Los ciberdelincuentes también se sirvieron de PoodleyShellshockparainfiltrarseenservidores,robardatos e instalar malware.
Curiosamente,elnúmerodesitioswebconmalware seredujoalamitad(unodecada1126),peseaqueelporcentaje con vulnerabilidades fue el mismo que en 2013:trescuartosdeltotalanalizado.Noestáclarosiestatendenciasedebeenparteaquelossitioswebestán mejor protegidos o si, por el contrario, podría indicar el avance de otras vías de distribución de malware, como las redes sociales y la publicidad dañina (malvertising).
Pordesgracia,quienesquisieronaprovecharlasvulnerabilidadeslotuvieronmuyfácilporquemuchísimagentenosemolestóenactualizarelsoftware.Sinlosparchespertinentes,undispositivooservidorestándesprotegidos frente a los droppers,herramientasdeataquehabitualesquebuscanvulnerabilidadessinresolver y, si las encuentran, provocan una infección con descargas no autorizadas u otras técnicas, como las estafas en las redes sociales.
de profesión, ciberdelincuente
En 2014, los atacantes perfeccionaron sus métodos y siguieron «profesionalizándose». La ciberdelincuencia ya es un negocio con mercados paralelos a los del sector tecnológico y con sus correspondientes especialidades y proveedores de servicios.
Porejemplo,alquilarunkitdeherramientaswebqueinfecte a las víctimas con descargas no autorizadas cuesta entre 100 y 700 dólares estadounidenses por semana,conderechoaactualizacionesyasistenciaatodashoras.Elpreciodelosataquesdistribuidosdedenegacióndeservicio(DDoS)oscilaentrelosdiezylos mil dólares al día1; los datos de tarjetas de crédito se venden a entre 0,50 y 20 dólares por tarjeta; y mil seguidores en una red social cuestan entre dos y doce dólares solamente.
Los métodos de ataque, cada vez más amorales y agresivos
Losciberdelincuentesnuncahanmostradoespecialcompasión por sus víctimas, pero en 2014 fueron aún más implacables.
Según lo observado por Symantec, la incidencia del cryptoware se multiplicó por catorce de mayo a septiembre2. Esta variante del ransomware cifra los archivosdelavíctima—fotos,contratos,facturasoloquesetercie—ypideunrescateacambiodelasclavesprivadasnecesariasparadescodificarlos.Normalmente,el pago debe realizarse en bitcoins a través de una página webdelaredTor,loqueimpideseguirlapistadelosatacantesylespermitecontinuarconsusfechorías.
Las redes sociales y el phishing también se usaron para explotar los miedos de la gente, como el temor al hacking y a ciertas situaciones de alarma sanitaria. En algunos casos, los delincuentes se sirvieron de enlaces relacionados con estos temas para obtener clics y registros (y luego sacarles partidoeconómicomedianteprogramasdeafiliación).En otros, recurrieron a las descargas de malware para infectaralasvíctimasocrearonsitioswebdephishing con formularios diseñados para el robo de datos.
reSumen ejecutIvo
El incidente de mayor impacto en 2014 fue sin duda, la vulnerabilidad Heartbleed, que sacudió los cimientos de la seguridad en Internet. En este caso, el quid del problema no era la sagacidad de los ciberdelincuentes, sino otra verdad incómoda: que ningúnprogramaesinfalibley,porlotanto,hayquecuidaralmáximolaseguridaddelossitioswebconsistemasmásavanzadosyeficaces.
1. http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services2http://www.symantec.com/connect/blogs/australians-increasingly-hit-global-tide-cryptomalware
6 Symantec Website Security Solutions I
reSumen
1Enabril,losdatosdeaproximadamenteunmillóndesitiosweb
considerados fiables corrieron peligro a consecuencia de la vulnerabilidad
Heartbleed3.
2 AraízdelosucedidoconHeartbleed,muchosaprendieronlaleccióny
tomaron medidas para que las tecnologías SSL y TLS fueran más seguras.
3 Losciberdelincuentesaprovechanlatecnologíaylainfraestructuradelas
redes publicitarias legítimas para sus estafas y ataques.
4En 2014, las páginas de navegación anónima pasaron a representar el
5%deltotaldesitioswebinfectados,unsaltoquelassitúaentrelasdiez
categorías con mayor número de infecciones.
5 Desde2013,eltotaldesitioswebconmalwaresehareducidopráctica-
mente a la mitad.
3http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html
7 I Symantec Website Security Solutions
Todo esto convirtió a Internet en un auténtico campo de minas,ynohayrazónparapensarqueestatendenciavaya a invertirse en 2015. Tanto las vulnerabilidades como los nuevos tipos de malware dejaron claro que las empresas deben volcarse por completo en mejorar la seguridaddelossitiosweb.
En el momento en que se redactó este documento en2015,variosinvestigadoresdeseguridadhabíanidentificado una nueva vulnerabilidad en la tecnología SSL/TLS,denominada«FREAK»4,quepermitíahacerataquesdeinterposición«Man-in-the-Middle»parainterceptar y descifrar las comunicaciones entre un sitio webysusvisitantes,robarcontraseñaseinformaciónpersonaly,enciertoscasos,volveraatacarelsitiowebafectado posteriormente.
IntroduccIón
En 2014, Internet se llenó de amenazas de mayor envergadura y peligrosidad. Sedescubrióquealgunasherramientasyprotocolosdecifradodeusocorrienteno eran tan seguros como se creía, y las víctimas tuvieron más dificultades para zafarse de las garras de sus atacantes.
4http://www.symantec.com/connect/blogs/freak-vulnerability-can-leave-encrypted-communications-open-attack
8 Symantec Website Security Solutions I
Heartbleed
Heartbleedsehizonoticiaenabril,fechaenlaquesedescubrió que, en caso de ataque, esta vulnerabilidad en labibliotecadesoftwarecriptográficoOpenSSLpermitíaacceder a los datos almacenados en la memoria de un servidorwebydescodificarlainformacióntransmitidadurante una sesión cifrada. Esto ponía en peligro datos confidenciales de gran valor, como contraseñas, infor- mación de tarjetas de crédito e incluso claves privadas.5
Ensudía,secalculóqueHeartbleedpodríahaberafectadoal17%delosservidoreswebSSL,queutili-zan certificados SSL y TSL emitidos por autoridades de certificación de confianza.6Niquedecirtieneque el incidente fue un duro golpe para empresas y consumidores.
Nosoloquedódesprotegidaunagrancantidaddedatos confidenciales, sino que las empresas tuvieron que pasar por el mal trago de pedir a los clientes que cambiaran sus contraseñas, no sin antes tomar otras medidas: actualizarlosservidoresdesussitioswebconlaversiónmásrecientedeOpenSSL,instalarcertificadosSSLnuevos y revocar los antiguos.
Por suerte, la respuesta fue rápida. A los cinco días, ningunodelosmilsitioswebmásvisitadossegúnAlexaseguía siendo vulnerable a Heartbleed (y de los 50 000 conmásvisitas,soloel1,8%aúnnohabíaresueltoelproblema).7
ShellShock y Poodle
Heartbleed no fue la única vulnerabilidad que salió alaluzen2014.Enseptiembresedescubrió«BashBug»(tambiénllamada«ShellShock»),queafectabaala mayoría de las versiones de Linux y Unix, incluido MacOSX.ShellShockesunbuenejemplodelorápidoquepuedecambiartodocuandosetieneunsitioweb.
Aunque se instalen todas las revisiones, si se descubre que son insuficientes, los servidores dejarán de estar protegidosdeundíaparaotroyhabráqueinstalarotras.
En este caso, los atacantes podían usar la interfaz de entradacomún(CGI,porsussiglaseninglés),conlaquesegeneracontenidowebdinámico,parainfiltrarseen los servidores y añadir un comando malicioso a una variable de entorno. Con esta técnica se consigue queBash—elcomponentedelservidorafectadoporlavulnerabilidad—interpreteyejecutelavariableencuestión.8
Pronto surgieron multitud de amenazas diseñadas para explotar esta vulnerabilidad. Los servidores (y las redes a lasqueseconectaban)quedaronamerceddelmalware, y aumentó el riesgo de espionaje e infección en un gran número de dispositivos.
En octubre, Google descubrió Poodle, que volvió a poner enentredichoelcifrado.Estavulnerabilidaddejabadesprotegidos los servidores compatibles con la versión 3.0deSSL,interfiriendoconelhandshake(elprocesoquecompruebaquéprotocoloadmiteelservidor)yobligandoalosnavegadoreswebaestablecerunaconexión mediante el protocolo SSL 3.0 en vez de usar una versión más reciente.9
Unataquedeinterposición«Man-in-the-Middle»realizado en estas condiciones permite descifrar las cookies HTTP seguras y, de este modo, robar datos o apropiarse de cuentas de servicios en Internet. Por suerte, Poodle no era tan grave como Heartbleed, ya que, para explotarla, el atacante debía tener acceso a la red entre el cliente y el servidor (como ocurre cuando se utilizaunpuntodeaccesoWi-Fipúblico).
LAS vuLnerAbILIdAdeS DE MAYOR IMPACTO
5http://www.symantec.com/connect/blogs/heartbleed-bug-poses-serious-threat-unpatched-servers6http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html7http://www.symantec.com/connect/blogs/heartbleed-reports-field8http://www.symantec.com/connect/blogs/shellshock-all-you-need-know-about-bash-bug-vulnerability9http://www.symantec.com/connect/blogs/poodle-vulnerability-old-version-ssl-represents-new-threat
9 I Symantec Website Security Solutions
La importancia de aplicar pronto las revisiones cuando se detectan vulnerabilidades de gran repercusión mediática
Tras el anuncio de estas vulnerabilidades, no tardaron ensucederselosataques—loque,porsupuesto,también fue noticia, aunque no por el mismo motivo quelasvulnerabilidadesdedíacero—.Alnoponerenpeligro los dispositivos de acceso, sino los servidores, HeartbleedyShellShockseconsideraronunnuevotipodevulnerabilidad.Elsoftwarealqueafectabanestabainstalado en un gran número de sistemas y dispositivos, lo quelesdionotoriedadehizoquelosataquesempezaranaarreciarapenasunashorasdespuésdehacersepúblico el problema.
Los picos del gráfico indican que, poco después de anunciarse las vulnerabilidades, el número de ataques ya era muy elevado, si bien las firmas de Symantec los detectaron y bloquearon casi de inmediato. A las cuatro horasdeconocerselavulnerabilidadHeartbleed,losciberdelincuentesyalahabíanaprovechadoparaatacar.
Los certificados SSL y tLS no han perdido vigencia
Cabedestacarque,aunquelaseguridadwebpasóporhorasbajasen2014,loscertificadosSSLyTLS(susequivalentesmásmodernos)siguensiendoesencialesyofrecenlamismaprotecciónqueantes.Dehecho,Heartbleed demostró lo rápido que se puede responder a los ataques.
Gracias al esfuerzo y la vigilancia de organizaciones comoelCA/BrowserForum,alqueperteneceSymantec,los estándares del sector mejoran constantemente. Los mecanismos básicos que garantizan la protección de un sitiowebysusvisitantesnosolosiguensiendoválidos,sino que cada vez son más eficaces.
LAS vuLnerAbILIdAdeS DE MAYOR IMPACTO
0
5
15
20
25
30
35
40
MIL
ES
Ataques Heart Bleed
Ataques Shellshock
NOSAJJM
número de AtAqueS HeArtbLeed y SHeLLSHock en eL mundo, de AbrIL A novIembre de 2014
Fuente: Symantec
10 Symantec Website Security Solutions I
El número de vulnerabilidades varía ligeramente de un año a otro, pero sigue observándose una tendencia al alza. La mayoría de las vulnerabilidades conocidas tienen solución si se instalan revisiones o se toman otras medi-das, pero los creadores de malware saben que vale la penatratardeaprovecharlasporquemuchagentenohacenadaporremediarlas.Enmuchoscasos,seutilizaun dropper que busca vulnerabilidades conocidas sin resolver para usarlas como puerta trasera y propagar el malware. Instalar las actualizaciones resulta, por tanto, trascendental.
Estaeslarazónporlaque,conlaayudadekitsdeataquewebcomoSakurayBlackhole,estanfácilaprovecharvulnerabilidadesquesehicieronpúblicasmesesoañosatrás.Loprimeroquehacenestoskitsesanalizarelnavegadorporsihubieraalgúncomplementovulnerable.En caso de detectar alguno, pasan a determinar el mejor método de ataque, ya que puede que existan varios paracadavulnerabilidad.Muchoskitsdeherramientasno emplean el método de ataque más reciente si basta con utilizar otro anterior. Además, la mayoría de los ataquesnopretendenaprovecharlasvulnerabilidadesde día cero, aunque estas tienen especial interés para los ciberdelincuentes porque permiten realizar ataques de abrevadero o watering hole.
vuLnerAbILIdAdeS: PAnorAmA generAL
-3,6 %
+28 %2013
2014
6 7872012 5 291
6 549
vuLnerAbILIdAdeS nuevAS
Fuente: Symantec | Deepsight
11 I Symantec Website Security Solutions
Número total de vulnerabilidades, 2006 – 2014
Vulnerabilidades por buscador, 2011 – 2014
Fuente: Symantec I DeepsightFuente: Symantec I Deepsight
Fuente: Symantec I Deepsight
351
891
591
639
Opera
Mozilla Firefox
Microsoft Internet Explorer
Google Chrome
Apple Safari
Vulnerabilidades de los complementos por mes, 2013-2014
20
06
20
07
20
08
20
09
20
10
20
11
20
12
20
14
20
11
20
12
20
13
20
14
20
13
4 842
4 644
5 562
4 814
6 253
4 989
5 291
6 787
6 549
10
20
30
40
50
60
70
80
DNOJJMA AMFE
20142013
DNOS SAJJMAMFE
Java
Apple
Adobe
ActiveX
Plug-in Vulnerabilities by Month
35
71
27
54 54
45
58
17
53
42
48
29
11
48
29
8
31
13
3036
23
37
Las vulnerabilidades de día cero —aquellas que solo se descubren tras haberse explotado— son mucho más peligrosas que las ya conocidas. En el capítulo sobre los ataques dirigidos se profundiza más en este tema.
12 Symantec Website Security Solutions I
SItIoS web InfectAdoS
Puesto nombre
1 VulnerabilidadPOODLE(protocolosSSLyTLS)
2 Ataques de secuencias de comandos entre sitios
3 Compatibilidad con SSL v2
4 Compatibilidad con conjuntos de cifrado SSL poco seguros
5 Cadena de certificados SSL no válida
6 Deteccióndeunacookie de sesión SSL cifrada sin el atributo «Secure»
7 Vulnerabilidad en el proceso de renegociación de los protocolos SSL y TLS
8 Vulnerabilidad relacionada con la divulgación de información por medio de la funciónPHP‘strrchr()’
9 AtaquehttpTRACEXSS
10 TratamientodelerrordeOpenSSL‘bn_wexpend()’(vulnerabilidadsinespecificar)
En2014,unostrescuartosdelossitioswebanalizadospor Symantec presentaban vulnerabilidades, una cifra muy similar a la del año anterior. Sin embargo, el porcentaje clasificado como «crítico» pasó del 16 al 20 %.
La proporción de sitios con malware se redujo a uno de cada1126(en2013,eranunodecada566).Tambiéndisminuyóeltotaldeataqueswebbloqueadosaldía,pero solo en un 12,7 %, de lo que se deduce que el númerodeataquesporcadasitiowebinfectadofuemayor en 2014. Estas cifras se deben en parte a que algunoskitsdeherramientasdeataquewebseutilizanenlanubeconunmodelodesoftwarecomoservicio(SaaS).Losataquesyanosiempreprovienendelmalwaredeunsitiowebinfectado,sinoquepuedenrealizarseconunkitdeherramientasdeataquebasadoen SaaS que inyecte el código dañino con una etiqueta iframedeHTMLocódigoJavaScriptcamuflado.Lageneralizacióndeestoskitstambiénexplicaqueelnúmerodenuevosdominioswebconmalware sehayareducido en un 47 % (de 56 158 en 2013 a 29 927 en2014).
Loskitsdeherramientasdeataquewebanalizanlosequipos de las víctimas para buscar complementos vulnerablesy,encasodehallarlos,determinarelmejor método de ataque. Los basados en SaaS suelen encontrarse en servicios de alojamiento muy difíciles de identificar y desmantelar, con direcciones IP que cambian con rapidez y nombres de dominio que se generan de forma dinámica. Además, permiten controlar cuándo y cómo se llevará a cabo el ataque. Por ejemplo, para que ni los motores de búsqueda ni los analistas detecten el código dañino, puede especificarse como condicióndeataquequesehayadefinidounacookie paraelsitiowebinfectado.Loskitsdeherramientasdeataquewebseanalizanmásdetenidamenteenotroapartado de este capítulo.
Entrelasdiezcategoríasdesitioswebmásatacadosdestacanlossitioswebdenavegaciónanónima,quenoaparecían en años anteriores. Como en otras ocasiones, los delincuentes se limitan a seguir la corriente. Hoy en día, cada vez más consumidores quieren navegar de forma confidencial sin que su proveedor de servicios de Internetcontroleloquehacen.
PrIncIPALeS vuLnerAbILIdAdeS SIn reSoLver detectAdAS en LoS ServIdoreS web AnALIzAdoS
Fuente: Symantec I Website Security Solutions
13 I Symantec Website Security Solutions
SITIOS WEB ANALIZADOS QUE PRESENTABAN VULNERABILIDADES
SITIOS WEB EN LOS QUE SE DETECTÓ MALWARE
Plug-in Vulnerabilities by Month
-1 %
2013
+25 %
2012
PORCENTAJE DE VULNERABILIDADES
CRÍTICAS
In 2014, 20 percent (1 in 5) of all vulnerabilities discovered on legitimate websites were considered critical, that could allow attackers access to sensitive data, alter the website’s content, or compromise visitors’ computers.
Fuente: Symantec I Website Security Solutions
Fuente: Symantec I Website Security Solutions
76 %2014
77 %
55 %
+4 %
2013
+8 %
2012
Fuente: Symantec I Website Security Solutions
20 %2014
16 %
24 %
250
500
750
1 000
1 250
2012 2013 2014
1 126
566532
1 d
e ca
da
En 2014, el 20 % de las vulnerabilidades detectadas (una de cada cinco) se consideraron críticas porque, en caso de ser descubier-tas, habrían permitido a un atacante acceder a datos confidenciales, alterar el contenido del sitio web o infectar los equipos de quienes visitaran sus páginas.
14 Symantec Website Security Solutions I
TIPOS DE SITIOS WEB MÁS ATACADOS EN 2013 Y 2014
Fuente: Symantec | SDAP
Fuente: Symantec | SDAP, Safe Web, Rulespace
ATAQUES WEB BLOQUEADOS AL MES, 2013-2014
100
200
300
400
500
600
700
800
900
DNOJJMA AMFE
20142013
DNOS SAJJMAMFE
Línea de tendencia (2013)
Línea de tendencia (2014)
Plug-in Vulnerabilities by Month
PuestoCategorías atacadas con más frecuencia en 2014
Porcentaje del total de sitios web infectados en 2014
Categorías de 2013
Porcentaje en 2013
1 Tecnología 21,5 % Tecnología 9,9 %
2 Alojamiento 7,3 % Empresas 6,7 %
3 Blogs 7,1 % Alojamiento 5,3 %
4 Empresas 6,0 % Blogs 5,0 %
5 Sitios web de navegación anónima 5,0 % Sitios web ilegales 3,8 %
6 Ocio 2,6 % Comercio electrónico 3,3 %
7 Comercio electrónico 2,5 % Ocio 2,9 %
8 Sitios web ilegales 2,4 % Automoción 1,8 %
9 Sitios web temporales 2,2 % Educación 1,7 %
10 Comunidades virtuales 1,8 % Comunidades virtuales 1,7 %
Mil
es
15 I Symantec Website Security Solutions
NUEVOS DOMINIOS WEB CON MALWARE
El descenso del 12,7 % en la media de ataques bloqueados a diario se concentró principalmente en la segunda mitad de 2013. En 2014, el ritmo de disminución fue mucho menor.
En 2014, se detectó un 47 % menos de dominios web con código dañino, lo que indica que se usan más kits de herramientas con un modelo de software como servicio (SaaS) basado en la nube.
Fuente: Symantec | .cloud
-47 %
-24 %
+34 %
2013
2014
56 1582012 74 0012011 55 000
29 927
ATAQUES WEB BLOQUEADOS AL DÍA
Fuente: Symantec | SDAP
-12.7 %
+23 %
+144 %
2013
2014
568 7342012 464 1002011 190 000
496 657
Aunquelamayoríadelossitioswebsiguenpresentandovulnerabilidades,muchosdesuspropietariosprestanmenos atención a las evaluaciones de vulnerabilidad que alosanálisiscontrasoftwaremalicioso.Sinembargo,prevenir es mejor que curar y, por lo general, quien infecta con malwareunsitiowebhaencontradoantesuna vulnerabilidad que explotar.
Lossitioswebpresentantantasvulnerabilidadesqueresulta muy fácil atacarlos. En 2014, los delincuentes hicieronsuagostograciasalasvulnerabilidadesrelacionadas con la tecnología SSL y TLS, pero también empezaron a utilizar otras técnicas de distribución de malware, como las estafas en las redes sociales y el uso de publicidad dañina (malvertising),cuyaincidenciavaen aumento.
16 Symantec Website Security Solutions I
CINCO PRINCIPALES HERRAMIENTAS DE ATAQUE, 2012
CINCO PRINCIPALES HERRAMIENTAS DE ATAQUE, 2013
Fuente: Symantec I SDAP, Wiki
Blackhole
Sakura
Phoenix
Nuclear
Otros
Redkit
Fuente: Symantec I SDAP, Wiki Fuente: Symantec I SDAP, Wiki
Sakura
Nuclear
Styx
Blackhole
Otros
Orange Kit
Fuente: Symantec I SDAP, Wiki
Otros
G01 Pack
Blackhole
Styx
Coolkit
Sakura
Plug-in Vulnerabilities by Month
CINCO PRINCIPALES HERRAMIENTAS DE ATAQUE, 2014
517 %
41 %3 %
7 %
10 %
22 %
526 %
23 %19 %
14 %
10 %8 %
Cronología del uso de los cinco principales kits de herramientas de ataque, 2014
Otros
Blackhole
Orange Kit
Nuclear
Sakura
Styx
550 %
5 %5 %7 %
10 %
23 %
DNOSAJJMAMFE
100 %
0 %
17 I Symantec Website Security Solutions
En 2014, el ransomware y el malvertising cruzaron sus caminos. A lo largo del año, el número de internautas alosqueseredirigióalsitiowebdeBrowlockalcanzócifras récord.
Browlockesunodelostiposderansomware menos agresivos que existen. En lugar de infectar con malware elequipodelavíctima,utilizaJavaScriptparaimpedirquecierreunapestañadelnavegador.Elsitiowebdetermina la localización geográfica del internauta y lo redirige a una página en la que se solicita el pago de una multa a la policía local por visitar sitios porno-gráficos ilegales.
Quienes usan esta técnica suelen comprar publicidad en redes legítimas con la intención de atraer visitas a susitioweb.Elanuncioconduceaunapáginaweb pornográficaque,asuvez,llevaalsitiowebdeBrowlock.El tráfico comprado con este sistema proviene de distintas fuentes, pero sobre todo de redes publicitarias de contenido pornográfico10.
En realidad, para salir indemne de esta trampa basta con cerrar el navegador, pero si los delincuentes hacenundesembolsoacambiodeestetipodetráficoesporquehaygentequepaga.Quizásedebaalsentimiento de culpabilidad, ya que para llegar a la páginadeBrowlockhayquehaberhechoclicenelanunciodeunsitiowebpornográfico.
otros usos de la publicidad dañina
La publicidad dañina no solo sirve para propagar ransomware. También puede conducir a las víctimas asitioswebdesdelosqueseinstalantroyanos.Enalgunos casos, los dispositivos se infectan mediante una descarga no autorizada, sin que sea necesario hacerclicenlosanuncios.
El malvertising tiene un gran atractivo para los ciberdelincuentes porque, si los anuncios se muestran ensitiosweblegítimosmuyconocidos,puedeatraerunagran cantidad de tráfico. Además, las redes publicitarias utilizan técnicas de segmentación muy precisas, lo que permite dirigir el engaño a víctimas concretas (por ejemplo,personasquehaganbúsquedasrelacionadasconserviciosfinancieros).Enocasiones,lasredespublicitarias legítimas se convierten en un medio al servicio de los delincuentes, cuya actividad no es fácil de detectar porque sus tácticas cambian con frecuencia.
Por ejemplo, un anuncio inofensivo que lleve semanas publicándose para parecer fiable puede volverse dañino de repente. Por eso es importante que las redes publicitariashagananálisisconregularidad,ynosolocuando se publica un anuncio nuevo.
Paralospropietariosdesitioswebnoesfácilproteger-se del malvertising, ya que las redes publicitarias y sus clientes son ajenos a su control. Sin embargo, los administradores pueden elegir redes que, al restringir determinadas funciones, impidan que los anunciantes incluyan código dañino en sus promociones. Hay que documentarse y estudiar a fondo las características de cada red.
PubLIcIdAd dAñInA (malvertising)
Página web de Browlock en la que se exige el pago de una multa por haber visitado sitios web de pornografía ilegal10
10 http://www.symantec.com/connect/blogs/massive-malvertising-campaign-leads-browser-locking-ransomware11 Ibid
18 Symantec Website Security Solutions I
AtAqueS de denegAcIón de ServIcIo
Por ejemplo, de enero a agosto de 2014, Symantec observó un aumento del 183 % en el número de ataques deamplificaciónDNS13.SegúnunaencuestadeNeustar,el 60 % de las empresas fueron víctimas de un ataque DDoSen2013,yel87%sufrieronvarios.Enalgunoscasos, se trata de una forma de extorsión, pero a veces
los motivos son otros, como el hacktivismo, la venganza o el deseo de desviar la atención de otros ataques. Además,losinteresadosenrealizarataquesDDoSrecurren cada vez más al mercado negro de Internet, donde se pueden alquilar servicios de ataque de distinta duración e intensidad por entre 10 y 20 dólares.
Losataquesdistribuidosdedenegacióndeservicio(DDoS)existendesdehacetiempo,peroahorasonmásintensosyfrecuentes.12 Se dirigen a empresas u organizaciones concretas en las que bloquean el acceso al correo electrónico, al sitioweboaotrossistemasesenciales,loqueinterrumpelasoperacionesypuedesuponer grandes pérdidas.
0
1
2
3
4
5
6
7
8
DNOSAJJMAMFE
MIL
LON
ES
Total de ataques DDoS
Ataque de amplificación DNS
Ataque genérico de inundación de ICMP
Ataque genérico de denegación de servicio a través de inundación de SYN del TCP
tráfIco de AtAqueS ddoS obServAdo Por SymAntec gLobAL InteLLIgence network
Fuente: Symantec I DeepSight Symantec Global Intelligence Network
12http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong13http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong14http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-continued-rise-of-ddos-attacks.pdf
19 I Symantec Website Security Solutions
En todos estos casos, los procesos de gestión de vulnerabilidades resultaron insuficientes porque el origen del problema no era el acostumbrado. Última-mente, los ordenadores portátiles y los servidores están bien controlados porque empresas como Adobe y Microsoftnotificanlasvulnerabilidadesmásrecientescon regularidad y tardan muy poco en sacar revisiones. Aunqueseguiráhabiendovulnerabilidadesqueafectena equipos y servidores, los procesos de notificación de incidenciasyaplicaciónygestiónderevisioneshanmejoradomucho.
Con frecuencia, los sistemas operativos y los provee-dores de aplicaciones aplican las revisiones de forma automática,asíqueesnaturalquelosatacanteshayancambiadodetácticas.Ahora,estánvolviendoacentrarseenbuscarnuevasvulnerabilidades,ysusexhaustivastécnicasdeanálisisyaleshanservidoparaencontrarlasen lugares que antes se consideraban seguros.
Para ver lo que nos depara el futuro, detengámonos un momento en otra de estas vulnerabilidades, ShellShock.Durantemásde25años,nadiereparóenestafunciónfallida(oerrordediseño)delshellBourneAgain(BASH)15. Y, de repente, se descubrió que podría explotarseysehizopúblicasuexistencia.ShellshockhaformadopartedeInternetduranteunabuenapartedelahistoriadeesta.Dehecho,nosolohapermitidoatacarroutersoservidoreswebdeLinux,sinotambién
servidores de correo electrónico e incluso botsDDoSqueutilizanelshell(esdecir,cualquiercomponentebasadoenUnixqueutiliceBASH).
eL Aumento de LAS vuLnerAbILIdAdeS
Enlosúltimosaños,sehahabladomuchodelagestióndevulnerabilidades.Sinembargo,hayunaciertatendenciaaconsiderarlacomounaincomodidadocomo un proceso menos interesante que la respuesta a incidentes o la necesidad de seguir la pista de los posibles atacantes. En 2014, quedó claro que las vulnerabilidadesdebíanpasaraunprimerplano.Poodle,ShellShockyHeartbleedno solo fueron noticia en la prensa especializada, sino también en los medios de comunicación de masas.
tim gallo
Heartbleed incluso tiene su propio logotipo
15UnshelldeUnix—paraquienesnoconozcanlaterminología—esunainterfazdeusuariodelalíneadecomandosatravésdelacualseinteractúaconelsistemaoperativo.BASHesunodelosshellsmásusadosenUNIXyLINUX.
20 Symantec Website Security Solutions I
En los próximos años, posiblemente sigan apareciendo vulnerabilidades de este tipo por varias razones. Enprimerlugar,yasehavistoquelosatacantesnotienen pensado usar eternamente sus viejos trucos; ahoralesinteresabuscarnuevasvulnerabilidadeseninfraestructuras más antiguas que estén muy extendidas y les permitan ampliar el radio de ataque.
Poodle,ShellShockyHeartbleeddemostraronque algunos de los componentes básicos de la infraes-tructura de Internet no eran seguros, pero también que los desarrolladores emplean prácticas dudosas, como la reutilización del código. A veces, parte del código de una aplicación nueva se copia de otras aplicaciones existentes.Esalgoquelosdesarrolladoreshanhechodesde siempre, pero también la causa de que existan vulnerabilidades en sistemas que, aparentemente, no tienen relación entre sí.
Heartbleed es un perfecto ejemplo de lo que puede ocurrir cuando se reutiliza el código, aunque sea de maneralegítima.ElcódigodelabibliotecaOpenSSLseconsiderabafiabledesdehacíamuchoynoseanalizabacon frecuencia porque se pensaba que era «un problema resuelto». Sin embargo, cuando se descubrió que no era así, los desarrolladores de todo el mundo tuvieron que arreglárselasparadeterminarsielcódigoquehabíanreutilizado era vulnerable.
Porotrolado,hanaumentadolosprogramasderecompensasporladeteccióndeerrores,ylosgobiernoshandejadode amenazar con penas de cárcel a quienes se dedican a destapar vulnerabilidades.16Asípues,nosolohaymayores incentivos para buscar vulnerabilidades, sino que quienes las encuentran ya no temen que se les
acuse de querer lucrarse o de divulgar información de forma irresponsable.
Sin embargo, es de esperar que también mejoren las medidas de seguridad y los métodos de resolución de problemas. Cualquier informático que se pase unas cuantas semanas sin dormir comprobará en sus propias carnes la importancia de ser previsor. Es vital que en toda la infraestructura se sigan las mismas directrices y los mismos procedimientos de configuración y aplicación de revisiones. Trasladar la infraestructura a la nube tambiénahorratiempoalpersonalinformático,queamenudo está desbordado con otras tareas.
Ahoraquelasvulnerabilidadeshanvueltoconfuerzasrenovadas, se está viendo que «detectar y solucionar» no es un buen enfoque. Para ser mejores profesionales delaseguridad,tambiénhemosdepensarencómo«proteger y responder» e «informar y evaluar». Tenemos que planificar mejor, optimizar los procedimientos de prueba, estar al tanto de lo que ocurre y conocer el entorno lo suficiente como para saber si la información esaprovechable.
EnInternetquedanmuchosfallospordescubriry,siqueremos un futuro mejor, es nuestra responsabilidad estar atentos para responder a las vulnerabilidades más recientes de forma sistemática y programada.
16http://www.wired.com/2013/03/att-hacker-gets-3-years
22 Symantec Website Security Solutions I
reSumen
1A juzgar por los precios del mercado negro, que se mantienen estables, la
demanda de identidades robadas, malware y servicios relacionados con la
ciberdelincuencia sigue siendo muy alta.
2 Aunquelasvulnerabilidadessehanreducidoconrespectoa2013,su
número sigue aumentando.
3 En 2014 aparecieron 317 256 956 nuevos tipos de malware, un aumento
del 26 % respecto al índice de crecimiento del año anterior.
4 El ransomwaresevolviómásfrecuenteypeligroso,yhubo45vecesmás
casos de crypto-ransomware que en 2013.
5 El número de bots fue un 18 % más bajo.
23 I Symantec Website Security Solutions
El correo electrónico sigue siendo eficaz para la práctica del phishingyparahacerenvíosmasivosdemalware y spam, y cada vez más mensajes contienen código dañino. Además, en Internet existe una economía sumergida de compraventa de servicios, malware, tarjetas de créditos robadas y botnets.
Las autoridades, en colaboración con empresas de seguri- dadcomoSymantec,hacenloposiblepordesmantelarlas botnets y arrestar a los culpables. Estos esfuerzos hanreducidobastantelosnivelesdeciberdelincuencia,aunque tal vez no de forma duradera.
La economía sumergida
EnlosrinconesmásoscurosdeInternethayunmercado negro floreciente en el que se comercia con datos roba-dos, malware y servicios de ataque17. Además, estos mercados ilegales son cada vez más clandestinos (por ejemplo, solo permiten el acceso con invitación o utilizan la red de navegación anónima Tor18).Lospreciosfluctúan según la oferta y la demanda. En general, el correo electrónicosehaabaratadodeformaconsiderable,la información de tarjetas de crédito se vende a un precio algo más bajo y los datos de cuentas de banca electrónica cuestan igual que antes.
También se puede comprar malware,kitsdeataque,informaciónsobrevulnerabilidadesyhastaloqueeninglés se denomina crimeware-as-a-service (toda la infraestructura necesaria para «ejercer» la ciberdelincuencia).
Los delincuentes se reparten el trabajo y cada cual tiene sus especialidades. Hay quien crea virus y troyanos, quien distribuye malware, quien ofrece botnets y quien vende datos de tarjetas de crédito robadas. Algunos de estosmercadosexistendesdehaceunadécadaomás,
peroSymantechaobservadoquecadavezestánmásprofesionalizados. Todos los productos o servicios que dan un beneficio económico al comprador se cotizan a buen precio19.
Alquilarunkitdeherramientaswebqueinfectealasvíctimas con descargas no autorizadas supone un desembolso de entre 100 y 700 dólares estadounidenses porsemana,conderechoaactualizacionesyasistenciaatodashoras.Elmalware SpyEye, detectado con el nombre de Trojan.Spyeye y utilizado para atacar servicios de banca online, puede alquilarse seis meses a un precio de entre 150 y 1250 dólares, y los ataques distribuidosdedenegacióndeservicio(DDoS)cuestanentre 10 y 1000 dólares al día20.
IntroduccIón
Todos los días, los phishers roban datos bancarios sirviéndose de mensajes de correoelectrónicoositioswebfalsos.Lasredesdeordenadoresinfectadosenvíanspam sin cesar y realizan ataques distribuidos de denegación de servicio. Y quienes son víctimas del ransomware—lapeordelassuertes—notienenmaneradeusarsusequiposporquealguienleshacifradolosarchivos.
Precios de los datos de tarjetas de crédito en el mercado negro de distintos países.
17http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services18http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services19http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services20http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services
24 Symantec Website Security Solutions I
mil direcciones de correo electrónico robadas
0,50-10 uSd Spam y phishing
Datos de tarjetas de crédito 0,50-20 uSd Compras fraudulentas
Pasaportes escaneados 1-2 uSd Robo de identidad
Cuentas de servicios de videojuegos robadas
10-15 uSd Adquisición de objetos virtuales valiosos
Malware personalizado 12-3500 uSd Desvíodefondosyrobodebitcoins
mil seguidores en una red social 2-12 uSd El interés de los usuarios de la red en cuestión
Cuentas de servicios en la nube robadas 7-8 uSd
Alojamiento de un servidor de comando y control (C&C)
envío de un millón de mensajes de spam a cuentas de correo electrónico verificadas
70-150 uSd Spam y phishing
tarjeta sim para móvil registrada y activada en rusia
100 uSd Fraudes
vALor de LA InformAcIón vendIdA en eL mercAdo negro
Fuente: Symantec
25 I Symantec Website Security Solutions
Inevitablemente,desdeentonceshansurgidootroskitsdeataquequehanllenadoelhuecodeBlackhole.Comoantes, gran parte del malware sigue estando diseñado para robar datos bancarios, pero en 2014 se atacaron nuevos mercados. Varias instituciones financieras japonesas fueron víctimas del troyano Snifula, dirigido al sector bancario , y el malwarenjRAT,surgidoenOrienteMedio,golpeólospaísesdelazona24.
En octubre, solo el 7 % de los mensajes de correo electrónico con malware contenían enlaces dañinos, pero en noviembre eran ya el 41 % y el porcentaje siguió aumentando a principios de diciembre. En estas fechas,aumentóelnúmerodemensajesbasadosenla
ingeniería social (algunos de los cuales simulaban ser avisosdefaxomensajesdevoz)conenlacesadominiossecuestrados y direcciones URL que llevaban a una página de destino con código PHP.
Sieldestinatariohacíaclicenlosenlaces,seabríaunarchivodañinocomoDownloader.PonikyDownloader.Upatre,dos de los más usados en este tipo de engaño. Ambos troyanos descargan malware en los equipos afectados, comoeltroyanoTrojan.Zbot(tambiénllamadoZeus),que se utiliza para robar información.25
En general, en 2014 el volumen de mensajes de correo electrónico utilizados para distribuir malware estuvo muy por debajo de las cifras récord alcanzadas en 2013.
malware
Afinalesde2013,selogróunapequeñavictoriaenlalargaluchacontraelmalware. Lasautoridadesrusasarrestarona«Paunch»,presuntocreadordelkitdeataqueBlackholeyresponsabledeungrannúmerodeinfeccionesentodoelmundo22,23.
nuevoS tIPoS de malware (dIferencIA con reSPecto AL Año AnterIor)
PorcentAje de menSAjeS de correo eLectrónIco con malware
2014 317 256 956
12 %2014
25 %2013
23 %2012
+26 %
-13 % +2 %
251 789 4582013
Fuente: Symantec I .cloud
Fuente: Symantec I .cloud
En 2014 se crearon más de 317 millones de tipos de malware nuevos, un aumento de casi un millón al día. Pronto habrá en circulación 2000 millones de clases distintas (la cifra actual es de 1700 millones).
21http://en.wikipedia.org/wiki/Blackhole_exploit_kit22http://krebsonsecurity.com/2013/12/meet-paunch-the-accused-author-of-the-blackhole-exploit-kit/23http://www.symantec.com/connect/blogs/snifula-banking-trojan-back-target-japanese-regional-financial-institutions24http://www.symantec.com/connect/blogs/simple-njrat-fuels-nascent-middle-east-cybercrime-scene25http://www.symantec.com/connect/blogs/malicious-links-spammers-change-malware-delivery-tactics
26 Symantec Website Security Solutions I
PORCENTAJE DE MENSAJES DE CORREO ELECTRÓNICO CON MALWARE
MENSAJES DE CORREO ELECTRÓNICO CON MALWARE QUE SE VALIERON DE ENLACES EN LUGAR DE ARCHIVOS ADJUNTOS
1 de cada 291 1 de cada 1961 de cada 244
201220132014
En 2014, el 12 % del malware distribuido a través del correo electrónico se valió de enlaces en lugar de archivos adjuntos (en 2013, el porcentaje fue del 25 %).
0 %
10 %
20 %
30 %
40 %
50 %
60 %
M M JJJ S NNSJMMNSJMMJ
2013 20142012
PROPORCIÓN DE CORREOS ELECTRÓNICOS CON VIRUS, 2012–2014
400
350
300
250
200
150
100
1 d
e ca
da
M M JJJ S NNSJMMNSJMMJ
2013 20142012
Fuente: Symantec I .cloud
Fuente: Symantec I .cloud
Fuente: Symantec I .cloud
27 I Symantec Website Security Solutions
En 2013, el crypto-ransomware representaba tan solo el 0,2 % del ransomware total, equivalente a un caso de cada quinientos. Sin embargo, a finales de 2014, este porcentaje yaeradel4%(unodecadaveinticincocasos).
Los ataques con ransomware son especialmente traumáticos para las víctimas, ya que cifran los datos deldiscoduro—fotospersonales,trabajosescolares,proyectos,música,unanovelaamedias—ysolicitanelpagodeunrescateparadesbloquearlosarchivos.Lamejor y prácticamente única defensa es tener copias de
seguridad con las que restaurar los datos, a poder ser fuera de Internet.
Haymuchasvariedadesderansomware y ningún sistema operativo es inmune a ellas.26 Además, los delincuentes se salen con la suya con relativa frecuencia porque, si biennadiedeberíapagarloquepiden,muchasempresasyparticularesacabanhaciéndoloporquequierenrecuperarlosarchivosolosnecesitan.
ransomware
En2014,hubomásdeldobledeataquesderansomware que en el año anterior (8,8millones,frentealos4,1millonesde2013),peroaúnmáspreocupanteeselaumento de un tipo en concreto: el crypto-ransomware, quecifralosarchivosdelavíctima.Mientrasqueen2013seregistraron8274casosdeestavariedadderansomware, solo un año después la cifra era 45 veces mayor: 373 342.
Fuente: Symantec | SDAP
100
200
300
400
500
600
700
800
900
DNOJJMA AMFE
20142013
DNOS SAJJMAMFE
MIL
ES
número de AtAqueS de ransomware entre 2013 y 2014
Fuente: Symantec I Response
26 http://www.symantec.com/connect/blogs/windows-8-not-immune-ransomware-0
28 Symantec Website Security Solutions I
Existenvariedadesdistintas,comoCryptolocker28, CryptoDefense29yCryptowall30, pero el método de ataquesiempreeselmismo.Mientrasqueelransomware tradicional bloquea el equipo y exige un rescate a cambio de desbloquearlo, el crypto-ransomware, muchomásdañino,cifraarchivospersonalesyguardalasclavesparadescifrarlosenunsitiowebexterno.
La infección no siempre se propaga de la misma manera, perolohabitualesenviarunmensajedecorreoelectrónicoconunaimagenadjuntaounarchivoqueparezcaunafactura. A menudo, quienes ejecutan el crypto-ransomware y quienes lo entregan ni siquiera son las mismas personas. El envío forma parte de un servicio que revela una de las facetas más oscuras de la economía sumergida, en la que los delincuentes se ofrecen a infectar un número de equipos determinado a un precio fijo.
CryptoDefense,quesehizopúblicoenmarzo,ilustramuy bien la gravedad del crypto-ransomware y lo difícil queeshallaralosculpables.Elmalware se distribuye porcorreoelectrónico,mediantearchivosadjuntosquecifranlosarchivosdelavíctimaconclavesRSAde 2 048 bits ylainstanavisitarunapáginawebdelaredTor31 en la que se solicita el pago del rescate en bitcoins.
Así es como funciona este tipo de engaño, lo que en la mayoría de los casos impide seguir la pista de los atacantes y les permite seguir delinquiendo.
Nadadeestoocurriríasinofueraporelverdaderoobjetivo del engaño: el beneficio. Según los cálculos deSymantec,CryptoDefensehabríareportadoa los ciberdelincuentes más de 34 000 dólares estadounidenses en un mes.32Noesdeextrañar,portanto, que el crypto-ransomware se considere la forma de ciberdelincuencia más eficaz en la actualidad.
CryPto-ransomware
El ransomwareseduplicóde2013a2014,peroSymantechaobservadoalgomásalarmante: la explosión del crypto-ransomware,cuyoscasossehanmultiplicadopormás de 45.27
En 2013, el crypto-ransomware representaba aproximadamente el 0,2 % del total de ataques de ransomware. A finales de 2014, la cifra había alcanzado el 4 %.
Fuente: Symantec | SDAP
10
20
30
40
50
60
70
80
DNOJJMA AMFE
20142013
DNOS SAJJMAMFE
MIL
ES
0,2 % a lo largo de 2013
6 5
72
48
36
62
4643
24
91210
cASoS de CryPto-ransomware entre 2013 y 2014
Fuente: Symantec I Response
27 http://www.symantec.com/connect/blogs/australians-increasingly-hit-global-tide-cryptomalware28 http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-9929 http://www.symantec.com/security_response/writeup.jsp?docid=2014-032622-1552-9930 http://www.symantec.com/security_response/writeup.jsp?docid=2014-061923-2824-9931 Tor,unhíbridodesoftwareyredabierta,permitenavegardeformaanónimayevitarelanálisisdetráfico.Noesestrictamenteilegal,perosípermite a los delincuentes escudarse en el anonimato.32 http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month
29 I Symantec Website Security Solutions
En 2014, el número de bots se redujo en un 18 % conrespectoalañoanterior,algoquenohabríasidoposiblesineltrabajodelFBI,elcentroeuropeocontralaciberdelincuencia(EC3)deEuropolyotrosorganismosinternacionales—encolaboraciónconSymantecyotrasempresasdelsectortecnológico—.Uno de los mayores logros en la batalla contra los bots
fue el desmantelamiento en 2014 de la botnet de Zeus Gameover Zeus, responsable de millones infecciones en todo el mundo desde su aparición en 201133,34. En los dos últimos años, la cooperación entre las autoridades ylasempresasinformáticashaservidoparaacabarconvarias botnets35,36 .
Bots y Botnets
fuenteS de ActIvIdAd mALIcIoSA: Bots (2012–2014)
País o región Puesto en 2014 por el n.º de bots Porcentaje de bots en 2014
Puesto en 2013 por el n.º de bots
Porcentaje de bots en 2013
China 1 16,5 % 2 9,1 %
españa 2 16,1 % 1 20,0 %
taiwán 3 8,5 % 4 6,0 %
italia 4 5,5 % 3 6,0 %
Hungría 5 4,9 % 7 4,2 %
Brasil 6 4,3 % 5 5,7 %
Japón 7 3,4 % 6 4,3 %
alemania 8 3,1 % 8 4,2 %
Canadá 9 3,0 % 10 3,5 %
Polonia 10 2,8 % 12 3,0 %
En 2014, China y Estados Unidos, dos de los países más poblados del mundo y con la mayor concentración de internautas, siguieron en cabeza en cuanto al número de bots, pero la primera le arrebató el primer puesto a los segundos —posiblemente, debido al desmantelamiento de la botnet de Zeus Gameover—.
Fuente: Symantec I GIN
33http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network34http://krebsonsecurity.com/2014/06/operation-tovar-targets-gameover-zeus-botnet-cryptolocker-scourge/35http://www.computerweekly.com/news/2240185424/Microsoft-partnership-takes-down-1000-cybercrime-botnets36http://www.computerweekly.com/news/2240215443/RSA-2014-Microsoft-and-partners-defend-botnet-disruption
30 Symantec Website Security Solutions I
Plug-in Vulnerabilities by Month
NÚMERO DE BOTS
2014 1,9 MILLONES -18 %
-33 %2,3 MILLONES3,4 MILLONES
2013
2012
BOTNETS QUE ENVIARON MÁS SPAM EN 2014
Nombre de la botnetPorcen-taje de spam enviado
Mensajes aproxima-dos de spam al día
Países desde los que las botnets envían más spam
Puesto n.º 1 Puesto n.º 2 Puesto n.º 3
KELIHOS 51,6 % 884 044 España 10,5 % EE. UU. 7,6 % Argentina 7,3 %
DESCONOCIDO/OTRO
25,3 % 432 594 EE. UU 13,5 % Brasil 7,8 % España 6,4 %
GAMUT 7,8 % 133 573 Rusia 30,1 % Vietnam 10,1 % Ucrania 8,8 %
CUTWAIL 3,7 % 63 015 Rusia 18,0 % La India 8,0 % Vietnam 6,2 %
DARKMAILER5 1,7 % 28 705 Rusia 25,0 % Ucrania 10,3 % Kazajistán 5,0 %
DARKMAILER 0,6 % 9 596 Rusia 17,6 % Ucrania 15,0 % China 8,7 %
SNOWSHOE 0,6 % 9 432 Canadá 99,9 % EE. UU 0,02 % Japón 0,01 %
ASPROX 0,2 % 3 581 EE. UU 76,0 % Canadá 3,4 % Reino Unido 3,3 %
DARKMAILER3 0,1 % 1 349 EE. UU 12,7 % Polonia 9,6 % Corea del Sur 9,1 %
GRUM 0,03 % 464 Canadá 45,7 % Turquía 11,5 % Alemania 8,5 %
Fuente: Symantec I GIN
Fuente: Symantec I .cloud
En 2014, el número de bots se redujo debido en parte a la «Operación Tovar», que acabó con la botnet de Zeus GameOver, utilizada para fraudes bancarios y para distribuir el ransomware CryptoLocker.37
37http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network
31 I Symantec Website Security Solutions
Enlosúltimosaños,Applesehadadocuentadelaimportancia de proteger su sistema operativo frente a lasamenazasmásrecientesyporfinhaincorporadoun par de funciones de seguridad. XProtect analiza las descargasylascotejaconlalistadearchivosdañinosdeApple para avisar al usuario si se detectan coincidencias. GateKeeperutilizalafirmadecódigocomocriterioparalimitar el número de aplicaciones que pueden ejecutarse enequiposOSX.Hayvariosgradosdeprotecciónposibles: permitir únicamente las instalaciones realizadas desde elMacAppStoreoficial;autorizarlainstalacióndeaplicaciones de desarrolladores que Apple considere fiables; o autorizar la instalación de aplicaciones firmadas de cualquier desarrollador.
Sin embargo, aunque estas medidas de seguridad para OSXayudanarepelerlasamenazas,tampocosoninfalibles. Con las soluciones de seguridad basadas en firmas, siempre existe el riesgo de que las aplicaciones infecten los equipos antes de que se creen las firmas necesarias para bloquearlas. Además, existen aplicaciones dañinas con firmas de desarrollador falsas o robadas.
En2014,lasamenazasdirigidasaOSXyaotrossistemasoperativos fueron muy similares. Los navegadores se utilizaron para la propagación de troyanos, y amenazas conocidascomoFlashback,queinfectómásde600000equiposMacen2012,siguieroncausandoestragos(dosvariantes de este troyano ocuparon el tercer y el décimo puestopornúmerodeataques).EntrelosataquesmáshabitualestambiénseencuentranlosquemodificanlaconfiguraciónDNS,ladelnavegadorolosparámetrosdebúsquedadelequipoOSX.
LaexistenciademalwareenalgunasaplicacionesdeOSXpiratasylapeligrosidaddeestasquedópatentesobre todo en dos casos.
El primer ejemplo fue el troyano OSX.Wirelurker, que atacatantoalosequiposMacconOSXcomoalosdispositivosiOSconectadosaellos.Laamenazasehizonoticiaaldescubrirseen467delasaplicacionesparaOSXalojadasenunatiendanooficialubicadaenChina.ParacuandoApplesediocuentayprocedióabloquearlas,yasehabíanrealizado356000descargas.
OtrocasomuysonadofueeldeOSX.Luaddit (o iWorm), queañadíalosequiposinfectadosaunabotnetdeOSX.En este caso, la amenaza estaba oculta en copias pirata deproductoscomercialescomoAdobePhotoshop,MicrosoftOfficeyParallels38. Antes de conocerse el problema,milesdepersonashabíandescargadoestasversionesensitioswebdearchivosTorrent.
Los troyanos OSX.Stealbit.A y OSX.Stealbit.B, cuya finalidad es el robo de bitcoins, analizan el tráfico del navegadorparahacerseconlosdatosdeaccesoalosprincipalessitioswebdetransaccionesconestamonedaelectrónica. El segundo se situó entre los cinco primeros puestosdelrankingdeamenazasparaOSXen2014.
También causó estragos el troyano OSX.Slordu, que recopila información sobre los equipos infectados y, alparecer,esunpuertoOSXdeunaconocidapuertatraseradeWindows.
OSX.Ventir, por su parte, se distinguió por su estructura, con componentes optativos para distintos fines: abrir una puerta trasera, registrar pulsaciones de teclas o instalarsoftwareespía.LosmódulosdescargadoseinstaladosenOSXvaríansegúnelusoqueelatacantequiera dar al equipo infectado.
OSX.Stealbit.A, cuya finalidad es el robo de bitcoins, analizaeltráficodedelnavegadorparahacerseconlosdatosdeaccesoalosprincipalessitioswebdetransacciones con esta moneda electrónica.
AtAqueS dIrIgIdoS A oSX
38http://www.thesafemac.com/iworm-method-of-infection-found/
32 Symantec Website Security Solutions I
Plug-in Vulnerabilities by Month
TIPOS DE MALWARE PARA MAC OSX MÁS BLOQUEADOS EN DISPOSITIVOS CON ESTE SISTEMA OPERATIVO (2013-2014)
Puesto NombrePorcentaje de amenazas para Mac en 2014
NombrePorcentaje de amenazas para Mac en 2013
1 OSX.RSPlug.A 21,2 % OSX.RSPlug.A 35,2 %
2 OSX.Okaz 12,1 % OSX.Flashback.K 10,1 %
3 OSX.Flashback.K 8,6 % OSX.Flashback 9,0 %
4 OSX.Keylogger 7,7 % OSX.HellRTS 5,9 %
5 OSX.Stealbit.B 6,0 % OSX.Crisis 3,3 %
6 OSX.Klog.A 4,4 % OSX.Keylogger 3,0 %
7 OSX.Crisis 4,3 % OSX.MacControl 2,9 %
8 OSX.Sabpab 3,2 % OSX.FakeCodec 2,3 %
9 OSX.Netweird 3,1 % OSX.Iservice.B 2,2 %
10 OSX.Flashback 3,0 % OSX.Inqtana.A 2,1 %
Fuente: Symantec I SDAP
33 I Symantec Website Security Solutions
malware en SIStemAS vIrtuALeS
Esta función no solo sirve para eludir a los investigadores de seguridad. Una vez instalado en una máquina virtual, el malware podría pasar a otras máquinas virtuales del mismo equipo o infectar el hipervisor,conloqueseríamuchomáspeligrosoydifícilde eliminar41.Dehecho,estasituaciónyasehadadoconel malwareW32.Crisis,quetratadeinfectarimágenesdemáquinas virtuales guardadas en un equipo anfitrión42.
Para los responsables informáticos, estos ataques son especialmente preocupantes, ya que escapan a los sistemas de detección de intrusiones que analizan el perímetro de seguridad y a los firewalls que utilizan máquinas virtuales para aislar y detectar las amenazas en los llamados sandboxes. Además, no todas las máquinas virtuales están igual de protegidas que los clientes o servidores tradicionales, debido a la falsa creencia de que son inmunes al malware. Para que los planes de seguridad y el ciclo de aplicación de revisiones sigan siendo eficaces, las empresas deberían pensar en cómoprotegerlosequiposdered,loshipervisoresylasredesdefinidasporsoftware.
La virtualización no ofrece ninguna garantía contra el malware. En la actualidad, yahaytiposdemalware que detectan si se están ejecutando en una máquina virtual y, en lugar de detenerse, alteran su modus operandi para reducir el riesgo de detección39.Hastahacepoco,soloentornoal18%delmalware detectaba si estabaejecutándoseensistemasVMware,peroestaproporciónseelevóal28%aprincipios de 201440.
39http://www.symantec.com/connect/blogs/does-malware-still-detect-virtual-machines40 Ibid41http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/threats_to_virtual_environments.pdf42 Ibid
34 Symantec Website Security Solutions I
En 2014, el denominado crypto-ransomware fue noticia prácticamentetodoelaño.Mientrasqueelransomware corriente se limita a bloquear los dispositivos, esta variantemásnuevayvirulentacifralosarchivosdedatosy, en la mayoría de los casos, no permite recuperarlos. Sin embargo, el objetivo es el mismo en ambos casos: convencer a la víctima de que pague un rescate para librarse de la infección.
Aunque el ransomwareexistedesdehacemásdeunadécada,suusohaaumentadoenlosúltimosañosporque reporta más ingresos a los ciberdelincuentes que otras prácticas, como la creación de antivirus falsos. Podría decirseque,delosantivirusfalsos,sehapasadoalransomware y luego al crypto-ransomware, pero los creadores de malware nunca se duermen en los laureles y ya se empiezan a vislumbrar nuevos tipos de amenazas digitales.
Losantivirusyelsoftwaredeseguridadfalsossonaplicacionesdepagoquehacencreeralosusuariosquesu equipo está infectado y que deben tomar medidas para remediarlo, cuando en realidad se trata de un engaño.Estosprogramastienenunalargahistoria,pero vivieron su momento cumbre en 2009. Según un informe de Symantec, ese año se realizaron 43 millones deintentosdeinstalacióndesoftwaredeseguridadfalsocon 250 programas distintos, lo que supuso un coste de entre 30 y 100 dólares estadounidenses para cada una delaspersonasquecomprósoftwaredeestetipo.43
Se conoce como ransomwareauntipodesoftwaremalicioso que bloquea los equipos infectados, impide acceder a ellos y muestra a la víctima un mensaje de ingeniería social en el que se solicita un pago a cambio de desbloquearlos. En 2012, Symantec ya informó del auge de este fenómeno y de lo que se cobraba por eliminar las restricciones: de 50 a 100 EUR en Europa y hasta200USDenEstadosUnidos.44
Desdequeen2013sedescubrióTrojan.Cryptolocker45, que reportó sustanciosos beneficios a quienes lo
usaron, los creadores de malwarehantratadodeelaborar nuevos tipos de crypto-ransomware. En 2014, se observó un mayor número de cepas que empleaban nuevas plataformas y técnicas de evasión y presentaban características distintas, aunque también siguieron usándose otros métodos de extorsión ya conocidos.
Trojan.Cryptodefense46(tambiénllamadoCryptowall)fue uno de los más prolíficos. Apareció a finales de febrero de 2014 y, en un principio, se comercializó conladenominación«CryptoDefense».Paraevitarserdetectado, empleaba la red de anonimato Tor, el cobro en Bitcoins, el cifrado de datos con claves RSA de 2048 bits y medidas de presión para exigir el pago. Si la víctimasenegabaapagarlos500USD/EURdelrescatesolicitadoenunprincipio,selepedíanotros500USD/EURmás. Sin embargo, pronto se descubrió que el tipo de cifrado elegido por los creadores del malware dejaba la clave privada en el sistema, lo que permitía al afectado salir indemne. Una vez descubierto esto, los autores solucionaron el error y recomercializaron el malware con elnombredeCryptowall.Desdeentonces,Cryptowallhaseguidoevolucionandoeincorporandonuevasarmascomo la elevación de privilegios, las técnicas de evasión de análisisoelusodelaredInvisibleInternetProject(I2P)paragarantizarunacomunicaciónanónima.Cryptowall reportóunbeneficioconocidodealmenos34000USDen su primer mes de existencia47, y de más de un millón de dólares en seis meses según cálculos de los investigadores.48
Los creadores de ransomwaresiempresehanlucradoatacandoPCdeWindows,ylonormalesquesiganhaciéndolo.Sinembargo,en2014empezaronainteresarse también por otras plataformas. La banda de ciberdelincuentes Reveton puso en circulación el ransomwareAndroid.Lockdroid.G49, también llamado Koler,queatacabalosdispositivosAndroiddetresmaneras distintas mediante un sistema de distribución del tráfico. Si la situación era propicia para el ataque (porejemplo,sialguienestabaviendounsitioweb
eXtorSIón dIgItAL: breve HIStorIA deL ransomwarePeter coogan
43http://eval.symantec.com/mktginfo/enterprise/white_papers/b-symc_report_on_rogue_security_software_exec_summary_20326021.en-us.pdf44http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/ransomware-a-growing-menace.pdf45http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-9946http://www.symantec.com/security_response/writeup.jsp?docid=2014-032622-1552-9947http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month48http://www.secureworks.com/cyber-threat-intelligence/threats/cryptowall-ransomware/49http://www.symantec.com/security_response/writeup.jsp?docid=2014-050610-2450-9950http://www.symantec.com/security_response/writeup.jsp?docid=2011-051715-1513-99
35 I Symantec Website Security Solutions
controladoporlabandaconunnavegadordeterminado),eltráficose redirigía al tipo de ransomware más adecuado.
Ahoraelransomware puede propagarse a través de cualquier plataforma. En Android, se usan técnicas de redirección que provocanladescargadeAndroid.Lockdroid.G;enInternetExplorer,seinfectaalavíctimaconeltroyanoTrojan.Ransomlock.GmedianteelkitdeataqueAngler50; y otros navegadores para Windows,LinuxoMacredirigenalosusuariosaBrowlock51, otra forma de ransomwarequeutilizalasherramientasdelpropionavegador para bloquear el equipo y exigir un rescate.
En junio de 2014, se descubrió el primer ransomware para Android capazdecifrararchivos:Android.Simplocker52. Aunque la versión original estaba en ruso, un mes después ya circulaba otra en inglés (Android.Simplocker.B53)queseservíadelaingenieríasocialparahacersepasarporelFBI.Enoctubrede2014,salióalaluzAndroid.Lockdroid.E54(Porndroid),quetambiénsolicitabadineroalavíctimaennombredelFBIy,además,leenviabaunafotosuyatomada con cámara del dispositivo. Posteriormente, surgieron otras variantesdeAndroid.LockdroidtipogusanoquesepropagabanenviandomensajesSMSaloscontactosdelalibretadedireccionesdel dispositivo infectado con el objeto de engañarlos mediante la ingeniería social.
Nocontentosconlosdispositivosmóvilesydecididosaencontrarotras fuentes de ingresos, los creadores de ransomware dieron con otro objetivo: los sistemas de almacenamiento conectado a red (NAS),enlosquesealmacenaungrannúmerodearchivos. Trojan.Synolocker55(oSynolockerasecas)lespermitióatacarlos aprovechandoundefectodelsoftwareDiskStationManagerdeSynology.Graciasaestavulnerabilidad,hastaentoncesdesconocida, los delincuentes podían infiltrarse en los dispositivos, cifrartodoslosarchivosypedirunrescateacambiodedesbloquearlos.AhoraexistensolucionesqueprotegenlossistemasNAS,peroloocurrido demuestra que quienes se valen del ransomware buscan continuamente nuevos escenarios de ataque.
Pero ¿por qué cambia el ransomwarecontantarapidez?Losciberdelincuentes suelen pedir rescates de entre 100 y 500 dólares estadounidenses, así que se trata de un negocio lucrativo. Además, en 2014 los bitcoins se convirtieron en el método de pago estándar para casi todo el ransomware nuevo, con lo que es fácil escudarse en el anonimato y blanquear fácilmente las ganancias.
SegúnloobservadoporSymantec,nosolohaaumentadoelnúmero de cepas de ransomware, sino también el ritmo de crecimiento en general.De2013a2014,laincidenciadelransomware se incrementó en un 113 %. La aparición de nuevas variedades y los beneficios económicoshacenpensarque,lejosdedesaparecer,estaprácticaserá aún más frecuente en el futuro.
Ransomware para Android «Porndroid»
51http://www.symantec.com/connect/blogs/massive-malvertising-campaign-leads-browser-locking-ransomware52http://www.symantec.com/security_response/writeup.jsp?docid=2014-060610-5533-9953http://www.symantec.com/security_response/writeup.jsp?docid=2014-072317-1950-9954http://www.symantec.com/security_response/writeup.jsp?docid=2014-103005-2209-9955http://www.symantec.com/security_response/writeup.jsp?docid=2014-080708-1950-99
37 Symantec Website Security Solutions I
Pese a las vulnerabilidades detectadas este año, los protocolos SSL y TLS siguen siendo la mejorformadeprotegeraquienesvisitansusitiowebydegarantizarlaseguridaddelosdatosquefacilitan.Dehecho,traslaalarmadesatadaporHeartbleed,muchasempresashanempezadoacontrataradesarrolladoresespecializadosenSSLparamejorarelcódigoysolucionarposibleserrores.AsíqueahoralasbibliotecasSSLestánmáscontroladasquenuncay,además,sehanestablecidoprácticasrecomendadascomunesparautilizarlas.
i http://www.symantec.com/page.jsp?id=1024-bit-certificate-supportii http://www.symantec.com/en/uk/page.jsp?id=sha2-transitioniiihttp://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsaivhttps://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
La importancia
de utilizar
tecnologías SSL
más seguras
En 2014, los algoritmos de los certificados SSL se volvieron más seguros porque Symantec y otras autoridades de certificación abandonaron las claves de 1024 bits y empezaron a utilizar certificados SHA-2 de forma predeterminadai.
MicrosoftyGoogleanunciaronqueprontodejaríandeaceptarcertificadosSHA-1quecaducarandespués del 31 de diciembre de 2015ii.SiaúnnohamigradoaSHA-2,Chromemostraráunaadvertenciadeseguridadaquienesvisitensusitioweb,yloscertificadosdejarándefuncionarenInternet Explorer a partir del 1 de enero de 2017.
SymantectambiénestápotenciandoelusodelalgoritmoECC,muchomásseguroqueelcifradoRSA.En este momento, los navegadores más importantes para equipos de escritorio y dispositivos móviles ya admiten los certificados ECC, que ofrecen tres ventajas principales:
1. mayor seguridad. Las claves ECC de 256 bits son 10 000 veces más difíciles de descifrar que las claves RSA de 2048 bits de uso estándar en el sector.iii Para descifrar el algoritmo mediante un ataque defuerzabruta,senecesitaríamuchomástiempoyunapotenciadeprocesamientomuchomayor.
2. mejor rendimiento.Anteriormente,muchasempresasteníanmiedoaqueloscertificadosSSLralentizaranelfuncionamientodelsitiowebyoptabanporunaadopciónparcialqueofrecíaunaprotecciónmuydeficiente.UnsitiowebprotegidoconuncertificadoECCrequieremenospotenciade procesamiento que otro que utilice un certificado RSA, lo que permite atender más conexiones yusuariosalmismotiempo.Enestemomento,adoptarlatecnologíaAlways-OnSSLnosoloesrecomendable, sino que está al alcance de cualquier empresa.
3. Perfect forward Secrecy (PfS). AunquelatecnologíaPFSescompatibleconcertificadosbasadosen RSA y con los basados en el algoritmo ECC, su rendimiento es mejor con estos últimos. Pero ¿qué importanciatieneesto?SiunsitiowebcarecedeprotecciónPFS,unhacker que se apropie de sus claves privadas podría descifrar todos los datos intercambiados en el pasado. Esto es lo que permitía lavulnerabilidadHeartbleedenlossitioswebafectados,loquedejóclaralagravedaddeesteproblema.ConlatecnologíaPFS,alguienquerobeodescifrelasclavesprivadasdeloscertificadosSSL solo podrá descifrar la información protegida con ellas desde el momento del ataque, pero no la intercambiada con anterioridad.
uso adecuado
de la tecnología
SSL
En 2014 quedó claro que la tecnología SSL solo es segura si se adopta y mantiene como es debido. Por tanto, es necesario:
• utilizar la tecnología Always-on SSL.ProtejaconcertificadosSSLtodaslaspáginasdesusitiowebparaquetodaslasinteraccionesentreelsitiowebyelvisitantesecifrenyautentiquen.
• mantener actualizados los servidores.NobastaconmanteneraldíalasbibliotecasSSLdelservidor;toda actualización o revisión debe instalarse cuanto antes para reducir o eliminar las vulnerabilidades que pretende corregir.
• mostrar distintivos de confianza conocidos(comoelselloNortonSecured)enzonasbienvisiblesdesusitiowebparademostraralosclientesquesetomaenseriosuseguridad.
• Hacer análisis periódicos. Vigilesusservidoreswebparadetectarposiblesvulnerabilidadesoinfecciones con malware.
• Asegurarse de que la configuración del servidor esté actualizada. Las versiones antiguas del protocoloSSL(SSL2ySSL3)nosonseguras.CercióresedequeelsitiowebnolasadmitaydéprioridadalasversionesmásrecientesdelprotocoloTLS(TLS1.1yTLS1.2).CompruebesielservidorestábienconfiguradoconherramientascomoSSLToolboxdeSymantec.iv
38 I Symantec Website Security Solutions
vhttp://arstechnica.com/security/2014/08/new-website-aims-to-shame-apps-with-lax-security/
conciencie a sus
empleados
Paraquesussitioswebyservidoresesténmásprotegidosesteaño,guíeseporelsentidocomúnyadopteloshábitosdeseguridadquelerecomendamosacontinuación.
• Asegúresedequelosempleadosnoabranarchivosadjuntosdegentequenoconozcan.
• Ayúdelesareconocerlospeligrosqueacechanenlasredessociales.Explíquelesque,si una oferta parece falsa, seguramente lo sea; que la mayoría de las estafas están relacionadas con noticias de actualidad; y que las páginas de inicio de sesión a las que conducen algunos enlaces pueden ser una trampa.
• Siunsitioweboaplicaciónofrecenautenticacióndedosfactores,dígalesqueelijansiempre esta opción.
• Pídalesqueusencontraseñasdistintasparacadacuentadecorreoelectrónico,aplicación,sitioweboservicio(sobretodosiestánrelacionadosconeltrabajo).
• Recuérdelesqueusenelsentidocomún.Noportenerunantivirusesmenosgravevisitarsitioswebdañinosodenaturalezadudosa.
tiene dos opciones: la seguridad
o la vergüenza
Los atacantes utilizan técnicas cada vez más agresivas, avanzadas e implacables para lucrarseenInternet,perolasempresasylosparticularestienenmuchísimasmanerasdeprotegerse.
Hoy en día, una empresa que no utilice la tecnología SSL o descuide la seguridad de su sitiowebseexponealescarniopúblico.InclusopuedeacabarsaliendoenHTTPShaming,unapáginacreadaporelingenierodesoftwareTonyWebsterenlaqueseseñalaalosculpables.v
Protegersusitiowebconprocedimientosysistemasdeseguridadeficaceseslaclaveparaevitar el descrédito y la ruina financiera. Tome nota y, en 2015, protéjase con Symantec.
39 Symantec Website Security Solutions I
PróXImAmente
SegundA PArte: AtAqueS dIrIgIdoS y fILtrAcIoneS de dAtoS
conozca las últimas noticias sobre el ciberespionaje y las nuevas técnicas utilizadas en los ataques dirigidos,
el spear-phishing entre otros.
40 I Symantec Website Security Solutions
PerfIL de SymAntec
SymantecCorporation(NASDAQ:SYMC)esunaempresaespecializadaenprotección
de la información cuyo objetivo es ayudar a particulares, empresas e instituciones
gubernamentalesaaprovecharlibrementelasoportunidadesquelesbrindala
tecnología, en cualquier momento y lugar. Symantec, fundada en abril de 1982, figura
enlalistaFortune500,controlaunadelasmayoresredesdeinteligenciadedatosdel
mundo y comercializa soluciones líderes en materia de seguridad, copia de seguridad
y disponibilidad que facilitan el almacenamiento de información, su consulta y su uso
compartido. Cuenta con más de 20 000 empleados en más de 50 países, y el 99 % de las
empresasdelalistaFortune500sonclientessuyos.Enelejerciciofiscalde2013,registró
una facturación de 6 900 millones de dólares estadounidenses.
Visite www.symantec.es para obtener más información o go.symantec.com/socialmedia
para conectarse con nosotros en las redes sociales.
más información
• SitiowebglobaldeSymantec:http://www.symantec.com/
• InformesobrelasamenazasparalaseguridadenInternet(ISTR)yotrosrecursosútilesdeSymantec:http://www.symantec.com/threatreport/
• SymantecSecurityResponse:http://www.symantec.com/security_response/
• BuscadordeamenazasdeNorton:http://us.norton.com/security_response/threatexplorer/
• ÍndicedecibercrimendeNorton:http://us.norton.com/cybercrimeindex/
Symantec
350 Ellis Street
Mountain View, CA 94043
Si desea los números de teléfono de algún país en concreto, consulte nuestro
sitioweb: www.symantec.com/ssl
©2015SymantecCorporation.Reservadostodoslosderechos.Symantec,ellogotipodeSymantec,ellogotipodelamarcade
comprobación,NortonSecuredyellogotipodeNortonSecuredsonmarcascomercialesomarcascomercialesregistradasen
los Estados Unidos y en otros países por Symantec Corporation o sus filiales. Los demás nombres pueden ser marcas comer-
ciales de sus respectivos propietarios.