Informe Amenazas 2015 Mcafee Labs

Informe
Informe de McAfee Labs

sobre amenazas
Agosto de 2015
El ransomware
sigue creciendo
agran velocidad:
enel 2.trimestre el
nmero de muestras
nuevas creci
un58%.
Acerca de McAfee Labs
Introduccin
McAfee Labs es uno de los lderes mundiales eninvestigacin

e informacin sobre amenazas, einnovacin en ciber
seguridad. Gracias a la informacin que recibe de millones de
sensores situados en los principales vectores de amenazas:
archivos, Web, mensajera y redes, McAfeeLabs proporciona
informacin sobre amenazas entiempo real, anlisis crticos
yopiniones de expertos que permiten mejorar la proteccin
yreducir los riesgos.
Este mes se cumple el quinto aniversario del anuncio de la

adquisicin de McAfee por parte de Intel. Desde entonces,
el mundo de la seguridad ha cambiado mucho, as que
hemos decidido hacer balance de estos aos y comparar
nuestras predicciones con lo que realmente ha ocurrido.
McAfee forma ahora parte de IntelSecurity.

www.mcafee.com/es/mcafee-labs.aspx
Siga a McAfee Labs
Hemos entrevistado a doce personas con cargos relevantes

en Intel o McAfee desde la adquisicin para conocer su
opinin sobre las principales transformaciones que han
tenido lugar en el panorama de las ciberamenazas en
los ltimos cinco aos: cmo han cambiado los tipos de
creadores de amenazas, los objetivos y comportamientos
de los agresores, la economa de la ciberdelincuencia
yla respuesta del sector. Tambin queramos saber qu
acontecimientos fueron incapaces de prever y qu les
hasorprendido por completo. Esperamos que disfrute
deestaretrospectiva.
Este trimestre tambin cubrimos dos temas de gran inters.
En los Informes de McAfee Labs sobre amenazas dedicamos
mucho tiempo a examinar los mtodos que emplean los
agresores para introducirse en una red o un sistema de
confianza, pero muy poco a averiguar cmo extraen la
informacin que desean robar una vez que han logrado
infiltrarse. En este tema principal, aprovechamos la amplia
experiencia de los analistas forenses del equipo de McAfee
Foundstone para describir las tcticas y tcnicas especficas
que utilizan los agresores para hacerse con los datos que
buscan sin levantar sospechas.
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 2
Los ataques de malware a las unidades de procesamiento

grfico (GPU) llevan aos producindose sin llamar mucho
la atencin. Hace poco se public en GitHub una prueba de
concepto que supuestamente demuestra cmo utilizan los
agresores las GPU para evitar la deteccin a base de ejecutar
malware y almacenar datos en estos dispositivos. En este
tema principal analizamos estas afirmaciones y explicamos
las posibilidades reales de esta forma deataque.
Otros temas de inters:
A principios de agosto se celebr la conferencia

BlackHat USA 2015. Intel present dossesiones,
una de las cuales demuestra cmo las investigaciones
que realizan conjuntamente Intel e Intel Security
permiten mejorar la proteccin del hardware.
Lasesin "Attacking Hypervisors Using Firmware
and Hardware" (Ataques a los hipervisores a travs
del firmware y el hardware) analiza la superficie
de ataque de los hipervisores modernos desde la
perspectiva de las vulnerabilidades del firmware
del sistema, como la BIOS, y de la emulacin de
hardware. La presentacin est disponible aqu
desdela clausura de Black Hat.
Como ya informamos el pasado trimestre,
lainfraestructura en la nube de McAfee Global
Threat Intelligence ha sido sustituida para
poder gestionar ms consultas, ms datos sobre
amenazas y ms tipos de reputaciones. Asimismo
se ha modificado su arquitectura para hacerla
ms rpida, ms segura, ms resiliente y ms
fcil de administrar. La base para ello ha sido
lanueva arquitectura RESTful. Esta arquitectura
seimplement ntegramente en McAfee GTI
entodo el mundo durante el 2. trimestre.
En 2014, creamos un equipo de ciencia de los

datos encargado de comprender y aprovechar
mejor los datos de McAfee GTI. Este equipo ha
desarrollado instrumentos de McAfee GTI en la
nube y ha creado un panel que nos permite ver
yanalizar los patrones de ataque del mundo real,
lo que despus sirve para mejorar la proteccin
de los clientes. Las cifras siguientes dan una idea
del volumen de los ataques que sufren nuestros
clientes. Durante el 2.trimestre, estos fueron
losvolmenesregistrados:
Cada hora se produjeron ms de 6,7millones
de intentos de engaar anuestros clientes
para que se conectaran a URL peligrosas
(atravs de mensajes de correo electrnico,
bsquedas en elnavegador,etc.).
Cada hora las redes de nuestros clientes
estuvieron expuestas a ms de 19,2millones
de archivos infectados.
Cada hora, adems, intentaron instalarse
o iniciarse 7millones de programas
potencialmente no deseados.
Cada hora nuestros clientes realizaron
2,3millones de intentos de conexin
adirecciones IP peligrosas o esas
direccionesintentaron conectarse
alasredesde nuestrosclientes.
A travs de las encuestas que realizamos seguimos

recibiendo opiniones de nuestros lectores acerca
delInforme sobre amenazas, que son de gran utilidad
para nosotros. Si desea hacernos llegar su opinin
sobre este informe, haga clic aqu para rellenar un
cuestionario que le llevar apenas cincominutos.
Vincent Weafer, Vicepresidente primero, McAfee Labs
Comparta este informe
ndice
Informe de McAfee Labs
sobreamenazas
Agosto de 2015
En la investigacin y redaccin de
este informe han participado:
Brad Antoniewicz
Christiaan Beek
Dave Bull
Torry Campbell
Cedric Cochin
Carric Dooley
Douglas Frosst
Robert Gresham
Paula Greve
Steve Grobman
Dave Marcus
Franois Paget
Eric Peterson
Matthew Rosenquist
RajSamani
Craig Schmugar
Mike Sentonas
Rick Simon
Bruce Snell
Dan Sommer
James Walter
Vincent Weafer
Resumen ejecutivo
Temas principales
Intel + McAfee: retrospectiva de los ltimos cinco aos
La filtracin de datos: un paso importante en el

desarrollode un ciberdelito
16
Malware para la GPU: mitos y realidades
26
Estadsticas sobre amenazas
30
Resumen ejecutivo
Intel + McAfee: retrospectiva de los ltimos cinco aos
En esta retrospectiva de los
ltimos cinco aos, echamos
la vista atrs y comparamos
nuestras predicciones con lo que
realmente ha ocurrido. Analizamos
las principales transformaciones
de la ciberseguridad: cmo han
cambiado los tipos de creadores
de amenazas, el comportamiento
y los objetivos de los agresores,
laeconoma de la ciberdelincuencia
y la respuesta del sector.
En agosto se cumple el quinto aniversario del anuncio de adquisicin de McAfee

por parte de Intel. Desde entonces, el mundo de la ciberseguridad ha cambiado
mucho. Para esta retrospectiva hemos reunido a doce lderes de opinin con
cargos relevantes en Intel y McAfee desde antes de la adquisicin para explicar
cmo han evolucionado el mercado de la ciberseguridad y nuestro trabajo juntos.
Con ellos hemos hablado de la evolucin de nuestro concepto de seguridad
del hardware, de la idea que tenamos en aquel momento sobre la "tormenta
perfecta" que se cerna sobre el mundo de la ciberseguridad y de cmo se
ha desplegado finalmente esa tormenta, as como de nuestras expectativas
en cuanto a nuevos tipos de dispositivos en 2010 frente a la realidad del
mercado. Tambin hemos examinado lo que nos ha sorprendido, sobre todo,
latransformacin de la ciberdelincuencia en una industria en toda regla.
La filtracin de datos: un paso importante en el desarrollo de

unciberdelito
En este tema principal, describimos
las tcticas y tcnicas especficas
que utilizan los agresores para
hacerse con los datos que buscan
sin levantar sospechas.
Durante los ltimos diez aos se ha producido un aumento colosal de las fugas
de datos de gran magnitud, as como del volumen de registros robados, desde
la sustraccin de 94 millones de registros de TJ Maxx en 2007 hasta la filtracin
este ao de 80 millones de historias de pacientes de Anthem. Este tema gira en
torno a un paso importante en el proceso del robo de datos: la filtracin de la
informacin. Es el modo en que el ciberdelincuente copia o traslada los datos
desde la red del propietario a una red que est bajo su control. Examinamos los
tipos de agresores, sus motivaciones y sus objetivos ms probables, los mtodos
y mecanismos que utilizan para robar datos, y las polticas que deberan aplicar
las empresas para detectar mejor una filtracin.

En este tema principal aclaramos
las posibilidades reales de los
ataques a las GPU en la actualidad.
Los ataques de malware a las unidades de procesamiento grfico (GPU) llevan aos
producindose. De hecho, hay una forma de malware para la GPU circulando desde
hace al menos cuatro aos: los troyanos mineros de bitcoins que aprovechan
el rendimiento de la GPU para incrementar las ganancias que obtienen de cada
sistema infectado.
Hace poco un grupo public tres proyectos de prueba de concepto que,
conjuntamente, afirman utilizar las GPU como instrumento de evasin a base
deejecutar cdigo y almacenar datos en estas unidades, que nadie vigila. Eneste
tema principal, analizamos detalladamente estas afirmaciones para dilucidar qu
puede conseguirse realmente con el uso de estos mdulos desoftware.
Temas principales
Intel + McAfee: retrospectiva de los ltimos
cinco aos
La filtracin de datos: un paso importante
en el desarrollo de un ciberdelito
Malware para la GPU: mitos yrealidades
Compartir opinin
Temas principales
Intel + McAfee: retrospectiva de los

ltimos cinco aos
McAfee Labs
El 19 de agosto de 2010, Intel anunci su intencin de comprar McAfee. Enaquel
momento, McAfee e Intel ya trabajaban juntos en algunos proyectos y nos dimos
cuenta de que podamos mejorar y agilizar nuestros esfuerzos si la colaboracin
era permanente. Desde entonces ha sido fascinante conocer los puntos fuertes
de cada empresa. Hemos resuelto hiptesis, hemos abandonado expectativas
poco realistas y hemos desarrollado la confianza necesaria para trazar ambiciosos
planes para el futuro.
Doce lderes de opinin con cargos
relevantes en Intel y McAfeedesde
antes de la adquisicin han
colaborado en este anlisis sobre
la evolucin del mercado de la
ciberseguridad y el desarrollo
denuestro trabajo juntos.
Nuestro equipo:
Christiaan Beek
Torry Campbell
Carric Dooley
Steve Grobman
Dave Marcus
Matthew Rosenquist
Raj Samani
Mike Sentonas
Craig Schmugar
Bruce Snell
James Walter
Vincent Weafer
Ya han pasado cinco aos: qu tal funciona la alianza? Doce lderes de opinin con
cargos relevantes en Intel y McAfee desde antes de la adquisicin han colaborado en
este anlisis sobre la evolucin del mercado de la ciberseguridad y el desarrollo de
nuestro trabajo juntos. En esta retrospectiva examinamos nuestras previsiones sobre
el panorama de las amenazas, lo que ha ocurrido realmente y qu acontecimientos
nos han sorprendido.
Lo que Intel vio en McAfee

Intel se nutre del crecimiento continuo del conjunto del mercado de la tecnologa.
A lo largo de nuestra historia, hemos adoptado medidas para resolver todo aquello
que pudiera ralentizar el mercado o constituir un obstculo para el crecimiento
permanente. La velocidad de los procesadores, la capacidad de la memoria,
elconsumo de energa, las conexiones de perifricos y el tamao de los chips
sonobstculos que hemos superado. Hace cinco aos veamos la seguridad
comoun impedimento inminente. Creamos que si los usuarios empezaban
aperder confianza en sus dispositivos, conexiones o servicios por miedo a perder
su privacidad, seguridad o incluso su integridad fsica, el resto del mercado se
vera afectado. A diferencia de algunos de los problemas propios del hardware
queIntel resolva fcilmente de forma global, nos dimos cuenta de que este
escollonopodramos superarlo solos; necesitbamos la experiencia en seguridad
de McAfee para eliminar ese obstculo para el crecimiento.
Lo que McAfee vio en Intel

Hace cinco aos, al constatar que los ataques estaban mejorando su capacidad
para eludir las defensas, que aumentaban con rapidez los tipos de dispositivos
que necesitaban proteccin y que creca la presencia de amenazas de bajo nivel
como los rootkits, McAfee se dio cuenta de que tena que ampliar el alcance yla
cobertura de su seguridad. Por s solos, el antimalware basado en firmas ylas
defensas perimetrales no podran garantizar un entorno seguro durante mucho
ms tiempo. Pensbamos que el malware llegara a ser tan sofisticado que
atravesara las defensas del permetro. Queramos que la seguridad fuera ms
profunda, que abarcara el hardware y las nuevas plataformas, que pudiera detener
los ataques en las redes de confianza y reparar los daos causados. Paraello
necesitbamos entender mucho mejor las posibilidades yel comportamiento
delhardware. Ya colaborbamos con Intel en algunos proyectos para la seguridad
de los procesadores y sabamos que sus conocimientos y su capacidad podran
resultarnos de gran ayuda.
Temas principales
Consideraciones
Cuando Intel anunci la adquisicin, expusimos nuestros motivos a tcnicos,
analistas e inversores. Uno de los motivos fundamentales era acercar el software
al hardware para reforzar la seguridad y contrarrestar con ms eficacia las
amenazas avanzadas. Estas amenazas, junto al importante aumento del nmero
y tipo de dispositivos, estaban sentando las bases de una "tormenta perfecta"
de vulnerabilidades y brechas de seguridad. Creamos que estas nuevas
amenazas seran ms difciles de detectar, que requeriran nuevas estrategias
de ciberdefensa. Tambin pensbamos que el panorama de las tecnologas de
la informacin iba a cambiar drsticamente, ya que se estaban conectando alas
redes miles de millones de dispositivos que no eran PC. Juntos, todos estos
elementos impulsaran el desarrollo econmico y tcnico de las ciberamenazas.
As pues, qu direccin tomamos?
La seguridad en el hardware
Desde el principio, un eje importante de la adquisicin era desplazar la tecnologa de
seguridad al hardware. Este paso era difcil, dada la velocidad con que la comunidad
de ciberdelincuentes puede copiar y mejorar las amenazas ms sofisticadas,
amenudo a los pocos das de su descubrimiento pblico. Elhardware de seguridad
tarda mucho ms en desarrollarse, comercializarse ydesplegarse que el software,
y el sector de la seguridad depende de la agilidad y la capacidad de adaptacin del
software para combatir las amenazas nuevas e imprevistas. Losclientes necesitan
actualizar sus defensas con rapidez para protegerse de ataques que ayer mismo
eran inimaginables, as que no digamos dentro de cincoaos, que es la duracin
tpica del ciclo de diseo del hardware.
En lugar de esforzarnos por incorporar antimalware en los chips, consideramos
que sera ms lgico aumentar el rendimiento del cifrado asistido por hardware,
mejorar las medidas antimanipulacin y la supervisin del kernel con funciones
de bajo nivel y disear componentes primitivos de seguridad en el interior de
los chips de prxima generacin que despus aprovecharan el software de
seguridad y el sistema operativo.
Desde la adquisicin, hemos
lanzado el marco de cdigo
abierto CHIPSEC para analizar los
componentes de hardware y de
firmware, y evaluar los riesgos de
seguridad de bajo nivel, as como
la tecnologa Intel Kernel Guard,
para garantizar la integridad en
tiempo de ejecucin.
Los ataques de bajo nivel al firmware y la BIOS permiten que la amenaza persista
ypor eso son atractivos para el ciberespionaje y otros delitos con proyeccin a largo
plazo. Al comprobar que este tipo de malware se introduca ms profundamente
en el sistema operativo para permanecer oculto y sobrevivir alimpiezas y reinicios,
lanzamos CHIPSEC, un marco de cdigo abierto para analizar los componentes de
hardware y firmware, y evaluar los riesgos de seguridad de bajo nivel, la tecnologa
Intel Kernel Guard, que asegura la integridad en tiempo de ejecucin, y BIOS Guard,
que facilita la autenticacin y la proteccin. La combinacin de los conocimientos,
laexperiencia y la presencia en el mercado de Intel y McAfee nos ha otorgado un
punto de vista nico para observar, adaptarnos y anticiparnos a los cambios en
el panorama de las amenazas. Nuestro objetivo sigue siendo distribuir software
de seguridad para los nuevos prototiposdispositivos mviles, el Internet de las
cosasy la nube mientras llegan al mercado los chips con seguridad mejorada.
Temas principales
Tormenta perfecta a la vista

Todos creamos que dada la proliferacin de usuarios, el incremento de datos,
elcrecimiento de las redes y la explosin de tipos de dispositivos y blancos,
como la nube, combinado con un aumento de los ataques, nuevo malware
inteligente y ciberdelincuentes cada vez ms sofisticados, la "tormenta perfecta"
de seguridad estaba asegurada. La mayora de estas predicciones se hicieron
realidad. La adopcin de la computacin en la nube, los dispositivos del Internet
de las cosas y los dispositivos mviles fue incluso ms veloz de lo esperado.
En 2010 calculamos que para 2020 habra 31000 millones de dispositivos
conectados a Internet, previsiones que ahora parecen haberse quedado cortas.
Acertamos al predecir la tormenta
de seguridad perfecta, pero
infravaloramos su velocidad
ysufuerza.
Est claro que los ciberdelincuentes han aprovechado este incremento enorme
de blancos potenciales y han ampliado su superficie de ataque. Alprincipio,
estasamenazas eran preocupantes sobre todo para los gobiernos, lasinstituciones
financieras y los proveedores de seguridad, pero ahora tambin lo son para
empresas y consumidores, ya que pueden afectar significativamente al valor de un
negocio y ocasionar importantes quebraderos de cabeza en nuestra vida privada.
Actualmente nos enfrentamos a una ciberguerra entre pases que incluye ataques
estatales muy notorios, aunque negados enrgicamente, y espionaje a largo plazo.
Tambin aqu, aunque predijimos la mayora de estos acontecimientos, nos han
sorprendido la rpida evolucin del malware, el aumento del volumen de ataques
y la escala de los ataques perpetrados por pases.
Cambio del perfil de los agresores
Financiados
Q4
2014
por pases
Crimen
organizado
Hacktivistas
Delincuentes
Diversin
Fama y notoriedad
Recursos tcnicos
limitados
Exploits conocidos
Reivindicaciones
Implacables,
muy implicados
Vandalismo
Redes de
Conocimientos
gran tamao
tcnicos limitados
Ataques
selectivos
Beneficio
econmico
Conocimientos
y recursos
tcnicos
considerables
Organizaciones
establecidas
Adware,
crimeware,
robo de
propiedad
intelectual
Ciberquerra,
secretos de
estado, espionaje
industrial
Muy sofisticados
Recursos
prcticamente
ilimitados
Amenazas
persistentes
avanzadas
AUMENTO DE RECURSOS Y SOFISTICACIN

La proliferacin de tipos de agresores, sus recursos y su sofisticacin
Detectar lo indetectable
Para responder en parte a la tormenta perfecta, nos pareci que debamos aumentar
rpidamente el antimalware basado en firmas aadiendo tecnologa quedetectara
lo indetectable, ya que el malware estaba evolucionando yadaptndose para
evitar las defensas de seguridad tradicionales. A fin de cuentas, y a diferencia de
lamayora de los ataques, las defensas suelen estar disponibles para que cualquiera
las pruebe y las evale. Cualquier agresor puede llevar un producto deseguridad
aunlaboratorio y probarlo de todas las maneras posibles, buscando sus puntos
dbiles para aprovecharlos o las formas de eludir su deteccin.
Temas principales
A pesar de esta preocupacin, la mayora de los ataques de seguridad de

los ltimos aos han resultado fcilmente detectables. Eran sofisticados en
planificacin, eleccin del objetivo, persecucin y ejecucin; algunos incluso
eran muy tcnicos o evasivos. Sin embargo, en los dos ltimos aos hemos
observado un cambio, un aumento considerable del nmero de ataques
tcnicamente sofisticados. Muchos de ellos estn diseados con el nico fin
de evadir las defensas avanzadas. Se infiltran por partes, se ocultan en cdigo
aparentemente inerte y esperan cualquier momento de desproteccin para
salira la luz. Estasamenazas tambin evitan las trampas basadas en firmas
desus antepasados, ya que emplean el cifrado y la modificacin dinmica de
cdigo para cambiar con cada nuevo despliegue y ocultar datos que lasdelaten.
Retrospectiva: cinco aos de amenazas
Tendencias y malware destacado

2010
2011
2012
Aumento de infecciones MBR
2013
2014
2015
Debajo del SO (MBR, BIOS, firmware)
Descargas desapercibidas
Amenazas permanentes en el navegador
Explosin de kits de exploits
Amenazas sin archivos/intrusiones sin malware
Polimorfismo del lado del servidor/hashbusters
Malware de un solo uso
Malware de "raspado" de memoria (amenazas contra TPV)

Macros y malware de mejora de secuencias de comandos PowerShell
Antivirus falso
Amenazas relacionadas con moneda digital/bitcoin
Ransomware
Malware para TPV
Aumentan las amenazas
contra Mac
Diversificacin
de plataformas
de malware
y ataques
multiplataforma
Amenazas para mviles (malware, aplicaciones potencialmente peligrosas y potencialmente no deseadas)

Amenazas del
Internet de las cosas
Vulnerabilidades principales
2011
2012
2013
2014
2015
BEASTCVE-2011-3389
CRIMECVE-2012-4929, CVE-2012-4930
RC4CVE-2013-2566
HeartBleedCVE-2014-0160,
CVE-2014-0346
Shellshock
CVE-2014-6271,
CVE-2014-6277,
CVE-2014-6278,
CVE-2014-7169,
CVE-2014-7186,
CVE-2014-7187
BERserkCVE-2006-4339,
CVE-2014-1568
Poodle
CVE-2014-3566,
CVE-2014-8730
FREAK
CVE-2015-0204,
CVE-2015-1637
Logjam
CVE-20154000
Principales ataques contra el ncleo de Internet

Temas principales
El aumento del malware evasivo

yde los ataques de larga duracin
no nos ha sorprendido, sinembargo,
algunas de las tcticas y tcnicas
empleadas eran inimaginables
hacecincoaos.
Cada vez hay ms ataques de larga duracin que se prolongan durante meses
oataques a largo plazo que esperan y observan antes de actuar maliciosamente.
Probablemente, la mayora de ellos pretenden desempear una labor de espionaje
permanente en lugar de vender los datos filtrados. Aunque en 2010 ya preveamos
la existencia de los ataques de larga duracin, algunas de las tcticas y tcnicas
utilizadas en estos ataques eran inimaginables hace cinco aos. Documentamos
unode estos ataques en "El Equation Group: ataques al firmware de los discos duros
yde las unidades en estado slido", un tema principal del Informe de McAfee Labs
sobre amenazas de mayo de 2015. En el informe Diseccin de la operacin Troy:
elciberespionaje en Corea del Sur se describe otro de estos ataques a largo plazo.
Evolucin de los tipos de dispositivos

Como hemos visto, uno de los aspectos de la tormenta perfecta era el enorme
aumento de los tipos y el volumen de dispositivos, adems de la tremenda
expansin de la virtualizacin y las nubes pblicas.
Los consumidores han adoptado las ltimas tecnologas con gran rapidez.
Yahaba sucedido lo mismo con los telfonos mviles, despus con los
smartphones ylas tablets, y ahora con los "wearables". La rpida adopcin de
dispositivos estconectando nuestros hogares y organizaciones al Internet de
las cosas, tanto en sanidad, energa y logstica como en distribucin, urbanismo,
transporte, automocin y fabricacin. Ahora la gente depende tanto de los
dispositivos en su entorno que no les importa sacrificar seguridad y privacidad.
Creamos yseguimos creyendo que cuando hubiera suficientes dispositivos
de un determinado tipo para crear un mercado lucrativo, comenzaran a ser
blanco deataques. Durante los ltimos cincoaos, los resultados han sido
losesperados enalgunas reas y sorprendentes enotras.
Aunque el volumen de los
dispositivos mviles ha aumentado
incluso a ms velocidad de la
esperada, elincremento de los
ataques graves generalizados contra
estosdispositivos ha sido mucho
ms lento de lo que creamos.
Esto es solo el principio de los

ataques contra los dispositivos
delInternet de las cosas (IoT).
Dispositivos mviles: aunque los dispositivos mviles han experimentado un

aumento muy rpido de ataques de malware, la mayora de ellos siguen en
etapa exploratoria o con un impacto comparativamente pequeo. El valor de los
datos recuperables de un smartphone es relativamente bajo y los smartphones
no representan un vector de ataque importante para las empresas. La funcin
de copia de seguridad automtica de muchos smartphones y tablets los hace
fciles de limpiar y recuperar si se infectan o los secuestran, al menos hasta
que los delincuentes logren atacar las copias de seguridad basadas en la nube.
Los mercados de aplicaciones para smartphones y tablets tambin son mucho
ms restrictivos, ya que actan como servicios de listas blancas para limitar las
descargas de aplicaciones maliciosas. Estas restricciones no son 100% eficaces,
pero s limitan el incremento de los ataques a dispositivos mviles. Aunque el
volumen de los dispositivos mviles ha aumentado incluso a ms velocidad
dela esperada, el incremento de los ataques graves generalizados contra estos
dispositivos ha sido mucho ms lento de lo que creamos.
Internet de las cosas: los ataques a los dispositivos IoT no han hecho ms que
empezar. La variedad de dispositivos, sistemas operativos y versiones constituye
una resistencia a corto plazo a los ataques, porque pocos cuentan con una base
instalada lo suficientemente amplia para atraer a los ciberdelincuentes. Noobstante,
el volumen de dispositivos ha aumentado ms deprisa de lo previsto y en sectores
que no esperbamos, por lo que se ha creado una superficie de ataque enorme;
es solo cuestin de tiempo que las amenazas se extiendan a estos dispositivos.
Por supuesto, los agresores no van detrs de los dispositivos propiamente
dichos, sino de sus datos o de su capacidad para actuar como puerta de enlace.
Buscanlamanera ms fcil de entrar, y estos dispositivos a menudo brindan un
acceso desprotegido a redes que contienen abundantes blancos. Tan solo estamos
presenciando el inicio de las brechas de seguridad ylos ataques contra ellos.
PC y sistemas de centros de datos: aun con el increble crecimiento de los
dispositivos que no son PC, tal y como esperbamos los PC y los sistemas
de los centros de datos siguen siendo el objetivo ms lucrativo para los
ciberdelincuentes. Contienen los mejores datos, las vulnerabilidades ms
visibles y el sistema de parches ms dbil.
Temas principales
La adopcin de la nube ha
cambiado la naturaleza de algunos
ataques, ya que su objetivo no
es la pequea cantidad de datos
que albergan los dispositivos,
sinoque sirven como va para
llegar al lugar donde residen
losdatosimportantes.
La virtualizacin y la nube: el aumento de dispositivos viene acompaado de un

enorme crecimiento de la virtualizacin y la computacin en la nube. Habamos
previsto el rpido crecimiento de la virtualizacin, especialmente en el centro
de datos, pero nos ha sorprendido la rapidez del despliegue y la adopcin de la
computacin y el almacenamiento en la nube. La virtualizacin tena gran sentido
desde el punto de vista econmico y optimizamos el hardware con ese fin. Elpaso
a la nube tambin era lgico desde el punto de vista operativo yfinanciero, pero
creamos que las empresas lo adoptaran con ms lentitud. Laadopcin de la
nube ha cambiado la naturaleza de algunos ataques, ya que suobjetivo no es la
pequea cantidad de datos que albergan los dispositivos, sino que sirven como
vapara llegar al lugar donde residen los datosimportantes.
Si un agresor logra acceder a las credenciales de una vctima en la nube, puede
espiar actividades y transacciones, manipular datos, devolver informacin
falsificada y redirigir a los clientes a sitios ilegtimos. Las instancias del servicio
o la cuenta de la vctima pueden convertirse en la nueva base del agresor, que
de este modo puede aprovechar la reputacin de la vctima para lanzar ataques
posteriores. Predijimos las vulnerabilidades de la nube bajo ataque antes incluso
de la adquisicin y, tal como esperbamos, siguen aqu.
Evolucin y economa de las ciberamenazas

Todos preveamos un crecimiento importante del volumen y la capacidad
tcnica de los ciberataques. Las condiciones eran demasiado tentadoras para
dejarlas pasar. Las amenazas han evolucionado como en la clsica carrera
armamentstica: los delincuentes han desarrollado nuevos ataques, el sector de
la seguridad ha respondido con nuevas defensas, y as sucesivamente. Internet
y la "Internetprofunda" han contribuido decisivamente a impulsar esta carrera,
pues han facilitado que los delincuentes compartan tcnicas y aprendan unos
de otros. En cuanto apareca un ataque en escena, aunque fuera del grupo
delictivo ms sofisticado tcnicamente, otros podan observarlo, descodificarlo,
reutilizarlo e incluso mejorarlo. Poco despus de que se descubriera una
vulnerabilidad, a menudo ya se haba vendido a los delincuentes para que la
explotaran. Losproveedores de tecnologa empezaron a lanzar programas de
recompensas a cambio de errores y ahora la compra de vulnerabilidades por
proveedores odelincuentes se ha convertido en un negocio mucho mayor de
loque habamosprevisto.
Tipo de vulnerabilidad
Precio por exploit de tipo zero-day
Adobe Reader
500030000 dlares
Mac OS X
2000050000 dlares
Android
3000060000 dlares
Complementos Flash o Java

paranavegadores
40000100000 dlares
Word
50000100000 dlares
Windows
60000120000 dlares
Firefox o Safari
60000150000 dlares
Chrome o Internet Explorer
80000200000 dlares
iOS
100000250000 dlares
Precios de exploits de tipo zero-day en 2013

Temas principales
Asistimos a la transformacin de la
ciberdelincuencia en una industria
en toda regla, con sus distribuidores,
mercados, proveedores de servicios,
sistema de financiacin y comercio,
y una proliferacin de modelos
denegocio.
Lo que no esperbamos era la transformacin de la ciberdelincuencia en una

industria en toda regla, con sus distribuidores, mercados, proveedores de servicios
("la ciberdelincuencia como servicio"), financiacin, sistemas comerciales y toda
una proliferacin de modelos de negocio. Por supuesto, el delito pretende siempre
conseguir dinero de la forma ms fcil posible y ha de estar suficientemente
bien pagado, porque sino la gente dejara de practicarlo. Lamentablemente,
la ciberdelincuencia se paga muy bien. Segn un proveedor de seguridad, una
campaa hipottica, aunque realista, de malware puede obtener una rentabilidad
del 1425%. Y en un estudio encargado por Intel Security se calcul que
el coste anual de la ciberdelincuencia para la economa mundial alcanza los
400000millones de dlares.
Aunque Internet ha sido fundamental para la ciberdelincuencia, los ataques se
han visto impulsados por el acceso a tecnologas que permiten a los delincuentes
permanecer en el anonimato. En concreto, las redes de anonimizacinenespecial
Tor y las monedas virtuales se han convertido en un factor clave de la capacidad
de los ciberdelincuentes para permanecer ocultos de las fuerzas de seguridad.
Algunos de nosotros nos percatamos del desarrollo inicial de las monedas virtuales
y vimos inmediatamente su potencial para transacciones ilegales de muchos tipos.
Los bitcoins y los intermediarios annimos tambin han revitalizado el mercado
del ransomware, hacindolo comercialmente viable yfomentando un crecimiento
inesperadamente elevado.
Hace cinco aos se produjeron numerosos robos importantes de datos de tarjetas
de crdito que se vendan a granel lo antes posible a quienes queran hacer compras
fraudulentas. Los emisores de tarjetas de crdito han hecho un esfuerzo importante
para bloquear rpidamente el uso de las tarjetas robadas, por lo que ahora pierden
pronto su valor. Como consecuencia, algunos agresores han empezado a robar otros
datos de valor, como las historias mdicas personales, que no se devalan con tanta
rapidez. Siguiendo el ejemplo de la comunidad empresarial, los ciberdelincuentes
tambin estn optando por almacenar los datos para combinarlos, correlacionarlos
y as convertirlos en algo mucho ms valioso. Muchos de los robos de datos ms
destacados que se han llevado a cabo recientemente, como llos de declaraciones
dela renta o certificados de antecedentes penales, no se han convertido de
inmediato en dinero, lo que posiblemente indica una mayor madurez delictiva.
Esoes algo que nohabamos previsto.
Otro indicador de la madurez del negocio de la ciberdelincuencia ha sido la
disminucin de las aptitudes tcnicas necesarias para participar en l. En la Internet
profunda han aparecido toolkits comerciales de malware, programas deafiliacin
a ransomware, formularios de creacin de ataques y otras conocidas ofertas para
permitir una distribucin ms rpida, fcil y amplia de los ataques. Ahora no hace
falta saber mucho para ser ciberdelincuente. (Paraobtener ms informacin sobre
paquetes de malware en venta, lea "Tras la desaparicin de Blacole: el kit de exploits
Angler" en el Informe de McAfee Labs sobre amenazas de febrero de 2015).
Temas principales
El asequible precio de los paquetes de malware ha contribuido enormemente

alosciberataques.
En general, los pases tienen motivos distintos para sus ataques, pero normalmente
emplean la misma infraestructura delictiva. Los pases no suelen actuar motivados
por la rentabilidad directa y pueden iniciar acciones a ms largo plazo con recursos
enormemente diferentes. Para nosotros el espionaje es la actividad discreta de un
pequeo nmero de personas, y ese ha sido en general el caso del ciberespionaje.
Sin embargo, la escala del ciberespionaje patrocinado por pases ha superado
nuestras expectativas: en solo los dos ltimos aos ha cobrado mucha ms
visibilidad, incluso para el pblico en general.
Ms sorpresas
Empresas y consumidores por
igual siguen sin prestar suficiente
atencin a actualizaciones, parches,
proteccin con contraseas, alertas
de seguridad, configuraciones
predeterminadas y otros medios
sencillos pero indispensables para
proteger los activos electrnicos
yfsicos.
El descubrimiento y el
aprovechamiento de
vulnerabilidades bsicas de
Internet han puesto de manifiesto
que algunas tecnologas
fundamentales carecen de
lafinanciacin y del personal
queprecisan.
Nos hemos llevado algunas sorpresas que no encajan del todo en las categoras
descritas. Posiblemente la mayor de ellas es la continua falta de atencin que
empresas y consumidores por igual prestan a actualizaciones, parches, proteccin
de contraseas, alertas de seguridad, configuraciones predeterminadas y otras
formas fciles pero indispensables de proteger activos electrnicos y fsicos.
Estono es nuevo en el sector de la seguridad: llevamos dcadas insistiendo
en ello y sin embargo siguen siendo los vectores ms probables de que un
ataqueprospere.
Cuando se trata de recursos fsicos, nos asombra que no se haya producido con
xito un ataque catastrfico a alguna infraestructura crtica. Este tipo de ataques
no son convenientes para los ciberdelincuentes porque no reportan beneficios
fciles, pero desde luego s lo son para los terroristas y quiz para algunos
pases. Aunque hemos observado actividades de exploracin electrnica de
infraestructuras crticas, suponemos que hay motivos polticos o estratgicos
que han impedido que se lleven a cabo... hasta ahora.
En lo que respecta a las infraestructuras, el inesperado y reciente descubrimiento
de vulnerabilidades en el ncleo de Internet en cdigo que tiene dcadas de
antigedad y su explotacin han demostrado cmo algunas tecnologas bsicas
carecen de la financiacin y el personal que necesitan. El reconocimiento de este
riesgo ha generado el patrocinio de software y una mayor colaboracin entre
importantes organizaciones que dependen de Internet para todas susactividades.
Temas principales
Estamos muy satisfechos de

la colaboracin positiva y cada
vez mayor entre el sector de la
seguridad, las universidades,
las fuerzas de seguridad y los
gobiernos para desmantelar las
operaciones de la ciberdelincuencia.
Finalmente, estamos muy satisfechos de la colaboracin positiva y cada

vez mayor entre el sector de la seguridad, las universidades, las fuerzas
de seguridad ylos gobiernos para desmantelar las operaciones de la
ciberdelincuencia. Losdelincuentes pueden y quieren compartir sus cdigos
y sus conocimientos; nosotros tenemos que hacer lo mismo con las defensas.
Puede que "La unin hace la fuerza" no sea ms que una frase hecha, pero en
este caso no puede ser msacertada.
Conclusin
Hace cinco aos acertamos con algunas de nuestras predicciones, no as con otras.
Muchos de los componentes anunciados de la tormenta perfecta se han hecho
realidad, mientras que otros nos han tomado por sorpresa. Tres elementos han
continuado desafiando el panorama de la ciberseguridad: el crecimiento de la
superficie de ataque, la industrializacin de la ciberdelincuencia y la complejidad
y fragmentacin del mercado de la seguridad de TI. La ciberdelincuencia ha
madurado mucho antes de lo que esperbamos; de ser una aficin ha pasado
aser una industria que prueba diferentes modelos de negocio y funciona con
unamezcla de motivos delictivos, polticos y militares.
La conciencia sobre la ciberseguridad est en su apogeo, en parte por los medios
de comunicacin, por las nuevas normativas que exigen la divulgacin de las
intrusiones y por un mayor conocimiento y madurez. Sin embargo, hoyhay mucho
ms en juego, el panorama ha cambiado en favor de los agresores y sus capacidades
y recursos han crecido ms que nunca. Las batallas de seguridad siguen siendo
un tremendo reto, pero la guerra no ha terminado. Entre los factores beneficiosos
cabe mencionar una mayor sensibilizacin, la incorporacin de ms profesionales
de la seguridad, las innovaciones tecnolgicas y el reconocimiento de los gobiernos
de supapel para proteger alos ciudadanos en el ciberespacio. La fusin de Intel
y McAfee forma parte de una evolucin cuyo fin es proporcionar seguridad para
proteger a las personas ylas tecnologas en el futuro.
Temas principales
La filtracin de datos: un paso importante

en el desarrollo de unciberdelito
Brad Antoniewicz
Durante los ltimos 10 aos hemos sido testigos de una adopcin de tecnologa sin
precedentes en todo el mundo. El uso de Internet se ha disparado del 15% ams
del 40% de la poblacin mundial y, con l, empresas de todos los tamaos han
creado redes conectadas a Internet para comunicarse con sus clientes ysuministrar
los datos que impulsan su negocio. Esta recopilacin ydigitalizacin de informacin,
junto con la enormidad y el alcance de las redes modernas, generauna atractiva
oportunidad para los ladrones: robar datos.
Los ciberdelincuentes han robado
casi todos los tipos de datos
personales: nombres, fechas
de nacimiento, direcciones,
nmeros de telfono, nmeros
de documentos de identidad,
nmeros de tarjetas de crdito
y dbito, informacin sanitaria,
credenciales de cuentas e incluso
preferencias sexuales.
Los ltimos 10 aos tambin han registrado un aumento tremendo del nmero de
fugas de datos importantes. En 2007, TJ Maxx sufri una de las primeras brechas
de seguridad a gran escala, en la que se rob informacin de tarjetas de crdito
y dbito de hasta 94 millones de clientes. Tan solo dos aos despus, Heartland
Payment Systems, el gigante de procesamiento de pagos, sufri un ataque en
el que perdi datos de aproximadamente 130 millones de clientes. Durante los
aos siguientes se descubrieron fugas an mayores cuyo blanco eran redes de
informacin ms extensas.
Adems de nmeros de tarjetas de crdito y dbito, los ciberdelincuentes
hanrobado casi todos los dems tipos de datos personales: nombres, fechas
de nacimiento, direcciones, nmeros de telfono, nmeros de documentos
de identidad, informacin sanitaria, credenciales de cuentas eincluso
preferenciassexuales.
Ahora sabemos que los ciberdelincuentes no son solo grupos o personas
que pretenden lucrarse. Los motivos que los mueven han creado distintas
categoras de delincuentes, cada una con una intencin propia para robar
datos. Como demuestra la reciente oferta de trabajo de un gobierno extranjero
para "agente de inteligencia estadounidense", los datos personales robados
tienen una finalidad diferente cuando las vctimas son empleados de un
organismo pblico y los ciberdelincuentes actan en nombre de un pas.
El xito de Internet y la evolucin de la ciberdelincuencia tambin han dado nuevas
alas al ciberespionaje, lo que convierte el robo de propiedad intelectual digital
en una amenaza real. Se han robado secretos comerciales de organizaciones de
todos los tipos desde Google, Microsoft y Sony hasta Boeing, Lockheed Martin
yDuPont lo que demuestra que los ciberdelincuentes encuentran valor en todos
los lugares donde lo hay.
Este tema principal gira en torno a un paso importante en el proceso de un robo de
datos: la filtracin o fuga de la informacin. En esta fase, el ciberdelincuente copia
o traslada los datos de la red del propietario a una red que est bajo su control.
Lafiltracin de datos la llevan a cabo delincuentes cuya intencin es robar datos,
nose trata de prdidas de datos accidentales en equipos extraviados u olvidados
(enlas que el ladrn est ms interesado en sacarle rentabilidad al hardware).
Creadores de amenazas
Orgenes de la amenaza, creadores de la amenaza y agentes de la amenaza
son los trminos empleados para describir a un grupo o individuo que pretende
conseguir acceso no autorizado a redes informticas y sistemas. Entre las distintas
publicaciones, tanto del sector pblico como privado, que intentan clasificar dichas
amenazas, encontramos que generalmente los autores se clasifican en tres tipos:
pases, delincuentes organizados y hacktivistas.
Temas principales
Motivacin
La motivacin es una de las caractersticas fundamentales
que distinguen a los creadores de las amenazas. Aunque
no todos ellos necesitan robar datos durante cada una de
las campaas para conseguir su objetivo, suele ser el caso
en muchas de las campaas.
Pases
Motivacin general
Ejemplo de tipos de datos
Ciberespionaje
Ventajas estratgicas
Cdigo fuente
Mensajes de correo
electrnico
Documentos internos
Actividad militar
Informacin de
identificacin
personal de
empleados de la
administracin
Cuando se requiere el robo de datos, el autor del ataque

normalmente intenta encontrar los tipos de datos ms
atractivos. Sin embargo, los tipos de datos que persigue
un autor pueden cambiar; no es raro observar cmo un
miembro de una banda de delincuentes organizada se
interesa por el robo de propiedad intelectual, por ejemplo,
con el fin de incrementar sus ganancias.
Crimen organizado
Econmica
Informacin de
cuentas bancarias
Nmeros de tarjetas
de crdito
Informacin de
identificacin
personal (nmeros
de documentos de
identidad, datos
sanitarios, etc.)
Hacktivistas
Reputacin
Social
Mensajes de
correo electrnico
Informacin de
losempleados
Cualquier tipo
de informacin
confidencial interna
Volumen de datos buscados
Pequeo-grande
Grande
Pequeo-grande
Sofisticacin de las
tcnicas de filtracin
Alta
Media-baja
Media-baja
Ubicacin de la red
Desconocida/dispersa
Conocida
Conocida y desconocida/
dispersa
El objetivo de los pases es generalmente conseguir una

ventaja estratgica que con frecuencia implica apoderarse
de propiedad intelectual. Dada la variadsima informacin
dela que puede aprovecharse un creador de este tipo,
es difcil calcular el volumen de datos que puede salir de
una organizacin; por ejemplo, mientras que el diagrama
oel plano de un nuevo producto es relativamente
pequeo, el cdigo fuente de una aplicacin importante
es enorme. Estetipo de informacin es difcil de organizar
y, adems, suele estar distribuida en varias redes, por lo
que los creadores se ven obligados a dedicar bastante
tiempo a investigar su ubicacin, a menos que cuenten
coninformacin privilegiada de empleados internos.
Los objetivos financieros de los responsables del crimen

organizado son bastante ms fciles de entender. En este
caso se suelen centrar en hallar el cofre del tesoro lleno
de nmeros de tarjetas de crdito, informacin bancaria
o datos de identificacin personal. La mayora de los
tipos de datos siguen un formato estndar y estructurado
que facilita su bsqueda. Adems, los datos suelen estar
sujetos a normativas, lo que significa que se encuentran
enubicaciones establecidas de la red.
Temas principales
Los ms difciles de detener posiblemente sean los hacktivistas, ya que cualquier

informacin interna puede afectar a la reputacin de una organizacin. Por este
motivo, todos los tipos de datos, de cualquier tamao, desde nmeros de tarjetas
de crdito hasta mensajes de correo electrnico son susceptibles de ser robados
por estos creadores de amenazas.
Acceso fsico
Si el creador de una amenaza tiene la posibilidad de acceder fsicamente a un
sistema, aunque sea a travs de un proxy, ya cuenta con una ventaja enorme.
Losdispositivos de almacenamiento USB ofrecen un mtodo fcil para filtrar
grandes cantidades de datos sorteando los controles de seguridad de la red.
Para iniciar un ataque, un ciberdelincuente puede darle un soporte extrable
aunempleado que no sospeche nada y, de manera inadvertida, lance el ataque
al insertar el dispositivo.
Conocimiento del entorno

Para conocer el entorno de las redes y los sistemas, los creadores se sirven de
tcnicas de ingeniera social, la ayuda de personal interno e informacin de cdigo
abierto. Dichas tcnicas reducen el tiempo que necesitan para descubrir los datos,
obtener acceso a los sistemas y realizar la filtracin.
Filtracin de datos
Copiar datos de una red que ha sufrido un ataque puede una tarea complicada.
Requiere un conocimiento detallado de la configuracin de seguridad de la
organizacin, los puntos dbiles en la segmentacin de su red, la ubicacin
y configuracin de los controles de seguridad, y los privilegios que conceden
acceso a los sistemas.
Para entender y clasificar estas complejas tcnicas, hemos dividido los componentes
en cinco reas principales:
Objetivos de datos: sistemas que contienen datos que persigue

el agresor, como recursos compartidos de archivos, repositorios,
sistemas punto de venta, etc.
Infraestructura: sistemas que posee la empresa y que el agresor
utiliza para obtener y transmitir datos desde la empresa hasta los
servidores de volcado.
Servidores de volcado: sistemas a los que el agresor puede acceder
yque se emplean para almacenar los datos de manera temporal
hasta que estn totalmente bajo control del agresor.
Transportes de datos: protocolos de red o dispositivos de almacenamiento
de datos utilizados para transportar los datos deuna ubicacin a otra.
Manipulacin de datos: tcnicas que alteran o enmascaran los datos,
como el cifrado, la ocultacin, la compresin y la fragmentacin.
Componentes de la filtracin de datos
Objetivo
de datos
Infraestructura
intermedia
Internet
Servidores
de volcado
Transportes/manipulacin de datos
Componentes principales de la filtracin de datos

Temas principales
Objetivos de datos
Una vez que el agresor ataca a un sistema de la red, la puerta est abierta para
explorar otros sistemas y descubrir los que albergan datos interesantes. Una red
completa contiene diversos tipos de datos, por lo que este proceso es largo para
los ciberdelincuentes que no disponen de informacin privilegiada.
Entre los principales objetivos de datos se encuentran los siguientes:
Objetivo de datos
Tipos de datos
Intereses del agresor
Sistemas de base
de datos
Varan: datos sanitarios

protegidos, informacin
de identificacin personal,
tarjetas de crdito,
informacin bancaria
ycuentas de usuario
Crimen organizado,
hacktivistas
Repositorios de
cdigo fuente
Cdigo fuente,
credenciales, claves
Pases, hacktivistas
Sistemas
especializados
Varan
Todo, segn el tipo

deendpoint
Recursos de archivos
compartidos
ysistemas similares
Cdigo fuente, diseos,

comunicaciones, etc.
Pases, hacktivistas
Correo electrnico
ycomunicaciones
Diseos, comunicaciones
Pases, hacktivistas
Sistemas de base de datos

Estos sistemas almacenan grandes cantidades de datos estructurados, loque los
convierte en un objetivo inmediato, especialmente para delincuentes organizados.
Los sistemas realizan numerosas funciones empresariales:
Autenticacin: sistemas que contienen informacin como nombres

de usuario y contraseas asociada a la autenticacin de los usuarios.
Seguimiento de pacientes: sistemas empleados para el seguimiento
de la toma de medicamentos, administracin y alta de los pacientes
en el sector de la sanidad.
Procesamiento de pagos: sistemas que aceptan, emiten y procesan
transacciones financieras de clientes o proveedores.
Procesamiento/fidelidad de clientes: sistemas que contienen datos
de clientes para su seguimiento o para campaas de marketing
ofines similares.
Administracin de recursos humanos/finanzas: sistemas responsables
de la administracin de los empleados y las nminas
Tecnologa no empleada en produccin/sistemas no aprobados:
sistemas de testing y no aprobados que contienen datos de
produccin y otra informacin de la empresa que puede ser
igualmente til para el agresor y ms vulnerable ante un ataque.
Temas principales
Repositorios de cdigo fuente

Los repositorios de cdigo fuente internos se dejan en ocasiones desprotegidos
incluso aunque contengan datos de mucho valor, como el cdigo fuente
de aplicaciones, claves API, credenciales de bases de datos y servidores de
autenticacin y claves de cifrado.
Sistemas especializados
Los ataques contra comercios minoristas y fabricantes demuestran que los autores
persiguen datos que se almacenan en sistemas especializados oendpoints
especficos para un sector concreto. Entre ellos se incluyen:
Sistemas terminales punto de venta: posiblemente el punto ms

vulnerable del procesamiento de pagos sean los terminales punto
deventa, ya que los datos de tarjetas de crdito no suelen cifrarse
enla memoria una vez que el lector los ha ledo.
Estaciones de trabajo de desarrolladores: en las estaciones de trabajo de
los desarrolladores puede haber multitud de informacin de propiedad
intelectual y del entorno, lo que las convierte en objetivos muy valiosos.
Sistemas de control: los puntos de ajuste y la lgica de los programas
ofrecen informacin de gran valor y pueden modificarse con
consecuencias devastadores en los ataques a industrias.
Repositorios de archivos
Para un ciberdelincuente, el ingente volumen de datos de los grandes repositorios
de archivos ofrece ventajas y desventajas. Por una parte, pueden contener multitud
de informacin; y por otra, filtrarla de forma manual puede ser una tarea inacabable,
ya que se incluyen datos no estructurados. Los sistemas que se agrupan en esta
categora son:
Recursos compartidos de archivos de red: estos sistemas contienen

carpetas de grupos y usuarios, junto a documentos, diagramas
yotros datos de la empresa almacenados en dichas carpetas.
Sistemas de gestin de contenidos: Microsoft SharePoint y otros
albergan contenido similar a los recursos compartidos de archivos,
pero generalmente para los ciberdelincuentes es ms difcil
desenmaraarlo.
Nube de terceros: los servicios para compartir archivos alojados en la
nube, como Google Drive, Dropbox y Box.com tambin pueden poner
los datos en riesgo, pero normalmente son objetivo de agresores
externos con informacin privilegiada de personal interno y no de
agresores de una red interna.
Correo electrnico y comunicaciones

Las estaciones de trabajo de los usuarios, servidores de correo electrnico
ysistemas de mensajera instantnea, como Skype for Business suelen ser
blanco de ataques, ya que en su memoria cach se guardan datos confidenciales
de la empresa, informacin sobre operaciones y comunicaciones privadas.
Temas principales
Infraestructura intermedia
Cuanto ms segmentado
yprofundo est el objetivo en
lared, ms difcil ser para el
creador de la amenaza filtrar
losdatos.
Cuanto ms segmentado y profundo est el objetivo en la red, ms difcil ser para

el creador de la amenaza filtrar los datos. Cuando es necesario, los ciberdelincuentes
desarrollan una infraestructura provisional para un fin especfico, mediante el
empleo de hosts que actan como intermediarios entre los segmentos de la red
yunservidor de volcado controlado por el delincuente.
Esta infraestructura puede ser sencilla o muy complicada. En los casos de fuga
de datos avanzados, hemos observado sistemas con las siguientes funciones:
Endpoints: uno o varios objetivos de datos en el mismo segmento,

oen un segmento que se pueda direccionar al agregador.
Agregador: acta como un punto de recopilacin de los datos de los
endpoints atacados y carga dichos datos en el agente de filtracin.
Elagregador puede tener acceso a Internet, aunque no necesariamente.
En las campaas ms sofisticadas, puede haber varios agregadores que
transfieran los datos a varios agentes de filtracin con el fin de ocultar
laruta de los datos de salida.
Agente de filtracin: recoge los datos del agregador y facilita su
transferencia al servidor de volcado del agresor. Puede realizarse
mediante una transferencia sencilla o bien retener los datos hasta
que el agresor los recupere.
Arquitectura de filtrado de datos
Agregador
Agente de filtracin
Internet
Servidores
de volcado
Endpoints
Arquitectura tpica de filtracin de datos de red
Este diagrama representa una arquitectura de filtracin de datos tpica, pero existen
otras. Por ejemplo, una campaa que se diseccion pblicamente estableca una
red especial de agentes de filtracin y agregadores dispersa geogrficamente que
operaba con una planificacin rotativa al transferir los datos entre los sistemas
ya los servidores de volcado. En otro caso, se utilizaba un servidor de contenido
accesible a travs de Internet, propiedad de una empresa, como agente de filtracin
mediante la incrustacin de datos en el flujo de vdeo del contenido saliente.
Temas principales
Servidores de volcado
Un servidor de volcado es el primer punto en el que residen los datos robados
cuando ya no estn bajo control de la empresa. Sin embargo, es posible que
tampoco estn bajo el control del agresor, sino simplemente en un lugar al que
este puede acceder fcilmente. Los servidores de volcado pueden ser:
Sistemas comprometidos: sistemas que han sufrido un ataque del

agresor durante otra campaa diferente. Estos sistemas pueden ser
desde blogs de WordPress personales hasta servidores que pertenecen
a empresas que no disponen de controles de seguridad eficaces.
Sistemas alojados en determinados pases: los pases en los que la
legislacin sobre la privacidad es muy restrictiva son muy atractivos
para los delincuentes, ya que esta circunstancia les permite alojar
los sistemas dentro de sus fronteras y que no les molesten mientras
gozan de un cierto grado de proteccin.
Sistemas alojados temporalmente: sistemas temporales que se alojan
en la nube a travs de proveedores como AWS, Digital Ocean o Azure.
Servicios para compartir archivos en la nube: sitios para compartir
archivos online a los que puede acceder el pblico general, como
DropBox, Box.com o Paste Bin.
Servicios alojados en la nube: otros servicios que funcionan a travs
de Internet, como Twitter y Facebook, que permiten a los usuarios
publicar informacin.
Los hosts comprometidos, sistemas alojados en determinados pases y sistemas

alojados de manera temporal funcionan bien como servidores de volcado,
yaque ofrecen el mximo control sobre los datos, lo que permite a los agresores
personalizar completamente los transportes utilizados desde el agente de filtrado.
Los servicios de alojamiento y para compartir archivos en la nube dificultan a los
sistemas de seguridad el bloqueo de los hosts de destino debido a que estn muy
distribuidos geogrficamente. Sin embargo, dichos servicios suelen contar con
mtodos de fcil acceso para denunciar conductas delictivas ypermiten desactivar
rpidamente una cuenta maliciosa.
La desventaja de utilizar hosts dedicados como servidores de volcado es que una
vez que se descubren, pueden bloquearse o cerrarse. Para sortear este obstculo
se pueden utilizar algoritmos de generacin de dominios. Estosalgoritmos se
crean en el interior del malware que se ejecuta en la empresa elegida como vctima
y generan una lista de nombres de dominio posibles que se pueden consultar con
el fin de identificar servidores de control o de volcado activos.
Temas principales
Transportes de datos
Los transportes de datos son los protocolos y mtodos
empleados para copiar la informacin de una ubicacin
o sistema en otro, como entre un agente de filtracin y el
servidor de volcado o entre el endpoint y el agregador.
Enla tabla siguiente se resumen muchos de los medios de

transporte habituales utilizados en la actualidad, as como
sus redes:
Transporte
Descripcin
Interno
HTTP/HTTPS
Debido a la prevalencia de HTTP en las comunicaciones de red es

el protocolo ideal para ocultar los datos filtrados entre otro tipo de
trfico. Seha utilizado como transporte de filtracin general mediante
la incrustacin de comandos en encabezados HTTP ymtodos
GET/POST/PUT.
FTP
El protocolo FTP se emplea habitualmente en los servidores empresariales

y es fcil de utilizar mediante comandos nativos del sistema, por lo que es
un medio de transporte sencillo.
USB
Los dispositivos de almacenamiento USB se utilizan con frecuencia para la

filtracin de datos cuando se atraviesan redes aisladas. Hemos observado
malware que busca un dispositivo de almacenamiento USB con un marcador
especfico y que, a continuacin, copia los datos que se van a filtrar en un
sector oculto del mismo. La filtracin comienza cuando el dispositivo se
coloca en otro sistema infectado con acceso a la red.
Externo
Los dispositivos de almacenamiento USB tambin pueden ser utilizados

por personal interno para copiar fcilmente grandes cantidades de datos
y sacarlos fsicamente de la empresa.
DNS
Hay registros DNS especficos, como TXT o incluso los registrosA yCNAME,
que pueden almacenar datos en su interior hasta cierto punto. Con el
control de un dominio y un nombre de servidor, un agresor puede transmitir
pequeas cantidades de datos realizando consultas especficas en el
sistema atacado.
Tor
La red Tor es cada vez ms popular. Esto permite a los agresores enviar
datos filtrados a servidores que son difciles de localizar. Sin embargo, el
trfico Tor en redes empresariales no suele ser legtimo por lo que puede
detectarse y detenerse fcilmente.
SMTP/correo
electrnico
Los servidores SMTP, tanto si son propiedad de la empresa como si no,

pueden utilizarse para enviar datos fuera de la empresa como adjuntos
oen el cuerpo de los mensajes de correo electrnico.
SMB
SMB es un protocolo extremadamente comn en entornos Windows

ypuede estar disponible en los sistemas.
RDP
El protocolo RDP permite realizar varias actividades, como copiar/pegar

y compartir archivos y, en algunos casos, los sistemas que admiten RDP
pueden estar desprotegidos en Internet.
Transportes
personalizados
En ocasiones se utilizan transportes personalizados en comunicaciones

con los servidores de control y en algunos tipos sofisticados de malware.
Un transporte robusto requiere una gran cantidad de trabajo y debido
asu exclusividad el protocolo es fcil de identificar en la red, inclinando
la balanza hacia un tipo de transporte ya establecido.
Temas principales
Los transportes que ofrecen alternativas cifradas (como HTTPS) pueden incrementar
la dificultad de deteccin para las organizaciones. Hemos observado un aumento,
aunque limitado, en el uso del cifrado a nivel de transporte. Lafalta de cifrado
implica que la deteccin ser ms fcil, pero tambin supone un riesgo aadido
paralos datos, ya que en ocasiones se transmiten a travs de Internet.
Muchos transportes requieren el uso de credenciales vlidas o bien alguna forma
de acceso abierto/annimo para poder utilizarse en el servidor. En este caso,
si el agresor desea automatizar la filtracin de datos, deber dejar un nombre
de usuario/contrasea en el host atacado o bien se arriesga a que alguien no
autorizado acceda al sistema de forma remota.
Manipulacin de datos
La manipulacin de los datos antes
de su transferencia contribuye
a evitar la deteccin, reduce el
tiempo de transferencia y aumenta
el tiempo de anlisis.
La manipulacin de los datos antes de su transferencia contribuye a evitar la

deteccin, reduce el tiempo de transferencia y aumenta el tiempo de anlisis.
Aunque lo ms frecuente es que los datos se manipulen cuando se transfieren
por Internet, sigue siendo habitual el uso de la manipulacin en la red interna.
Una vez que los datos originales han sido manipulados, se envan empleando
el transporte hasta su destino. Entre las tcnicas de manipulacin habituales
sepueden citar:
Tcnicas
Descripcin
Compresin
La compresin con el formato ZIP estndar no soloofrece

un nivel de ocultacin sino que adems acelera las
transferencias de archivos.
Fragmentacin
La divisin de los datos en pequeas partes antes desu

envo permite que la transferencia se confunda en la
actividad habitual de la red.
Codificacin/
ocultacin
El tipo de manipulacin de datos ms comn es el empleo

de un algoritmo de codificacin u ocultacin bsico.
Mediante el empleo de sencillas tcnicas, como realizar
una operacin XOR con una clave esttica, emplear
codificacin Base64 o simplemente convertir todos los
caracteres en cdigo hexadecimal, se pueden manipular
los datos lo suficientemente para evitar la deteccin.
Cifrado
Es sorprendente que el cifrado no se utilice siempre

durante la filtracin. Es posible que esto se deba a que
el rendimiento es menor o simplemente a que no es
necesario. Cuando se emplea, lo habitual es observar
uncifrado con RC4 o AES.
Conclusin
La informacin digital se ha convertido en el objetivo principal de los ciber
delicuentes. Los datos que se roban incluyen desde grandes bases de datos
de empleados a memoria voltil en sistemas TPV. En cuanto los sistemas
de defensa crean una nueva capa de seguridad en sus redes, los agresores
encuentran la forma de poner a los sistemas de confianza contra la organizacin
convirtindolos en sus propios cmplices.
Temas principales
El primer paso para hacerse con el control es entender quines son los creadores
de las amenazas, cules son sus motivaciones y qu tcnicas emplean. Aunque la
filtracin de datos puede ser un pequeo componente de una campaa global,
es tambin el ms importante que debe ejecutar el agresor y bloquear el sistema
de defensa. Establecer directivas y procedimientos eficaces, adems de crear
una lnea de defensa alrededor de los activos y los datos crticos permite a las
organizaciones priorizar sus esfuerzos de manera que se otorgue ms atencin
alos sistemas que son ms importantes.
Descubra cmo puede

protegerle Intel Security
frenteaestaamenaza.
Prcticas y procedimientos recomendados

Identificar las fuentes
dedatos
Lleve a cabo una evaluacin de riesgos que obligue a los principales implicados aidentificar
los datos confidenciales de su red, y dnde estn almacenados.
Control de inventario de activos
Sistemas y arquitectura de red
Considere el uso de software de descubrimiento de datos para identificar la informacin

confidencial y su ubicacin.
Determinar los flujos
dedatos
Identifique el flujo de datos confidenciales que cruzan y salen de la red.
Sistemas y arquitectura de red
Considere utilizar software de supervisin de flujos de datos en tiempo real para conocer
los movimientos de datos.
Identificar los requisitos
normativos y de proteccin
de la privacidad
Conozca los requisitos normativos que afectan a su empresa y los controles de

seguridad necesarios.
Clasificar los datos
Establezca una poltica de clasificacin de los datos por confidencialidad, tipoeimportancia.
Asignar propietarios
delosdatos
Garantizar la proteccin
delos datos
Poltica de proteccin de datos
Poltica de clasificacin de datos
Desarrolle un programa que detalle los propietarios de los datos y sus responsabilidades.
Propietarios de los datos
Inventario y mantenimiento de activos de datos
Establezca una poltica para definir los requisitos de seguridad de los datos en
movimiento y en reposo.
Poltica de cifrado de datos
Instale software de prevencin de prdida de datos para impedir la filtracin de datos

noautorizada.
Revisar el acceso
alosdatos
Revisar el programa
conregularidad
Defina un proceso en el que el acceso a los datos se supervise y autorice formalmente.
Autorizacin de los datos
Gestin de cambios
Defina un proceso de gestin de riesgos para los datos de manera que se revisen
anualmente las polticas y los procedimientos.
Gestin de riesgos
Considere el uso de un software de gestin de riesgos para evaluar los riesgos

yadministrar el cumplimiento de normativas.
Temas principales

Craig Schmugar
El autor agradece especialmente
al grupo Visual and Parallel
Computing Group de Intel
sucontribucin.
Una unidad de procesamiento

grfico (GPU) es un componente
de hardware especializado
diseado para acelerar la creacin
de la imgenes que se ven en una
pantalla. En un ordenador personal,
una GPU se encuentra en una
tarjeta de vdeo dedicada, en la
placa madre, o en ocasiones en el
mismo compartimento que la CPU.
Casi todo el malware actual ha sido diseado para ejecutarse desde la memoria
del sistema principal y en la CPU. Ocurre as desde hace dcadas y por este
motivo, la inmensa mayora de las herramientas de defensa y de anlisis forense
basadas en el host se desarrollan partiendo de esta idea. Cualquier excepcin
a esta norma hay que estudiarla con detenimiento y ha dado quebraderos de
cabeza a muchos profesionales de la seguridad de la informacin este ao.
Ya hace aos que se observan ataques de malware a unidades de procesamiento
grfico (GPU) con mayor o menor intensidad. De hecho, ese tipo de malware lleva
en circulacin y activo desde hace al menos cuatro aos: troyanos mineros de
bitcoins que aprovechan el fantstico rendimiento de la GPU para incrementar
las ganancias que obtienen de cada sistema infectado.
ltimamente se ha despertado de nuevo el inters por este tema, tras la aparicin
de los principios del cdigo de prueba de concepto en GitHub, el host de cdigo
ms grande del mundo.
"Team JellyFish" public tres proyectos sobre este asunto por entonces. Se supone
que este nuevo cdigo va un paso ms all y no se limita a aprovechar la eficacia
de la GPU para el procesamiento bruto, sino que emplea la arquitectura como
instrumento de evasin mediante la ejecucin de cdigo y el almacenamiento
de los datos, en un lugar que nadie controla. En las pginas de cada proyecto de
GitHub aparecen las siguientes descripciones:
Demon, un registrador de pulsaciones (keylogger) para GPU que se describe
con las siguientes funciones:
Mdulo bootstrap de kernel de la CPU para localizar el bfer

del teclado a travs de DMA en la estructura de USB.
Bfer del teclado almacenado en el archivo userland.
El mdulo de kernel se elimina automticamente.
OpenCL almacena el bfer del teclado en el interior de

launidad GPU y elimina el archivo.
JellyFish, descrito como un rootkit para GPU basado en Linux, que ofrece
algunas ventajas:
Ausencia de herramientas de anlisis de la GPU online.

Capacidad para acceder a la memoria del host de la CPU
atravs de acceso directo a memoria (DMA).
El rendimiento de la GPU es mejor que el de la CPU por
losclculos matemticos.
Persistencia tras los reinicios en caliente
WIN_JELLY, que se describe como una herramienta de acceso remoto a GPU

Windows, con almacenamiento de cdigo ejecutable persistente en GPU que
posteriormente puede asignarse al espacio de usuario tras reiniciar.
Notas del proyecto GitHub para pruebas de concepto relativas a los ataques a la GPU
Temas principales
Posteriormente, se publicaron numerosos artculos que reiteraban las afirmaciones

de los autores. Fuera de contexto, es fcil manipular estos puntos para dar la imagen
de un fantstico fallo indetectable, que se ejecuta de manera autnoma y se oculta
de las defensas actuales, pero la realidad difiere bastante de lasapariencias.
Las afirmaciones pueden resumirse en cuatro puntos:
La arquitectura unificadade
dispositivos de cmputo
(CUDA, Compute Unified Device
Architecture), de NVIDIA, esuna
plataforma informtica en paralelo
y un modelo de API que permite
a los desarrolladores desoftware
utilizar unidades GPU con CUDA
para procesamiento con fines
generales. La plataforma CUDA
ofrece acceso directo al conjunto
de instrucciones virtuales
yelementos computacionales
enparalelo de la GPU.
Acceso a la memoria del host de la CPU desde la GPU
Eliminacin posterior de los archivos del host de la CPU
Ausencia de herramientas de anlisis de la GPU
Para responder a estas afirmaciones, McAfee Labs cre una lista de miembros
del grupo Visual and Parallel Computing Group (VPG) de Intel por su experiencia
para ayudar a determinar su validez. En el apartado siguiente se exponen las
respuestas sobre las reas de especializacin que ofrece Intel, concretamente
grficos integrados y OpenCL, aunque la mayora de los datos afectan a tarjetas
grficas especficas y a la plataforma CUDA de NVIDIA.
Acceso a la memoria del host de la CPU desde la GPU

Por su diseo, los programas que acceden a la GPU requieren que un proceso
principal se ejecute en la CPU. Dicho proceso principal puede funcionar de la misma
forma que otras amenazas, leyendo y escribiendo en la memoria, de manera que los
productos de seguridad pueden con frecuencia supervisarlo olimitarlo. Sinembargo,
una ventaja del uso de la GPU para este fin es su capacidad para ocultar la actividad
maliciosa y sortear estas medidas de proteccin.
Sin embargo, para distribuir la carga til que suele ir asociada al malware mediante
el uso de mtodos no tradicionales y aprovechar la GPU, es preciso que la memoria
fsica est asignada a la GPU. Adems, el acceso al cdigo sin derechos se limita alas
pginas de memoria asignadas al espacio de direcciones virtuales de un proceso,
porlo que el acceso al anillo 0 es obligatorio para poder asignar memoria del
sistema operativo crtica a la GPU para lectura/escritura, loque contribuye a que
elmalware deje rastro en el host. Esta dependencia est sujeta a las protecciones
delkernel implementadas. Lo que nos lleva al puntosiguiente.
Eliminacin posterior de los archivos del host de la CPU

Una vez que un programa se est ejecutando en la GPU, ya pueden eliminarse los
archivos necesarios para instalar la aplicacin. Entre dichos archivos se incluye
el controlador del kernel responsable de la asignacin de memoria, ascomo
el proceso de modo de usuario principal. Sin embargo, en este punto el cdigo
que se ejecuta en la GPU queda "hurfano" y en el caso de Microsoft Windows
pondr en marcha una deteccin de tiempo de espera agotado y el proceso de
recuperacin que reinicia la tarjeta grfica. En Windows, el tiempo deespera lmite
es de 2 segundos, aunque se puede configurar. Segn Microsoft, la modificacin
de la configuracin del TDR se debe limitar a los casos de testing ydepuracin.
Por lo tanto, cualquier modificacin de estos valores se considerar como un
comportamiento sospechoso, sobre el que los productos de seguridad pueden
avisar o incluso bloquearlo. Adems, cuando las cargas de trabajo de la GPU se
ejecutan durante un perodo prolongado, se hace evidente, ya que la interfaz
dejade responder correctamente. Ocurre igual con otros sistemasoperativos.
Para superar estos obstculos, el cdigo de modo de usuario (aunque mnimo)
debe seguir ejecutndose, lo que ofrece un indicio al sistema de proteccin de
endpoints para su identificacin. Esto no ocurrira en el caso de los sistemas
con variasGPU y/osin interfaz, en los que puede pasar desapercibido el acceso
del sistema operativo a la GPU y, por consiguiente, el riesgo. Sin embargo,
lapresencia de valores de TDR alterados en Windows sigue siendo indicio
deunproblemapotencial.
Temas principales

A primera vista, es posible que la afirmacin ms cuestionable sea la que
se refiere aque el malware que reside en la GPU puede persistir despus
de reiniciar el sistema operativo. Recordemos la afirmacin de WIN_JELLY:
"El almacenamiento decdigo ejecutable persistente en la GPU, que puede
volver a asignarse despus alespacio de usuario tras reiniciar". Si no se analiza
detenidamente, suena mal desde el punto de vista de la seguridad; sin embargo,
cuando se lee dos veces, la afirmacin no es lo que parece. "Persistente" no se
refiere al cdigo en ejecucin, sino al almacenamiento de datos. Recuerde el
punto anterior: de forma predeterminada para que el programa de la GPU siga
ejecutndose, se requiere un proceso de host. La idea de persistencia a la que
se refiere este texto est relacionada con una aplicacin host que se ejecuta al
iniciar el sistema, recuperando datos de la memoria de la GPU y asignndolos
denuevo al espacio de usuario, lo que no es en absoluto tan alarmante, ya que
elcdigo de modo de usuario malicioso debe persistir tambin fuera de la GPU.
Ausencia de herramientas de anlisis de la GPU

Aunque algunas herramientas ofrecen supervisin del rendimiento de la GPU
y depuracin, son muy pocas las que ofrecen anlisis forense y de malware.
Tradicionalmente, estas herramientas se creaban por necesidad o por los que
pretendan racionalizar un proceso ms rutinario. En este caso, se requieren
herramientas de anlisis de amenazas para comprender mejor la actividad de
una amenaza en la GPU. Sin embargo, los productos de seguridad no necesitan
depender de este tipo de herramientas para la clasificacin e identificacin
de lasamenazas, ya que el uso de este vector de ataque proporciona otros
indicadores de amenaza.
Resumiendo
Las amenazas contra las GPU son una preocupacin real. Sin embargo, ese tipo
de ataques todava no ha alcanzado el nivel de la tormenta perfecta. Por un lado,
revertir su ingeniera y realizar el anlisis forense de dichas amenazas es mucho
ms complejo y complicado que en el caso de sus equivalentes contra laCPU,
yesto puede provocar que una infeccin pase desapercibida durante ms tiempo.
Al trasladar parte del cdigo malicioso fuera de la CPU y la memoria del host,
sereduce la superficie de deteccin, lo que complica la deteccin de los ataques
a los sistemas de defensa basados en el host. Por otro lado, no se ha eliminado
completamente la superficie de deteccin. En el peor de los casos, quedan trazas
de la actividad maliciosa, lo que permite a los productos de seguridad para
endpoints detectar y corregir la amenaza.
Existen algunos paralelismos entre el malware para las GPU y los rootkits del
kernel de Windows que observbamos hace unos 10 aos. Uno de los requisitos
de los rookits del kernel era la ejecucin de cdigo malicioso con privilegiosque,
una vez ejecutado, poda ocultar su presencia. Adems, las herramientas de
anlisis de rootkits eran ms limitadas. Ahora es ms difcil que nunca que un
agresor consiga y ejecute cdigo con privilegios (algo que sigue siendo necesario
en el caso del malware para GPU ms catastrfico). Los productos de seguridad
incorporaron defensas especficas contra rootkits y Microsoft distribuy una serie
de protecciones del kernel, incluida PatchGuard, la implementacin de firma de
controladores, ELAM (Early Launch Anti-Malware), el arranque seguro y otras
funciones de defensa. Muchas de estas protecciones juegan un papel importante
contra los ataques a la GPU asistidos por kernel de Windows.
Un avance reciente que afecta a la viabilidad del malware para las GPU en
determinados sistemas es la funcin Device Guard de Microsoft, que aprovecha
la unidad de gestin de memoria de entrada/salida (en el caso de Intel, la
tecnologa de virtualizacin para E/S dirigida o Intel VT-d) en hardware para
permitir a los administradores bloquear dispositivos de manera que nicamente
se ejecuten las aplicaciones de confianza y firmadas por Microsoft. Aunque esta
funcin solo est disponible en determinadas circunstancias, puede proporcionar
ms seguridad a los encargados de proteger la informacin crtica.
Temas principales
Descubra cmo puede protegerle

Intel Security frente aesta amenaza.
Esta respuesta no pretende rechazar de plano todas las afirmaciones relativas

a los ataques contra la GPU, sino ms bien ofrecer contexto sobre la amenaza
actual y las defensas disponibles. No cabe ninguna duda de que se producirn
avances en esta rea, tanto por parte de los agresores como de los sistemas de
proteccin. Como mnimo, la atencin recibida recientemente ha servido para
revisar su enfoque actual y para explorar nuevas formas de mejorar.
Prcticas seguras para proteger contra este tipo de ataque

McAfee Labs recomienda varias formas de proteccin de los sistemas contra
ataques a la GPU:
Active las actualizaciones automticas del sistema operativo odescargue

con regularidad las actualizaciones para que los sistemas operativos
cuenten con los parches necesarios para estar protegidos frente a las
vulnerabilidades conocidas.
Instale los parches de otros fabricantes de software en cuanto
sepubliquen.
Instale software de seguridad en todos los endpoints y mantenga
actualizadas las firmas antivirus.
Considere utilizar listas blancas de aplicaciones para impedir la
ejecucin de aplicaciones no autorizadas.
Evite ejecutar aplicaciones en modo de administrador siempre
quesea posible.

Amenazas contra dispositivos mviles
Malware
Amenazas web
Compartir opinin
Amenazas contra dispositivos mviles

Nuevo malware
paraMalware
mviles
New Mobile
1 400 000
1 200 000
1 000 000
800 000
600 000
400 000
200 000
0
3.er trim. 4. trim.
2013
1.er trim.
2. trim. 3.er trim.

2014
4. trim.
1.er trim. 2. trim.

2015
Total de malware
para mviles
Total Mobile
Malware
9 000 000
El nmero total de muestras de
malware para mviles creci un
17% en el 2. trimestre.
8 000 000
7 000 000
6 000 000
5 000 000
4 000 000
3 000 000
2 000 000
1 000 000
0
3.er trim. 4. trim.
2013
1.er trim.
2. trim. 3.er trim.

2014
4. trim.
1.er trim. 2. trim.

2015
Tasas de infeccin por malware para mviles

enel2.trimestrede2015,
regin
Regional
Mobile Malware Infectionpor
Rates
in Q2 2015
12 %
Las tasas de infeccin por malware
disminuyeron un 1 % por regin
este trimestre, excepto en Amrica
del Norte, donde el descenso fue
de casi el 4 %, y en frica, donde
no variaron.
10 %
8%
6%
4%
2%
0%
frica
Asia
Australia
Europa
y frica
Amrica
del Norte
Amrica
del Sur
Tasas mundiales
de infeccin
porInfection
malwareRates
para mviles
Global Mobile
Malware
30 %
25 %
20 %
15 %
10 %
5%
0%
4. trim.
2013
1.er trim.
2. trim.
3.er trim.
2014
4. trim.
1.er trim.
2. trim.
2015
Malware
Malware
NuevoNew
malware
60 000 000
50 000 000
40 000 000
30 000 000
20 000 000
10 000 000
0
3.er trim. 4. trim.
2013
1.er trim.
2. trim. 3.er trim.

2014
4. trim.
1.er trim. 2. trim.

2015
Total deTotal
malware
Malware
500 000 000
El zoo de malware de McAfeeLabs

creci un 12 % en el ltimo trimestre.
El nmero de muestras de malware
supera ya los 433millones.
450 000 000

400 000 000
350 000 000
300 000 000
250 000 000
200 000 000
150 000 000
100 000 000
50 000 000
0
3.er trim. 4. trim.
2013
1.er trim. 2. trim. 3.er trim.

2014
4. trim.
1.er trim. 2. trim.

2015
New Rootkit
Nuevos
rootkitsMalware
120 000
100 000
80 000
60 000
40 000
20 000
0
3.er trim. 4. trim. 1.er trim. 2. trim. 3.er trim. 4. trim. 1.er trim. 2. trim.
2013
2014
2015
Total
Rootkit Malware
Total
de rootkits
1 800 000
1 600 000
1 400 000
1 200 000
1 000 000
800 000
600 000
400 000
200 000
0
3.er trim. 4. trim.
2013
1.er trim.
2. trim. 3.er trim.

2014
4. trim.
1.er trim. 2. trim.

2015
Nuevo New
ransomware
Ransomware
1 400 000
El ransomware sigue creciendo
agran velocidad: en el 2.trimestre
el nmero de muestras nuevas se
increment un 58%. Talycomo
afirmamos enel Informe de
McAfeeLabs sobre amenazas
demayo de 2015 , atribuimos
esteincremento al rpido
crecimiento de nuevas familias
como CTB-Locker yCryptoWall,
entreotras. Elnmero total de
muestras de ransomware creci
un127% elao pasado.
1 200 000
1 000 000
800 000
600 000
400 000
200 000
0
3.er trim. 4. trim. 1.er trim.
2013
2. trim. 3.er trim. 4. trim. 1.er trim. 2. trim.

2014
2015
Ransomware
Total deTotal
ransomware
4 500 000
4 000 000
3 500 000
3 000 000
2 500 000
2 000 000
1 500 000
1 000 000
500 000
0
3.er trim. 4. trim.
2013
1.er trim.
2. trim. 3.er trim.

2014
4. trim.
1.er trim. 2. trim.

2015
Nuevos archivos
maliciosos
New binarios
Maliciousfirmados
Signed Binaries
3 000 000
2 500 000
2 000 000
1 500 000
1 000 000
500 000
0
3.er trim. 4. trim.
2013
1.er trim.
2. trim. 3.er trim.

2014
4. trim.
1.er trim. 2. trim.

2015
Total de archivos
maliciosos
Total binarios
Maliciousfirmados
Signed Binaries
20 000 000
18 000 000
16 000 000
14 000 000
12 000 000
10 000 000
8 000 000
6 000 000
4 000 000
2 000 000
0
3.er trim. 4. trim.
2013
1.er trim.
2. trim. 3.er trim.

2014
4. trim.
1.er trim. 2. trim.

2015
Amenazas web
New
Suspect URLs
Nuevas URL
sospechosas
35 000 000
30 000 000
25 000 000
20 000 000
15 000 000
10 000 000
5 000 000
0
3.er trim. 4. trim.
2013
URL
1.er trim.
2. trim. 3.er trim.

2014
4. trim.
1.er trim. 2. trim.

2015
Dominios asociados
New
Nuevas URL
dePhishing
phishingURLs
3 000 000
2 500 000
2 000 000
1 500 000
1 000 000
500 000
0
3.er trim. 4. trim.
2013
URL
1.er trim.
2. trim. 3.er trim.

2014
4. trim.
1.er trim. 2. trim.

2015
Dominios asociados
New
Nuevas URL
deSpam
spamURLs
2 000 000
Las nuevas URL de spam y sus
dominios se dispararon un 380%
en el 2. trimestre. La mayor parte
de este aumento se debe alos
cientos de miles de dominios
autogenerados o secuenciales
dedicados a campaas de spam
que descubrimos tras mejorar
nuestra coleccin de listas
negras en tiempo real (Real-time
Blackhole Lists).
1 800 000
1 600 000
1 400 000
1 200 000
1 000 000
800 000
600 000
400 000
200 000
0
3.er trim. 4. trim.
2013
URL
1.er trim.
2. trim. 3.er trim.

2014
4. trim.
1.er trim. 2. trim.

2015
Dominios asociados
Volumen global de spam y correo electrnico

Global Spam and(billones
Email de
Volume
(trillions of messages)
mensajes)
12
10
8
6
4
2
0
3.er trim. 4. trim.
2013
Spam
1.er trim.
2. trim. 3.er trim.

2014
4. trim.
1.er trim.
2. trim.
Correo electrnico legtimo
Mensajes
de spam
las 10
de bots principales
Spam
Emailsde
From
Topredes
10 Botnets
(millones
de mensajes)
(millions
of messages)
1 400
Con la red de bots Kelihos inactiva,

la tendencia descendente del
volumen de spam generado por
redes de bots continu durante
el 2. trimestre. El primer puesto
fue una vez ms para Slenfbot,
seguida de cerca por Gamut, con
Cutwail cerrando los tres primeros
puestos. El tema principal del
spam de Slenfbot durante este
trimestre fue el "alargamiento
del pene", y la lnea de asunto
ms utilizada fue "Consejos para
noches de felicidad".
1 200
1 000
800
600
400
200
0
3.er trim. 4. trim.
2013
1.er trim.
2. trim. 3.er trim.

2014
4. trim.
Kelihos
Gamut
Asprox
Cutwail
Otros
Stealrat
Slenfbot
Darkmailer
Dyre
1.er trim. 2. trim.

2015
Darkmailer 2
Worldwide Botnet Prevalence

Prevalencia de redes de bots de spam a nivel mundial
Wapomi
22,0 %
19,9 %
Muieblackcat
Ramnit
2,0 %
Sality
2,7 %
18,4 %
5,1 %
Darkness
Maazben
7,5 %
10,2 %
12,2 %
Dorifel
H-Worm
Otros
Acerca de Intel Security

Comentarios. Para saber en qu
direccin orientarnos, nosinteresan
sus opiniones. Si desea transmitirnos
sus impresiones, haga clic aqu para
completar un rpido cuestionario de
solo cinco minutos sobre elinforme
de amenazas.
Siga a McAfee Labs
McAfee forma ahora parte de Intel Security. Con su estrategia Security Connected,
su innovador enfoque de seguridad reforzada por hardware y su exclusiva red
Global Threat Intelligence, Intel Security trabaja sin descanso para desarrollar
soluciones y servicios de seguridad proactivos que protejan los sistemas, las
redes y los dispositivos mviles de uso personal y empresarial en todo el mundo.
IntelSecurity combina la experiencia y los conocimientos de McAfee con la
innovacin y el rendimiento demostrados de Intel para hacer de la seguridad
uningrediente fundamental en todas las arquitecturas y plataformas informticas.
Lamisin de Intel Security es brindar a todos la tranquilidad para vivir y trabajar
deforma segura en el mundo digital. www.intelsecurity.com.
www.intelsecurity.com
1. https://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious_Nine_Cloud_Computing_
Top_Threats_in_2013.pdf
McAfee. Part of Intel Security.

Avenida de Bruselas n. 22
Edificio Sauce
28108 Alcobendas
Madrid, Espaa
Telfono: +34 91 347 8500
www.intelsecurity.com
La informacin de este documento se proporciona nicamente con fines informativos y para la conveniencia de los clientes
de McAfee. La informacin aqu contenida est sujeta a cambios sin previo aviso y se proporciona "TAL CUAL" singarantas
respecto a su exactitud o a su relevancia para cualquier situacin o circunstancia concreta.
Intel y los logotipos de Intel y de McAfee son marcas comerciales registradas de Intel Corporation en EE.UU. y en otros
pases. Los dems nombres y marcas pueden ser reclamados como propiedad de otros. Copyright 2015 McAfee, Inc.
62058rpt_qtr-q2_0815

Informe Amenazas 2015 Mcafee Labs

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Informe Amenazas 2015 Mcafee Labs

Загружено:

Авторское право:

Доступные форматы

Informe

Informe de McAfee Labs

Acerca de McAfee Labs

McAfee Labs es uno de los lderes mundiales eninvestigacin

Este mes se cumple el quinto aniversario del anuncio de la

McAfee forma ahora parte de IntelSecurity.

Hemos entrevistado a doce personas con cargos relevantes

Informe de McAfee Labs sobre amenazas, agosto de 2015 | 2

Los ataques de malware a las unidades de procesamiento

Otros temas de inters:

A principios de agosto se celebr la conferencia

En 2014, creamos un equipo de ciencia de los

A travs de las encuestas que realizamos seguimos

Vincent Weafer, Vicepresidente primero, McAfee Labs

Comparta este informe

Informe de McAfee Labs sobre amenazas, agosto de 2015 | 3

Intel + McAfee: retrospectiva de los ltimos cinco aos

La filtracin de datos: un paso importante en el

Malware para la GPU: mitos y realidades

Estadsticas sobre amenazas

En agosto se cumple el quinto aniversario del anuncio de adquisicin de McAfee

La filtracin de datos: un paso importante en el desarrollo de

Malware para la GPU: mitos y realidades

Comparta este informe

Informe de McAfee Labs sobre amenazas, agosto de 2015 | 5

Intel + McAfee: retrospectiva de los

Lo que Intel vio en McAfee

Lo que McAfee vio en Intel

Comparta este informe

Informe de McAfee Labs sobre amenazas, agosto de 2015 | 7

Comparta este informe

Informe de McAfee Labs sobre amenazas, agosto de 2015 | 8

Tormenta perfecta a la vista

AUMENTO DE RECURSOS Y SOFISTICACIN

Comparta este informe

Informe de McAfee Labs sobre amenazas, agosto de 2015 | 9

A pesar de esta preocupacin, la mayora de los ataques de seguridad de

Tendencias y malware destacado

Debajo del SO (MBR, BIOS, firmware)

Malware de un solo uso

Malware de "raspado" de memoria (amenazas contra TPV)

Amenazas para mviles (malware, aplicaciones potencialmente peligrosas y potencialmente no deseadas)

Principales ataques contra el ncleo de Internet

Informe de McAfee Labs sobre amenazas, agosto de 2015 | 10

El aumento del malware evasivo

Evolucin de los tipos de dispositivos

Esto es solo el principio de los

Comparta este informe

Dispositivos mviles: aunque los dispositivos mviles han experimentado un

La virtualizacin y la nube: el aumento de dispositivos viene acompaado de un

Evolucin y economa de las ciberamenazas

Precio por exploit de tipo zero-day

Complementos Flash o Java

Chrome o Internet Explorer

Precios de exploits de tipo zero-day en 2013

Informe de McAfee Labs sobre amenazas, agosto de 2015 | 12

Lo que no esperbamos era la transformacin de la ciberdelincuencia en una

Comparta este informe

Informe de McAfee Labs sobre amenazas, agosto de 2015 | 13

El asequible precio de los paquetes de malware ha contribuido enormemente

Comparta este informe

Informe de McAfee Labs sobre amenazas, agosto de 2015 | 14

Estamos muy satisfechos de

Finalmente, estamos muy satisfechos de la colaboracin positiva y cada