Leer Amenazas Celulares WSTR-Report-ES

INFORME COMPLETO
INFORME SOBRE
LAS AMENAZAS PARA
LA SEGURIDAD DE
LOS SITIOS WEB 2016
NDICE
Symantec Global Intelligence Network
03
Introduccin del WSTR (informe sobre amenazas

para la seguridad de los sitios web)
Los sitios web an corren el riesgo de infectarse con malware y
sufrir fugas de datos
04
Seguridad completa para los sitios web
04
Acontecimientos destacados del ao 2015
05
Principales conclusiones
05
Transicin a una autenticacin ms rigurosa
06
Motivos para la esperanza
07
El ao 2015 en cifras
La situacin actual
Las lagunas de seguridad
Las amenazas internas
El dinero lo es todo
La economa sumergida y las fuerzas de seguridad
Empresas en la sombra
Un negocio viento en popa
Pueden intentar escapar, pero no esconderse
08
09
10
10
14
14
14
14
15
Reduccin del riesgo
La vctima no es solo el dispositivo o la red,

sino tambin el individuo que est detrs del equipo
No hay que fiarse de nadie
Secretos y mentiras
Identidades engaosas
Apueste por el comercio electrnico
La confianza de los consumidores se tambalea
La bolsa o la vida
Pero por qu los delincuentes privilegian
este tipo de ataques?
Consecuencias de Dyre
El idioma y la ubicacin no constituyen obstculos
Leyes de privacidad
Evitemos la catstrofe ciberntica
16
17
18
18
19
19
19
20
20
21
22

sino tambin la entidad que est detrs de la red
Ataques persistentes
Diversidad en las vulnerabilidades de da cero
Grupos de ataque activos en 2015
Terror global, ataques locales
El efecto mariposa
Ciberseguridad, cibersabotaje y cisnes negros
La escasa visibilidad no es la solucin
23
24
24
25
25
27
27
Vectores de ataque
Ataques web, kits de herramientas
y explotacin de vulnerabilidades online 28
Linux en la lnea de ataque
28
Complementos problemticos
29
Se acerca el fin para Flash
29
Explotacin de complementos
para servidores web
29
Infeccin por inyeccin
29
Kits de herramientas de ataque web
30
Las estafas mediante servicios de asistencia tcnica
recurren al kit Nuclear para difundir ransomware
31
Denegacin de servicio distribuida
32
El peligro de los ataques DDoS
32
Sencillo pero eficaz
34
Las aplicaciones web cada
vez corren ms peligro
36
Symantec WSTR 2016
Qu dispositivos pueden acabar en una botnet? 37

Publicidad daina
38
En el cliente
39
Smartphones y otros dispositivos mviles
39
Un telfono por persona
39
Amenazas transversales
39
Los ataques a dispositivos Android
se han vuelto ms furtivos
42
Los usuarios de Android, vctimas
del phishing y el ransomware
42
Ahora los usuarios de Apple iOS
corren ms riesgo que nunca
42
Proteccin de los dispositivos mviles
42
Qu nos depara el futuro?
43
Amenazas por correo electrnico y
otros sistemas de comunicacin
43
Ataques por correo electrnico
43

Spam 44
Phishing
44
Propagacin de malware por
correo electrnico
44
El cifrado del correo electrnico
46
Ataques que eluden el cifrado
46
Consejos para garantizar la seguridad
al usar el correo electrnico
46
46
Los ordenadores, la informtica en la nube y la
infraestructura de TI
47
Sistemas virtualizados y en la nube
48
Vulnerabilidades en la nube
48
Proteccin de la infraestructura de TI
48
Proteja la informacin est donde est 49
La respuesta del sector

La evolucin del cifrado
Las cifras de la solidez
Control y equilibrio
El salto a la tecnologa SSL Always-On
Mayor sensacin de seguridad

Tendencias al alza
Aumento del phishing
HTTPS en todas partes y para todos
Amenazas hbridas: ataques a sistemas mviles
Cada vez es ms necesario contar con las
competencias adecuadas en materia de seguridad
Temas candentes
La autenticacin ante todo
El Internet de las cosas desprotegidas
Hacktivismo, terrorismo, responsabilidad
gubernamental y derecho a la confidencialidads
Ivan Ristic nos habla de la tecnologa TLS 1.3
Consejos y prcticas recomendadas
Adopte los estndares del sector
Utilice la tecnologa SSL/TLS correctamente
Adopte una solucin completa para la seguridad
de los sitios web
Conciencie a sus empleados
Proteja los dispositivos mviles
La seguridad es responsabilidad de todos
50
50
51
51
52
53
53
53
53
53
54
54
54
55
56
56
56
57
57
57
Symantec Global Intelligence Network

Symantec cuenta con la fuente de datos ms completa que existe sobre las amenazas
en Internet: Symantec Global Intelligence Network, un sistema formado por ms de
63,8millones de sensores de ataque que registra miles de incidencias por segundo.
Esta red supervisa las amenazas existentes en ms de
157pases y regiones mediante una combinacin de
productos y servicios de Symantec, como los siguientes:
Symantec DeepSight Intelligence,
Symantec Managed Security Services,
pases
productos de consumo Norton,

Symantec Website Security
y otras fuentes de datos externas.
Symantec tambin mantiene una de las bases de datos
sobre vulnerabilidades ms completas del mundo. En este
momento, hay registradas ms de 74180 vulnerabilidades
(a lo largo de dos dcadas) que afectan a ms de 71470
productos de ms de 23980proveedores.
Los datos de spam, phishing o malware se

registran con recursos como los siguientes:
Symantec Probe Network, un sistema que abarca ms de
Symantec mantiene una de las

bases de datos sobre vulnerabilidades ms completas del mundo.
23 980 proveedores
71 470 productos
74 180 vulnerabilidades
cinco millones de cuentas seuelo;

Symantec.cloud;
Symantec Website Security;
y otras tecnologas de seguridad de Symantec.
La tecnologa heurstica patentada de Symantec.cloud, denominada Skeptic, detecta los ataques dirigidos ms nuevos
y avanzados antes de que lleguen a la red del cliente. En 13
centros de datos, se procesan ms de 9000millones de
Skeptic, la tecnologa heurstica

patentada de Symantec.cloud
13 centros de datos
1.8 millones de solicitudes
9 millones de mensajes de
correo electrnico
mensajes de correo electrnico al mes y se filtran ms

de 1800 millones de solicitudes por Internet al da.
Secured aparece casi mil millones de veces al da en sitios
Symantec tambin recopila informacin sobre phishing a
web de 170 pases, as como en los resultados de las
travs de una amplia comunidad antifraude de empresas,
bsquedas si se utilizan navegadores compatibles.
proveedores de seguridad y ms de 50 millones de consumidores.
Gracias a estos recursos, los analistas de Symantec cuentan

con fuentes de informacin insuperables para detectar,
Symantec Website Security protege ms de un milln de
analizar e interpretar las nuevas tendencias en materia de
servidores web y garantiza una disponibilidad ininterrum-
ataques, malware, phishing y spam. Con todos estos datos,
pida desde el ao 2004. Esta infraestructura de validacin
elaboran el informe anual sobre las amenazas para la segu-
permite comprobar si un certificado digital X.509 se ha
ridad de los sitios web, que ofrece a las empresas de todos
revocado o no mediante el protocolo de estado de certifica-
los tamaos y a los consumidores informacin esencial para
dos en lnea (OCSP) y procesa a diario ms de 6000millones
proteger sus sistemas de forma eficaz tanto ahora como en
de consultas de este tipo en todo el mundo. El sello Norton
el futuro.
Symantec WSTR 2016
Introduccin del WSTR (informe sobre amenazas

para la seguridad de los sitios web)
Independientemente de que se trate de hacer compras, trabajar o pagar una factura,
hoy en da es imprescindible que los servicios online inspiren confianza. Por suerte, la
forma de utilizar y proteger Internet est cambiando para que los internautas se sientan
seguros en todo momento, hagan transacciones con plena tranquilidad y no teman por la
confidencialidad de sus datos. La seguridad de los sitios web abarca mucho ms que los
datos que se transfieren entre el servidor y los internautas. Si quieren seguir inspirando
confianza, las empresas tienen que considerar su sitio web como parte de un ecosistema
que hay que cuidar con atencin y constancia.
Ahora que la presencia del comercio electrnico en nuestra
vida diaria no deja de aumentar, hay mucho en juego. Cada
vez son ms las actividades que realizamos en Internet,
desde hacer la compra hasta reservar unas vacaciones. De
hecho, segn Ecommerce Europe, la facturacin global del
comercio electrnico de la empresa al consumidor aument
un 24 % para llegar a los 1,943 billones de dlares en el ao
2014, mientras que se prev que el comercio electrnico
entre empresas alcance los 6,7 billones de aqu a 2020. En
consecuencia, hoy en da, la seguridad de los sitios web es
ms importante y pertinente que nunca.
Si una empresa no logra reforzar la proteccin de su sitio
web, no ser la nica afectada; la confianza de los consumi
dores tambin se ver perjudicada y podra haber enormes
repercusiones econmicas de gran alcance.
Los sitios web an corren el riesgo de infectarse

con malware y sufrir fugas de datos
Los sitios web constituyen un elemento crucial en los ataques
de gran envergadura, ya que permiten acceder a la red y a
los datos de las empresas, as como a sus clientes y socios.
Por ejemplo, el hecho de que haya aumentado el uso de
malware contra servidores web Linux (incluidos aquellos
que alojan sitios web) demuestra que los delincuentes se
han dado cuenta de que la infraestructura que hay detrs
de los sitios web es tan valiosa como los datos cifrados con
certificados SSL/TLS o incluso ms.
Bastara llevar a cabo un mantenimiento peridico para
evitar muchos de los ataques de este tipo, pero las cifras
observadas parecen indicar que los propietarios de sitios
web no logran estar siempre al da.
www.ecommerce-europe.eu/news/2015/global-e-commerce-turnovergrew-by-24.0-to-reach-1943bn-in-2014
www.frost.com/sublib/display-report.do?id=MA4E-01-00-00-00
www.bbc.co.uk/news/technology-35204915
Symantec WSTR 2016
Las tres cuartas partes de los sitios web analizados por

Symantec en 2015 presentaban vulnerabilidades: un dato
que lleva aos sin cambiar.
En lugar de pensar solo en la proteccin, los administradores de los sitios web deberan tener en cuenta tambin la
deteccin y la respuesta a los ataques. Necesitan herramientas de automatizacin que permitan supervisar los sitios
web de forma constante para detectar indicios de vulnerabilidades o ataques, bloquear los ataques en cuestin y, a
continuacin, elaborar informes e instalar las actualizaciones y revisiones pertinentes.
Seguridad completa para los sitios web

En el ao 2015 los delincuentes siguieron encontrando vulnerabilidades en la infraestructura subyacente de la seguridad de los sitios web, como FREAK, que permita forzar
el uso de un protocolo ms fcil de descifrar a los atacantes
que interceptaran la configuracin de una conexin segura.
Si bien es cierto que peridicamente salen actualizaciones
para proteger las bibliotecas de protocolos SSL/TLS como
OpenSSL, los propietarios de los sitios web tienen que instalarlas si quieren evitar las vulnerabilidades. Asimismo, se
est acelerando la transicin de SHA-1 a SHA-2, un sistema
mucho ms eficaz, pero para que el cambio sirva de algo las
empresas tienen que implantar correctamente los nuevos
certificados.
En 2015 los ataques distribuidos de denegacin de servicio
(Distributed Denial of Service o DDoS) han seguido causando
estragos en las empresas. Los ataques de gran envergadura, como el que sufri la BBC a finales de 2015, suelen
tener mucho eco, pero en realidad en el punto de mira de
los delincuentes estn las empresas de todos los tamaos
y muchas veces las de pequeas dimensiones sufren daos
colaterales cuando un servidor tiene que cerrar y deja fuera
de combate numerosos sitios web solo porque uno de sus
clientes ha sido atacado.
La conclusin es evidente: las empresas tienen que adoptar

una actitud ms proactiva en lo que se refiere a la implantacin de los certificados SSL/TLS. No basta con instalarlos una
vez y olvidarse del asunto, as que es imprescindible contar
con herramientas que automaticen y agilicen el proceso.
Acontecimientos destacados del ao 2015

Se redujo el precio de los datos robados, como las direcciones de correo electrnico o los nmeros de tarjeta de
crdito, lo que parece indicar un aumento en la oferta.
China fue el origen del 46 % de las actividades realizadas con bots maliciosas en 2015 (el ao anterior la cifra
solo llegaba al 16 %), mientras que Estados Unidos pas
del 16 % al 8 % en ese mismo perodo.
Se difundieron las indemnizaciones de los seguros
contra ataques cibernticos, lo que provoc un aumento
de las primas y del coste global de las fugas de datos.
Segn el estudio anual de NetDiligence, las indemnizaciones por ataques cibernticos llegaron a alcanzar los
15 millones de dlares, mientras que las ms habituales
oscilaron entre los 30 000 y los 263 000 dlares.
La media de las identidades afectadas por cada fuga se
redujo aproximadamente en un tercio para situarse en
4885. Sin embargo, aument en un 85 % el nmero de
fugas registradas sobre las cuales no se revel cuntas
identidades quedaron al descubierto.
Una vctima especialmente destacada de una incidencia
de seguridad fue Hacking Team, empresa italiana que
proporciona software de espionaje y vigilancia encubierta a varios clientes gubernamentales. Varias de las
vulnerabilidades creadas por estos expertos para usarlas
como armas se publicaron en Internet y acabaron en kits
de herramientas de ataque web.
La publicidad daina sigue invadiendo los sitios web,
junto con los servidores Linux en que estos se alojan: el
nmero de infecciones volvi a aumentar en 2015.
Aumentaron los ataques contra el sector sanitario y las
compaas de seguros: por ejemplo, Anthem sufri una
grave fuga de datos en la que se perdieron los historiales
mdicos de casi 80 millones de pacientes. En 2015, la sanidad fue el subsector que padeci ms fugas de datos.
Ya se haban producido otras veces ataques avanzados
provocados por organizaciones dotadas de abundantes
recursos y medios econmicos, y hace mucho tiempo
que sospechamos que cuentan con apoyo gubernamental, pero en 2015 se descubri el grupo Butterfly, que
utilizaba tcnicas con un nivel de complejidad similar
para enriquecerse.
La seguridad del Internet de las cosas adquiri protagonismo, pues se empez a atacar a coches, electrodomsticos inteligentes y dispositivos sanitarios, por no
hablar de los sistemas de control industrial.
Se generalizaron los ataques a telfonos, ya que aumentaron drsticamente las vulnerabilidades de los sistemas
mviles y el nmero de aplicaciones Android maliciosas.
Los ataques se volvieron ms furtivos y avanzados y, por
primera vez, los dispositivos Apple iOS empezaron a caer
en las redes de los delincuentes aunque no hubieran
sido objeto de jailbreak (proceso que modifica el sistema
operativo para permitir la instalacin de aplicaciones no
autorizadas por el fabricante), como ocurra en los aos
anteriores.
El fenmeno del ransomware perdi fuerza en 2015, y
los atacantes se centraron ms en el crypto-ransomware.
Tambin sufrieron ataques los servidores Linux de alojamiento de sitios web. Asimismo, se detectaron infecciones de smartphones y ataques de prueba de concepto
a televisiones inteligentes y relojes inteligentes.
El sitio web de citas Ashley Madison sufri un ataque que
sac a la luz los datos de numerosas personas dispuestas
a engaar a sus parejas. Este caso tan sonado, junto con
la difusin de las sextorsiones en Asia, demuestra que
el valor de los datos personales ha adquirido una nueva
dimensin que permite sacar ms provecho econmico a
costa de las vctimas.
Existen instrumentos y tcticas eficaces para defenderse
de los ataques DDoS, pero es necesario que los administradores de los sitios web dediquen tiempo a conocerlos e
implantarlos.
Principales conclusiones
Este ao las vulnerabilidades de da cero han alcanzado
niveles sin precedentes. Aunque siguen en el punto de mira
las vctimas de siempre, como los complementos web y
los sistemas operativos, cada vez son ms habituales los
ataques contra objetivos como el software de cdigo abierto. Lo ms preocupante es que en 2015 se descubrieron
graves vulnerabilidades de da cero que se utilizaron para
atacar sistemas ICS.
En los ataques dirigidos, siguen siendo fundamentales las
maniobras de reconocimiento, que permiten a los atacantes
recopilar informacin discretamente sobre los sistemas que
les interesan antes de lanzar el ataque propiamente dicho.
Las tcticas de este tipo han tenido mucho peso en ciertos
casos de cibersabotaje de gran repercusin, como los ataques
lanzados con los troyanos Trojan.Laziok y BlackEnergy
contra centrales elctricas de Oriente Medio y Ucrania
respectivamente.
http://netdiligence.com/downloads/NetDiligence_2015_Cyber_Claims_Study_093015.pdf
http://www.symantec.com/connect/blogs/how-my-tv-got-infected-ransomware-and-what-you-can-learn-it
Symantec WSTR 2016
En 2015 aumentaron prcticamente todos los indicadores
Cuando emite certificados con validacin de dominio (DV),
relacionados con las fugas de datos; en particular, se
la autoridad de certificacin comprueba que el contacto del
batie-ron rcords en la cantidad de ataques, identidades
dominio en cuestin apruebe la solicitud del certificado (por
robadas y megafugas. En cuanto a las fugas de alto ries-
lo general, por correo electrnico o por telfono), algo que
go, resulta sorprendente el puesto destacado que ocupan
suele ser automtico. En consecuencia, estas soluciones sue-
sectores como el de las aseguradoras y el de la hostelera,
len ser ms baratas que los certificados SSL con Extended
que despiertan el inters de los delincuentes porque son
Validation (EV), los cuales exigen un proceso de validacin y
una fuente de datos privados, como nmeros de tarjeta
autenticacin ms riguroso.
de crdito o informacin sanitaria. Es probable que los

atacantes aprovechen con ms frecuencia estos datos que los
Es cierto que, cuando se utilizan certificados con DV, se
de otros sectores.
comprueba que el propietario del dominio d su consentimiento, pero no se verifica quin es realmente dicho
Transicin a una autenticacin ms rigurosa
propietario, con lo que se deja la pista libre para los delin-
No todo son malas noticias. En 2015 se ha avanzado tanto
cuentes que quieran lanzar ataques de interposicin Man-
en lo que se refiere a la eficacia como a la adopcin de los
in-the-Middle y de phishing. Symantec prev que las em-
certificados SSL/TLS, y las autoridades de certificacin han
presas, en especial las que tienen que cumplir la normativa
tomado medidas para que el proceso de emisin sea ms
relativa a los pagos con tarjeta de crdito, intensifiquen los
transparente.
requisitos de autenticacin y empiecen a adoptar certificados SSL con EV, que garantizan un nivel de seguridad ms
Segn un estudio de Sandvine, hoy se cifra casi el 40 %
alto.
del trfico de Internet descendente en Estados Unidos, y

se prev que a lo largo del prximo ao este dato aumente
Por otro lado, el cifrado SSL/TLS ser ms eficaz gracias a la
para superar el 70 % del trfico mundial.
transicin del algoritmo SHA-1 a SHA-2. Con la funcin hash

SHA 1, que se ha utilizado con mucha frecuencia, cada hash
Por desgracia, segn las palabras de Robert Hoblit, vicepre-
generado por una fuente debera ser nico. En teora, nunca
sidente de productos emergentes e ingresos de Symantec:
debera ocurrir que dos fuentes diferentes generaran el mis-
Ahora que se cifra todo, los consumidores tienen una falsa
mo hash, pero ya en 2005 se detectaron los primeros puntos
sensacin de seguridad y creen que siempre que ven la indi-
dbiles de este sistema. La situacin lleg a un punto crtico
cacin HTTPS se encuentran en un sitio web de una empre-
en 2014, cuando Google anunci que dejara de admitir los
sa autntica que ha superado un proceso de validacin.
sitios web que utilizasen el algoritmo SHA 1 y que mostrara

avisos de seguridad a los internautas que intentasen acce-
En realidad, la inmensa mayora de los fraudes siempre han
der a sitios web con certificados de este tipo que caducaran
tenido lugar en sitios web con validacin de dominio, es de-
despus del 1 de enero de 2017. Pronto otros proveedores
cir, sin que la empresa en cuestin haya superado validacin
de navegadores siguieron el ejemplo, con lo que qued claro
alguna. Creo que la exigencia de cumplir la normativa
que el algoritmo SHA 1 estaba destinado a desaparecer.
relativa a los pagos con tarjeta de crdito va a llevar a las

empresas a intensificar los requisitos de la autenticacin,
En el sector de la seguridad se est avanzando mucho y
comenta Hoblit.
existe la posibilidad concreta de reducir de forma considerable el nmero de ataques que se salen con la suya, pero
solo se conseguir si tambin los propietarios de los sitios
web dan un paso al frente y toman medidas.
https://www.sandvine.com/pr/2016/2/11/sandvine-70-of-global-internet-traffic-will-be-encrypted-in-2016.html
http://www.symantec.com/connect/blogs/dangers-domain-validated-ssl-certificates
https://googleonlinesecurity.blogspot.co.uk/2014/09/gradually-sunsetting-sha-1.html
Symantec WSTR 2016
Motivos para la esperanza

A pesar de que abundan las malas noticias, si las empresas
Asimismo, los desarrolladores de software, telfonos y
estn bien gestionadas y los usuarios actan con prudencia,
sistemas del Internet de las cosas estn mejorando la
solo las amenazas ms implacables se saldrn con la suya.
seguridad de sus productos (si bien en ciertos casos partan
Y hay ms motivos para la esperanza. Por ejemplo, hoy
de un nivel muy bajo). Y, por supuesto, empresas como
se cifra casi el 40 % del trfico de Internet descendente
Symantec estn luchando con todos sus medios contra los
en Estados Unidos, y se prev que este dato aumente a lo
ciberdelincuentes, espas y malhechores.
largo del ao. Los estndares ms recientes en materia de

navegadores y sitios web ponen de relieve la importancia
del cifrado y la seguridad.
AHORA QUE SE CIFRA TODO,

LOS CONSUMIDORES TIENEN UNA
FALSA SENSACIN DE SEGURIDAD
Y CREEN QUE SIEMPRE QUE VEN LA
INDICACIN HTTPS SE ENCUENTRAN
EN UN SITIO WEB DE UNA EMPRESA
AUTNTICA QUE HA SUPERADO UN
PROCESO DE VALIDACIN.
Robert Hoblit, vicepresidente de productos emergentes e ingresos de Symantec
Symantec WSTR 2016
El ao 2015 en cifras
En 2015 las fugas de datos, originadas internamente o provocadas por estafadores,
siguieron causando estragos tanto en los sitios web como en los dispositivos de los
puntos de venta, y salieron ms caras que nunca a las vctimas.
La situacin actual
El coste medio total de cada fuga de datos ha aumentado un 23 % en los ltimos dos aos, hasta alcanzar los 3,79 millones
de dlares, tal como revela el este estudio sobre el coste de las fugas de datos de 2015. Como hemos observado una ligera
cada en el nmero total de fugas y la mediana de las identidades afectadas por cada fuga se ha reducido aproximadamente
en un tercio para situarse en 4885, podemos concluir que los datos robados en cada ocasin son ms valiosos o ms
confidenciales y las consecuencias para las empresas son ms graves que en el pasado.
FUGAS EN TOTAL
Fuente: Symantec | CCI
2015
Diferencia
2014
Diferencia
2013
305
-2 %
312
+23 %
253
IDENTIDADES AFECTADAS EN TOTAL

2015
Diferencia
2014
Diferencia
2013
429 millones
+23 %
348 millones
-37 %
552 millones
En consecuencia, se estn difundiendo las indemnizaciones
En el primer semestre de 2015, aument en un 32 % el
de los seguros contra ataques cibernticos y, segn el
valor medio de las primas para comerciantes, mientras que
estudio de NetDiligence, estas han llegado a alcanzar los
en el sector sanitario algunas de ellas incluso se triplicaron.
15 millones de dlares, mientras que las ms habituales
Adems, segn Reuters, ahora los deducibles tienden a
se encuentran entre los 30 000 y los 263 000 dlares. Al
ser ms altos e incluso las mayores aseguradoras no dan
mismo tiempo, cada vez sale ms caro asegurar los activos
plizas de ms de 100 millones de dlares a los clientes en
digitales, lo cual contribuye a que crezca an ms el coste
situaciones de riesgo.
global de las fugas de datos.
http://www-01.ibm.com/common/ssi/cgi-bin/ssialias?subtype=WH&infotype=SA&htmlfid=SEW03053WWEN&attachment=SEW03053WWEN.PDF
http://www.symantec.com/cyber-insurance/
http://www.reuters.com/article/2015/10/12/us-cybersecurity-insurance-insight-idUSKCN0S609M20151012
Symantec WSTR 2016
Las lagunas de seguridad
observado en los servidores web durante el ltimo ao. Es
A pesar de que los sistemas de cifrado cada vez son ms
imprescindible que los responsables de gestionar los sitios
eficaces, este ao muchos de los ataques contra certificados
web mantengan la integridad de las implantaciones SSL/
SSL/TLS han aprovechado puntos dbiles del ecosistema
TLS: no basta con instalar los certificados y luego olvidarse
SSL/TLS general.
del asunto.
Durante el ltimo ao se ha prestado mucha ms atencin
Aunque no hemos detectado vulnerabilidades tan peligrosas
a las bibliotecas de cdigo con relacin a las implantaciones
como Heartbleed, que tanto protagonismo tuvo en 2014,
de certificados SSL/TLS, comenta Michael Klieman,
a lo largo de 2015 OpenSSL proporcion varias actualiza-
director general y ejecutivo de gestin de productos en
ciones y revisiones. Se utiliza OpenSSL en dos tercios de los
Symantec. En consecuencia, se han facilitado con una
servidores web, lo que la convierte en una de las implanta-
frecuencia razonable actualizaciones y soluciones contra
ciones ms difundidas de los protocolos de cifrado SSL y
vulnerabilidades.
TLS. El objetivo de las actualizaciones mencionadas era resolver vulnerabilidades con distintos niveles de riesgo, que
Eso es lo bueno, pero la otra cara de la moneda es que
permitan a los delincuentes llevar a cabo ataques de inter-
los propietarios de sitios web no siempre mantienen
posicin Man-in-the-Middle o de denegacin de servicio, as
al da sus sistemas de seguridad, tal como revelan las
como interceptar comunicaciones en teora seguras.
vulnerabilidades sin resolver ms habituales que se han
PRINCIPALES VULNERABILIDADES SIN RESOLVER DETECTADAS

EN LOS SERVIDORES WEB ANALIZADOS
Fuente: Symantec | Trusted Services
Puesto
Nombre
Vulnerabilidad POODLE (protocolos SSL y TLS)
Ausencia del encabezado de opciones X-Content-Type
Ausencia del encabezado de opciones X-Frame
Certificado SSL firmado con un algoritmo hash dbil
Vulnerabilidad frente a ataques de secuencias de comandos entre sitios
Ausencia del encabezado Strict-Transport-Security
Compatibilidad con SSL v2
Cookie de sesin SSL cifrada sin el atributo Secure
Compatibilidad con conjuntos de cifrado SSL poco seguros
10
Vulnerabilidad en el proceso de renegociacin de los protocolos SSL y TLS
http://www.symantec.com/connect/blogs/critical-openssl-vulnerability-could-allow-attackers-intercept-secure-communications
http://www.symantec.com/connect/blogs/new-openssl-vulnerability-could-facilitate-dos-attacks
Symantec WSTR 2016
MOTIVOS PRINCIPALES DE FUGAS DE DATOS POR TIPO DE

INCIDENTES, 20132015
100 %
90 %
2013
80 %
2014
70 %
2015
60 %
49 %
50 %
40 %
46 %
34 %
30 %
29 %
22 % 22 %
20 %
27 %
21 % 21 %
6%
10 %
0%
Atacantes
Divulgacin
accidental
Robo o prdida de un
ordenador o unidad
8%
10 %
Apropiacin por parte

del personal interno
Las amenazas internas
El dinero lo es todo
Si bien solo en torno al 10 % de las fugas de datos de 2015

se debieron a causas internas, el estudio de NetDiligence
revela que, en el 32 % de las indemnizaciones de los seguros
contra ataques cibernticos, intervino algn factor interno. Por
ejemplo, la fuga de datos sufrida en Ashley Madison, una
El principal motivo que impulsa las fugas de datos sigue

siendo econmico: cuantos ms datos tenga alguien sobre un
individuo, ms fcil le resultar robar su identidad, as que las
aseguradoras, los organismos gubernamentales y las entidades
sanitarias estn en el punto de mira de los delincuentes, que
aspiran a conseguir perfiles personales ms completos.
de las ms sonadas del ao, al parecer fue provocada por

alguien descontento que se encontraba dentro de la propia
empresa, segn afirma su director ejecutivo. Si bien no se ha
confirmado qu ocurri exactamente, si la hiptesis mencionada es cierta, este caso destaca el dao que se puede llegar a
infligir desde dentro de una empresa.
Las amenazas internas siempre han sido un tema candente en
el campo de la seguridad informtica, pero en 2015 los organismos gubernamentales, adems de percatarse del problema,
empezaron a tomar medidas.
Ms de tres cuartos de los organismos gubernamentales
estadounidenses encuestados en el informe federal sobre
amenazas internas de MeriTalk aseguran que ahora se esfuerzan ms que hace un ao por combatir las amenazas internas.
El Centre for Defence Enterprise del Reino Unido en 2015
patrocin varios proyectos destinados a supervisar el com
portamiento digital de los empleados para prevenir y detec

tar amenazas internas en tiempo real, as como simuladores
de aprendizaje para ensear a reconocer los riesgos.
http://uk.businessinsider.com/ashley-madison-ceo-says-hack-was-an-inside-job-2015-7
http://cdn2.hubspot.net/hubfs/407136/PDFs/Symantec/MeriTalk_-_Symantec_-_Inside_
Job_Report_-_FINAL.pdf?t=1445970735623
https://www.gov.uk/government/news/protecting-information-from-an-insider-threat
https://www.gov.uk/government/news/identifying-cyber-insider-threats-in-real-time
https://www.gov.uk/government/news/securing-against-the-insider-threat
Symantec WSTR 2016
El tipo de informacin que interesa a los delincuentes no cambi en 2015; nicamente se produjeron pequeos cambios en la
clasificacin. Los nombres de personas siguen siendo el tipo de
dato que sale a la luz con ms frecuencia: est presente en ms
del 78 % de las fugas de datos. Los domicilios, las fechas de
nacimiento, los nmeros de identificacin de carcter administrativo (por ejemplo, de la seguridad social), los historiales mdicos y la informacin financiera se encuentran entre el 30 y el
40 %, igual que en 2014, aunque el puesto que ocupa cada tipo
de dato ha variado ligeramente. Completan la lista de los 10
principales tipos de datos afectados las direcciones de correo
electrnico, los nmeros de telfono, la informacin relacionada
con planes de seguros y los nombres de usuario y contraseas.
Todos ellos vuelven a situarse entre el 10 y el 20 %.
Esto no significa que los datos de las tarjetas de crdito hayan
dejado de interesar a los atacantes. Sin embargo, su valor en
el mercado negro no es especialmente alto, pues las empresas
que emiten las tarjetas, al igual que los propietarios de estas,
detectan muy pronto los gastos anmalos, y los datos robados
tienen una vida til limitada. En cualquier caso, el mercado de
los datos de tarjetas de crdito no desaparece.
10
SECTORES EN LOS QUE SE DEJARON AL DESCUBIERTO MS IDENTIDADES

(2 CIFRAS)
Puesto
Sector
Nmero de identidades
afectadas
Porcentaje de identidades
afectadas
Servicios sociales
191035 533
44,5 %
Aseguradoras
100 436 696
23,4 %
Servicios personales
40 500 000
9,4 %
Gestin de recursos humanos
21 501 622
5,0 %
Agentes, corredores y servicios de

seguros
19 600 000
4,6 %
Servicios empresariales
18 519 941
4,3 %
Venta al por mayor - Bienes duraderos
11 787 795
2,7 %
Servicios ejecutivos, legislativos y

generales
6 017 518
1,4 %
Servicios de enseanza
5 012 300
1,2 %
10
Servicios sanitarios
4 154 226
1,0 %
PRINCIPALES TIPOS DE DATOS AFECTADOS

Puesto
Tipo (2015)
2015 %
Tipo (2014)
2014 %
Nombres de personas
78,3 %
Nombres de personas
68,9 %
Domicilios
43,7 %
Nmeros de identificacin de carcter administrativo (p. ej., de la seguridad social)
44,9 %
Fechas de nacimiento
41,2 %
Domicilios
42,9 %
Nmeros de identificacin de
carcter administrativo (p. ej., de la 38,4 %
seguridad social)
Informacin financiera
35,5 %
Historiales mdicos
36,2 %
Fechas de nacimiento
34,9 %
Informacin financiera
33,3 %
Historiales mdicos
33,7 %
Direcciones de correo electrnico
20,8 %
Nmeros de telfono
21,2 %
Nmeros de telfono
18,6 %
Direcciones de correo electrnico
19,6 %
Informacin relacionada con

planes de seguros
13,2 %
Nombres de usuario y contraseas
12,8 %
10
Nombres de usuario y contraseas
11,0 %
Informacin relacionada con planes de

seguros
11,2 %
Symantec WSTR 2016
11
En cuanto a los sectores ms afectados, las empresas de
las bandas magnticas de las tarjetas, para luego clonarlas
servicios fueron las que sufrieron ms fugas de datos,
y usarlas en tiendas o incluso en cajeros automticos, si
tanto si se tiene en cuenta el nmero de incidencias como
conseguan el PIN. Los datos Track 1 contienen ms
si nos basamos en la cantidad de identidades que salieron
informacin que los Track 2, como el nombre del titular,
a la luz. Sin embargo, dentro de esta clasificacin general,
el nmero de cuenta y otros datos discrecionales, que a
el motivo del ataque es diferente en cada subsector.
veces utilizan las aerolneas al hacer reservas con tarjeta

de crdito. El valor de estos datos se refleja en los precios
El nmero de incidencias ms alto se registr en el
de venta que alcanzan en el mercado negro de Internet,
subsector de los servicios sanitarios, donde se produjeron
donde llegan a costar 100 $ por tarjeta.
el 39 % de las fugas del ao. Esto entra dentro de lo

esperado, dado el rigor de las normas que exigen a las
Desde octubre de 2015, el 40 % de los consumidores
entidades sanitarias informar de las fugas de datos
estadounidenses disponen de tarjetas EMV, y se calcula
sufridas. Sin embargo, la cantidad de identidades
que el 25 % de los comerciantes cumplen el estndar EMV.
afectadas es relativamente baja en este sector. El hecho
Sin embargo, con el estndar EMV resulta mucho ms difcil
de que se produzcan tantas fugas en las que salen a la luz
clonar tarjetas. Si bien es cierto que tendrn que pasar
pocas identidades parece indicar que los datos robados
unos aos antes de que concluya la transicin, hay que
son muy valiosos.
sealar que el nuevo sistema, junto con otras mejoras de la

seguridad de los puntos de venta, debera hacer que este
El subsector en el que se robaron ms identidades fue el
tipo de robos de gran envergadura resultaran ms difciles y
de los servicios sociales, pero esto se debe en gran parte a
sin duda menos rentables para los delincuentes.
una sola fuga que bati rcords al afectar a 191 millones
Esto nos lleva a cuestionarnos la forma de valorar el nivel
de identidades. Si excluimos este caso concreto, el sector
de riesgo de una fuga de datos. Es posible que en un sector
de los servicios sociales pasa al ltimo puesto de la lista.
concreto se produzca una gran cantidad de robos o queden
(Por cierto, este es el puesto que ocupa en la clasificacin
al descubierto numerosas identidades, pero significa eso
segn el nmero de fugas).
que los datos se estn utilizando para fines delictivos?
El sector de la venta al detalle sigue siendo muy lucrativo
Por ejemplo, cabe sealar que el 48 % de las fugas de
para los delincuentes, aunque ahora que en Estados
datos se debieron a descuidos. En estos casos, los datos
Unidos se ha adoptado el estndar EMV (es decir, se han
personales salieron a la luz, bien porque la empresa
empezado a usar tarjetas de pago con chip y PIN), ha
los comparti con quien no deba o bien porque los
perdido valor la informacin que se puede sacar de los
registros privados pasaron a ser pblicos por un error de
dispositivos de los puntos de venta.
configuracin del sitio web. Pero lleg la informacin

a manos de personas con intenciones maliciosas? En
La tecnologa EMV es un estndar global para las
muchos casos, probablemente no. Si una anciana jubilada
tarjetas con microchip, utilizado en varios pases desde
recibe por error el historial mdico de otra persona en su
los aos noventa y principios del siglo XXI, que permite
direccin de correo electrnico, no es fcil que aproveche
autenticar las transacciones mediante una combinacin
esta informacin para robar una identidad. Esto no
de chip y PIN. Tras las numerosas fugas de datos de gran
significa que nunca ocurra, sino que la inmensa mayora
envergadura que han tenido lugar en los ltimos aos
de estas fugas de datos implican un riesgo reducido.
y la proliferacin de estafas con tarjetas de crdito, las

entidades que emiten dichas tarjetas en EE. UU. estn
Lo que s supone un riesgo mucho ms alto son los casos
adoptando este sistema para tratar de paliar los efectos
en que la fuga de datos se debe a un ataque llevado a
de este tipo de fraudes.
cabo por hackers o desde dentro de la propia empresa.

Con toda probabilidad, en estas situaciones el objetivo es
Antes los delincuentes podan hacerse con los datos
robar identidades.
llamados Track 2, es decir, la informacin almacenada en
http://www.symantec.com/connect/blogs/demystifying-point-sale-malware-and-attacks
http://www.usatoday.com/story/money/personalfinance/2015/09/30/chip-credit-card-deadline/73043464/
http://arstechnica.com/business/2015/10/today-all-stores-in-the-us-should-accept-chip-and-pin-cards-yeah-right/
Symantec WSTR 2016
12
Fuera de lo comn
En 2015 el ataque de Hacking Team llam especialmente la atencin
porque los delincuentes no buscaban dinero ni identidades, sino
armas cibernticas. Tambin dio mucho que hablar porque fue un
ataque de hacking contra hackers.
Hacking Team es un equipo italiano que vende
software de espionaje y vigilancia encubierta a
usuarios gubernamentales.
cero y numerosos troyanos utilizados como armas

por el grupo, mientras que bastaron unas horas
para que acabaran entrando en varios kits de
herramientas de ataque.
En el ataque, salieron a la luz vulnerabilidades de

da cero desconocidas hasta entonces.
En cuestin de das, se publicaron en una serie de
foros los datos de varias vulnerabilidades del da
http://www.symantec.com/connect/blogs/hacking-team-woes-adds-dangers-faced-internet-using-public
Symantec WSTR 2016
13
La economa sumergida y las fuerzas de seguridad

La economa sumergida prospera y la ciberdelincuencia crece a un ritmo vertiginoso, pero tal como
hemos visto, en 2015 tambin aumentaron las detenciones y los desmantelamientos de gran relevancia.
En definitiva, estn donde estn los malhechores, ahora las fuerzas de seguridad los encuentran con ms
rapidez. Es cierto que los ataques de ransomware han disminuido, pero tambin se han diversificado y
ahora afectan tambin a los servidores web Linux.
Empresas en la sombra
mismos datos alcanzan un precio muy alto si contienen
Hoy los ciberdelincuentes son ms profesionales y mucho
informacin de lujo (por ejemplo, si se comprueba que
ms audaces tanto a la hora de elegir a sus vctimas como
las cuentas del vendedor siguen activas o que la tarjeta de
en lo que se refiere a las cantidades de dinero que aspiran
crdito no se ha bloqueado).
a amasar. Estas empresas delictivas se consideran negocios

propiamente dichos que abarcan una gran variedad de
Por ejemplo, basta pagar entre 100 y 700 dlares estadouni-
reas, cada una con sus propios campos de especializacin,
denses a la semana para alquilar un kit de herramientas
y que cuentan con colaboradores, socios, distribuidores,
web que infecte a las vctimas con descargas no autoriza-
proveedores, etc., tal como ocurre en el mercado legal.
das, con derecho a actualizaciones y asistencia ininterrum

pida, mientras que los ataques distribuidos de denegacin
Un negocio viento en popa
de servicio (DDoS) cuestan entre 10 y 1000 dlares al da.
As como durante los ltimos aos los precios de las direc-
Por otro lado, en la gama ms alta del mercado se encuen-
ciones de correo electrnico se han reducido de forma con-
tran las vulnerabilidades de da cero, que pueden llegar a
siderable, los de las tarjetas de crdito se han mantenido
venderse por cientos de miles de dlares. Cabe sealar que
relativamente bajos pero estables. De todos modos, estos
estas cifras han cambiado muy poco desde el ao 2014.
PRINCIPALES FUENTES DE ACTIVIDAD DELICTIVA: BOTS, 20142015

Fuente: Symantec | GIN
Puesto
Pas o regin (2015)
Porcentaje de
bots (2015)
Puesto
Pas o regin (2014)
Porcentaje de
bots (2014)
China
46,1 %
China
16,5 %
Estados Unidos
8,0 %
Estados Unidos
16,1 %
Taiwn
5,8 %
Taiwn
8.5 %
Turqua
4,5 %
Italia
5,5 %
Italia
2,4 %
Hungra
4,9 %
Hungra
2,2 %
Brasil
4,3 %
Alemania
2.0 %
Japn
3,4 %
Brasil
2,0 %
Alemania
3,1 %
Francia
1,7 %
Canad
3,0 %
10
Espaa
1,7 %
10
Polonia
2,8 %
Pueden intentar escapar, pero no esconderse

Durante el ltimo ao, los cuerpos de seguridad se han vuelto ms eficaces en la lucha contra este tipo de delincuencia declara
Dick OBrien, desarrollador informtico snior de Symantec. Las operaciones de este tipo exigen actuar de forma coordinada
en el mbito internacional, porque rara vez el grupo de delincuentes pertenece a un solo pas, pero cuando salen bien suponen un
duro golpe para los atacantes y hacen que las actividades ilegales se vuelvan ms arriesgadas y potencialmente costosas.
http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services
Symantec WSTR 2016
14
Reduccin del riesgo

Hay que recordar que gran parte de las fugas de datos se
Entre los xitos logrados en 2015, cabe
podran haber evitado con una serie de medidas bsicas de
destacar los siguientes:
sentido comn, como las siguientes:

El desmantelamiento de la botnet Dridex.
En el marco de una operacin de seguridad
internacional realizada en octubre, se detuvo
a un hombre y se actu de forma coordinada
para arrebatar de las manos de la botnet
Dridex miles de ordenadores atacados.

El desmantelamiento de Simda. En abril
los cuerpos de seguridad confiscaron la
infraestructura en manos de los controladores
Aplicar revisiones para resolver vulnerabilidades

Mantener el software en buen estado
Implantar filtros de correo electrnico eficaces
Utilizar software de deteccin y prevencin de las
intrusiones
Limitar el acceso a los datos empresariales por parte de
terceros
Cifrar los datos confidenciales para protegerlos
Instalar una tecnologa de prevencin de prdidas de
datos (o DLP)
de la botnet Simda, que abarcaba una serie de

servidores de control.

La incautacin de Ramnit. En el marco de una
operacin de seguridad realizada en febrero
bajo la batuta de Europol y con la asistencia
de Symantec y Microsoft entre otros, las
autoridades se incautaron de una serie de
servidores y otra infraestructura que estaba en
manos del grupo de ciberdelincuentes autores
de la botnet Ramnit.

La acusacin de ataques de hacking
contra JP Morgan Chase. Con relacin a
varios ataques en los que se robaron ms
de 100 millones de registros de clientes, las
autoridades federales acusaron al menos
a cuatro hombres de infiltracin en varias
instituciones financieras y de manipulacin
burstil.
Obviamente, estas medidas sirven para prevenir los ataques

procedentes del exterior. Cuando se trata de evitar las
amenazas internas, tanto malintencionadas como involuntarias, las empresas tienen que centrarse en formar debidamente a los empleados e impedir las prdidas de datos.
Del mismo modo que nos dicen que tenemos que taparnos
la boca al toser o lavarnos bien las manos en los hospitales,
habra que concienciar a los empleados sobre la importancia de las medidas de seguridad bsicas. Adems, las
empresas deberan contar con herramientas de prevencin
de prdidas de datos que permitan localizar, supervisar y
proteger su informacin independientemente de dnde se
encuentre, para saber en todo momento quin est utilizando cules datos y qu est haciendo con ellos.
La seguridad se debera considerar una parte esencial de las
operaciones y del comportamiento de los empleados, y
no un mero complemento que sirve para complacer a los
auditores. No parece probable que las fugas de datos desaparezcan a corto plazo, pero sin duda podra reducirse
su gravedad y los daos que provocan si las empresas
comprendieran que la seguridad no es solo responsabilidad del director de sistemas y el gestor de TI, sino que
est en manos de todos los empleados.
http://www.symantec.com/connect/blogs/dridex-takedown-sinks-botnet-infections
http://www.symantec.com/connect/blogs/ramnit-cybercrime-group-hit-major-law-enforcement-operation
Symantec WSTR 2016
15

sino tambin el individuo que est detrs del equipo
Algunos de los ataques y tcticas de los ciberdelincuentes en 2015 han sido tan complejos
e implacables que han puesto de manifiesto lo vulnerables que son los internautas y, en
consecuencia, han hecho que la confianza de los consumidores se tambalee.
En 2015 las fugas de datos, la vigilancia gubernamental y las estafas de toda la vida
se aliaron en contra de nuestra privacidad. Ya se trate de fotografas personales, datos
de acceso a cuentas bancarias o historiales mdicos, podemos tener la certeza de que
nuestros datos no tienen nada de privados.
No hay que fiarse de nadie
En 2015 tuvieron lugar numerosos ataques con malware
y estafas tradicionales cuyo objetivo era conseguir datos
personales. Por ejemplo, uno de los engaos consista
en prometer grandes cantidades de seguidores gratis en
Instagram para conseguir que los usuarios revelaran su
contrasea o hacerse pasar por Hacienda en un mensaje de
Cmo funciona la estafa de Gmail

1. Un atacante consigue la direccin de correo
electrnico y el nmero de telfono de la
vctima (ambos suelen ser pblicos).
correo electrnico para que los destinatarios descargaran

archivos adjuntos infectados.
Las estafas ms sencillas siguen aprovechando la escasa
prudencia que suele tener la gente, pero tambin hay casos
en que los datos de los clientes salen a la luz porque el sitio
web en cuestin carece de un buen sistema de seguridad.
En este ltimo supuesto, se pueden producir fugas de datos
independientemente de lo segura que sea la contrasea que
elija el usuario.
De todos modos, quiz sean ms preocupantes los
ataques producidos en 2015 que recurrieron a tcnicas
2. El atacante se hace pasar por la vctima y pide

a Google que le enve su contrasea.
3. A continuacin, el atacante enva a la vctima
el siguiente mensaje de texto (o uno similar):
Google ha detectado actividad inusual no
autorizada en su cuenta. Para impedirla,
responda con el cdigo que hemos enviado a
su dispositivo mvil.
4. As, la vctima se espera recibir el cdigo para
restablecer la contrasea que enva Google y
se lo pasa al atacante.
avanzadas de ingeniera social para sortear los sistemas de

autenticacin de dos factores concebidos para proteger a
los usuarios.
Sin embargo, tambin hubo una estafa que aprovech
precisamente la confianza del pblico en ciertas entidades:
el atacante se hizo pasar por Google en un mensaje de
5. El atacante restablece la contrasea y, cuando

ha conseguido lo que buscaba o ha configurado
el reenvo, comunica la nueva contrasea
temporal (de nuevo, hacindose pasar por
Google) a la vctima, que no se dar cuenta de
lo que ha ocurrido.
texto imitando el proceso legtimo de recuperacin de la

contrasea para acceder a la cuenta de correo electrnico
de la vctima sin despertar sospechas. (Ms informacin en
la columna de la derecha).
http://www.symantec.com/connect/blogs/free-instagram-followers-compromised-accounts-phishing-sites-and-survey-scams
http://www.symantec.com/connect/blogs/australians-beware-scammers-are-impersonating-australian-taxation-office
http://www.symantec.com/connect/blogs/password-recovery-scam-tricks-users-handing-over-email-account-access
Symantec WSTR 2016
16
Secretos y mentiras
Por ltimo, el malhechor amenaza con enviar el contenido
En 2015 las estafas tradicionales siguieron al orden del da,
sexual a toda la lista de contactos de la vctima a menos
pero adems aparecieron amenazas a la privacidad ms
que pague una cantidad de dinero. Debido a la naturaleza
maliciosas.
tan delicada del contenido afectado, a las vctimas les suele

costar denunciar el ataque y acaban enviando al hacker
cientos de dlares, si no miles.
Por ejemplo, las sextorsiones, especialmente habituales

en Asia, consisten en usar un alias atractivo para que la
vctima acceda a enviar vdeos sexualmente explcitos. A
En la misma lnea, el ataque a Ashley Madison provoc
continuacin, los delincuentes piden al internauta que
un pico de mensajes no deseados con asuntos como
descargue una aplicacin para continuar con la relacin
los siguientes: Cmo comprobar si el ataque a Ashley
y, de este modo, consiguen los datos telefnicos y los
Madison te ha afectado? o Ashley Madison, vctima
contactos de la vctima.
de un ataque: quieres saber si tu cnyuge te engaa?.

Este ataque fue inusual, pues sus repercusiones llegaron
mucho ms all de la esfera econmica para afectar a las
relaciones personales y la reputacin de la gente.
ESTAFAS EN LAS REDES SOCIALES, 20132015

Fuente: Symantec | Safe Web
100 %
90 %
80 %
70 %
70 %
76 %
2013
81 %
2014
2015
60 %
50 %
40 %
30 %
23 %
20 %
10 %
17 %
7%
2%
5% 5%
0%
Incitacin a compartir contenidos dainos de forma manual
Ofertas falsas
Secuestro del botn

Me gusta
2%
1% 2%
Aplicaciones
falsas
http://www.symantec.com/connect/blogs/online-criminal-group-uses-android-app-sextortion
http://www.nytimes.com/2015/07/21/technology/hacker-attack-reported-on-ashley-madison-a-dating-service.html?_r=0
http://www.symantec.com/connect/blogs/scammers-quick-capitalize-ashley-madison-breach
Symantec WSTR 2016
17
Identidades engaosas
Apueste por el comercio electrnico
Las redes sociales siguieron siendo un terreno frtil para los
En el fin de semana de Accin de Gracias de 2015, el
delincuentes en 2015, pues estos lograron difundir estafas,
nmero de consumidores que compraron por Internet
enlaces falsos y ataques de phishing aprovechando la
super al de quienes acudieron a las tiendas, segn los
confianza que tiene la gente en sus contactos.
clculos de la National Retail Foundation (fundacin

nacional de venta al detalle).
Ahora los atacantes utilizan tcticas ms ingeniosas y

avanzadas y, para salirse con la suya, tienen que recurrir a
Segn Ecommerce Europe, la facturacin global del
una ingeniera social convincente.
comercio electrnico de la empresa al consumidor aument

un 24 % para llegar a los 1943 millones de dlares en
Hubo una estafa en concreto que lleg a crear toda una
2014, pero eso no es gran cosa en comparacin con los
red de cientos de miles de cuentas de Twitter falsas, en la
6,7 billones que, segn los clculos de Frost and Sullivan,
que cada nivel reforzaba la credibilidad del nivel superior,
alcanzar de aqu al ao 2020 el comercio electrnico
para conseguir seguidores y retuiteos entre los usuarios
entre empresas. Esta ltima previsin abarca todo tipo
de Twitter autnticos. En la cumbre de dicha red haba
de comercio electrnico, incluido el uso de sistemas de
cuentas falsas que se hacan pasar por cabeceras de prensa
intercambio de datos electrnicos y de Internet.
y personajes famosos, y los delincuentes incluso llegaron a

imitar las publicaciones de las cuentas autnticas para que
Incluso los gobiernos cada vez recurren ms a los servicios
los tuiteos resultaran ms crebles.
digitales para cuadrar las cuentas. Por ejemplo, el gobierno

britnico ha revelado recientemente que en 2014 se
Para decidir quin es digno de confianza

en las redes sociales, tenga en cuenta los
siguientes consejos:
ahorr 1700 millones de libras esterlinas gracias a la

transformacin digital y tecnolgica.
Si bien es cierto que los certificados SSL/TLS, los distintivos
de confianza y la proteccin de los sitios web contribuyen
a mantener la economa online, todo este negocio podra
Busque el
smbolo azul de verificacin. Antes de empezar a seguir
correr peligro si la gente deja de fiarse de los sistemas de

seguridad en que se basa el sector.
a un personaje famoso o una marca, los usuarios de

Twitter deberan siempre ver si aparece el smbolo azul
de verificacin, que indica que Twitter ha comprobado la
autenticidad del propietario de la cuenta en cuestin.
No se fe de los nuevos seguidores. Si una persona
cualquiera se suma a sus seguidores, no corresponda
automticamente siguindola a ella. Antes, observe
sus publicaciones. Retuitea contenido de aspecto
sospechoso? Si es as, lo ms probable es que se trate de
un bot.
A veces los nmeros engaan. Aunque los usuarios que
empiecen a seguir su cuenta tengan a su vez miles de
seguidores, no se base en este dato para decidir si son
de fiar, pues es muy fcil falsificar estas cifras.
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/uncovering-a-persistent-diet-spam-operation-on-twitter.pdf
https://nrf.com/media/press-releases/thanksgiving-weekend-shopping-brings-big-store-and-online-crowds-according-nrf
http://www.ecommerce-europe.eu/news/2015/global-e-commerce-turnover-grew-by-24.0-to-reach-1943bn-in-2014
http://www.frost.com/sublib/display-report.do?id=MA4E-01-00-00-00&src=PR
https://gds.blog.gov.uk/2015/10/23/how-digital-and-technology-transformation-saved-1-7bn-last-year/
Symantec WSTR 2016
18
La confianza de los consumidores se tambalea
En la historia de la humanidad, nunca hasta ahora se ha
Otros ataques perpetrados en 2015 tambin demuestran el
sometido a la gente a una extorsin a tan enorme escala.
grado de maldad y complejidad al que se puede llegar para

Pero por qu los delincuentes privilegian este tipo de
hacer dinero.
ataques?
Ante el exceso de oferta de datos robados en el mercado
La bolsa o la vida
negro y la aparicin en Estados Unidos del estndar
El ransomware se ha difundido cada vez ms en los

ltimos aos y en 2015 muchos prevean que la tendencia
continuase. Sin embargo, los ataques de este tipo se han
EMV, que mejora la seguridad de los pagos con tarjeta,

se han reducido las ganancias que se pueden conseguir
mediante el robo de datos de tarjetas de crdito.
diversificado, pero su volumen no ha aumentado. Ahora
Los fraudes con tarjetas de crdito implican la
los ciberdelincuentes cifran archivos almacenados en
intervencin de muchas personas y la legislacin al
dispositivos mviles y cualquier recurso por el que la
respecto garantiza que la prdida econmica de la
vctima est dispuesta a pagar. De hecho, un estudio de

Symantec ha llegado a demostrar que tambin la televisin
vctima sea mnima. En cambio, es muy fcil conseguir en
inteligente puede ser vctima de este tipo de ataques.
el mercado negro un kit de herramientas de ransomware
Ahora tambin hay ransomware que amenaza con publicar
acabarn pagando. El delincuente no tendr que gastar
para atacar a las vctimas, que con toda probabilidad
los archivos de la vctima en Internet a menos que pague

una suma de dinero: se trata de una interesante y siniestra
novedad que con toda probabilidad est destinada a
en los servicios de ningn intermediario y no hay ningn

sistema que limite las prdidas de la vctima, con lo que
la ganancia ser mxima.
generalizarse, ya que en estos casos no sirve de nada el

tpico consejo de hacer copias de seguridad.
CRECIENTE
DOMINIO DEL
GROWING
DOMINANCE
OF CRYPTORANSOMWARE
RANSOMWARE
Fuente: Symantec
Source: Symantec
Percentage
of new
families
of misleading
apps, fake
AV, locker
ransomware
Porcentaje
de nuevas
gamas
de aplicaciones
engaosas,
antivirus
falsos,
and ransomware
crypto ransomware
identified
betweende2005
anddetectadas
2015
de bloqueo
y ransomware
cifrado
entre 2005 y 2015
100%
100 %
90% 90 %
80% 80 %
70% 70 %
60% 60 %
[ FIGURES TBC ]
50% 50 %
40% 40 %
30% 30 %
20% 20 %
10% 10 %
0%
0%
2005
2005 2006
2007 2007
2008
2006
20082009
Aplicaciones
Misleading Apps
engaosas
2009 20102010 2011

2011
Antivirus
FakeAV
falsos
2012
2012 2013 2013 20142014
2015
2015
Cryptoransomware
Lockers
Cryptoransomware
Cryptoransomware
de bloqueo
http://www.symantec.com/connect/blogs/how-my-tv-got-infected-ransomware-and-what-you-can-learn-it
http://www.computerworld.com/article/3002120/security/new-ransomware-program-threatens-to-publish-user-files.html
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-evolution-of-ransomware.pdf
Symantec WSTR 2016
19
Consecuencias de Dyre
Despus de que la polica cerrara varias botnets financieras muy importantes, Dyre ha ocupado su lugar.
DETECCIONES DE DYRE, 20142015

Fuente: Symantec
35
30
Millares
25
20
15
10
5
0
Jun 14
Ago 14
Oct 14
Dic 14
Feb 15
Abr 15
Jun 15
Ago 15
Oct 15
Dic 15
Adems de secuestrar navegadores web de uso habitual e
troyano Dyre y otro malware relacionado. Anteriormente,
interceptar sesiones de banca online para robar datos, Dyre
a principios de 2015, se calculaba que el nmero de
tambin consigui instalar malware en el ordenador de la
infecciones al mes superaba las 9000, mientras que en
vctima y, muchas veces, aadir el equipo en cuestin a la
noviembre del mismo ao no llegaba a las 600.
botnet del atacante.

El idioma y la ubicacin no constituyen obstculos
En un principio, Dyre surgi como una de las operaciones
Otros ataques perpetrados en 2015 tambin demuestran
de fraude financiero ms peligrosas de todos los tiempos,
el grado de maldad y complejidad al que se puede llegar
ideada para estafar a los clientes de ms de 1000 bancos y
para hacer dinero. Independientemente de dnde viva y
otras empresas de todo el mundo.
del idioma que hable, corre peligro de sufrir un ataque

ciberntico. Por ejemplo, baste pensar en Boleto, un sistema
Sin embargo, los ciberdelincuentes que controlaban el
de pago que se utiliza solo en Brasil. A pesar de lo especfico
troyano Dyre sufrieron un duro golpe tras una operacin de
que es, este ao han aparecido tres tipos de malware
seguridad rusa que tuvo lugar en noviembre. Tal como se
creados en especial para atacarlo.
destaca en el blog Security Response, segn la telemetra

de Symantec el grupo prcticamente ha dejado de actuar.
En todo el mundo se estn llevando a cabo ataques localiza-
Dyre (detectado por Symantec como Infostealer.Dyre) se
dos similares, lo que demuestra que los ciberdelincuentes
difundi mediante campaas por correo electrnico y, desde
hacen todo lo posible por manipular a las vctimas estn
el 18 de noviembre de 2015, no se han observado mensajes
donde estn y sea cual sea su idioma.
de correo electrnico relacionados con Dyre. Poco despus,

se redujo drsticamente la cantidad de detecciones del
http://www.symantec.com/connect/blogs/dyre-emerges-main-financial-trojan-threat
http://www.symantec.com/connect/blogs/dyre-operations-bank-fraud-group-grind-halt-following-takedown
http://www.symantec.com/security_response/writeup.jsp?docid=2014-061713-0826-99
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/boleto-malware.pdf
Symantec WSTR 2016
20
NMERO DE URL DE PHISHING EN LAS REDES SOCIALES, 2009-2015

Fuente: Safe Web
60
Miles
50
40
30
20
10
0
2010
2011
2012
2013
2014
2015
En la tabla se muestra el papel crucial que han desempeado las redes sociales en los ataques de ingeniera social
del pasado. Durante los ltimos aos, estos sitios web han tomado medidas drsticas al respecto y ahora a los
ciberdelincuentes les resulta mucho ms difcil atacarlos.
Con los kits de herramientas de phishing, es facilsimo llevar
pedan eliminar datos de contacto, direcciones postales
a cabo una campaa en un pas concreto y, a continuacin,
o contenido relativo nicamente a la salud, orientacin
cambiar de plantilla para atacar a otro objetivo. Muchas
sexual, raza, etnia, religin, y afiliacin poltica y sindical de
veces el idioma utilizado en dichos ataques localizados se
un individuo.
traduce automticamente mediante las plantillas y, para

un destinatario que no sea nativo, resulta suficientemente
Adems, este ao el Tribunal de Justicia Europeo volvi
convincente.
a hacer que aumentara el inters de la opinin pblica

en la cuestin de la privacidad cuando declar nulo el
Leyes de privacidad
A la gente no solo le interesa quin puede atacar, sino
tambin quin puede filtrar informacin, explica Shankar
Somasundaram, director ejecutivo de gestin de productos
e ingeniera en Symantec.
En mayo de 2014 el eco la resolucin del Tribunal de
Justicia Europeo sobre el derecho al olvido se propag
entre quienes recopilan datos y, a finales de 2015, Google
ya haba recibido 348 085 solicitudes de eliminacin de
resultados de bsquedas.
Aunque muchos pensaban que esto solo resultara ventajoso para quienes quisieran ocultar escndalos o evitar
acusaciones, segn las preguntas frecuentes de Google,
acuerdo de puerto seguro del ao 2000. Segn explic

Monique Goyens, directora general de la Organizacin
de Consumidores Europea, esta resolucin confirma que
un acuerdo que permite a las empresas estadounidenses
declarar que respetan las normas de proteccin de datos
de la Unin Europea sin que ninguna autoridad compruebe
que eso es cierto no vale ni siquiera el papel en el que est
escrito.
Tal como coment en su momento el peridico The
Guardian, tal vez esto contribuya a evitar que el gobierno
estadounidense acceda a datos de usuarios en manos de la
Unin Europea y abra las puertas a ms investigaciones,
reclamaciones y juicios por parte de los usuarios y de las
autoridades encargadas de cuestiones relativas a los datos.
entre las solicitudes ms habituales se encontraban las que

http://www.cio.com/article/3008661/google-receives-steady-stream-of-right-to-be-forgotten-requests.html#tk.rss_all
http://www.google.com/transparencyreport/removals/europeprivacy/faq/?hl=en#common_delisting_scenarios
http://www.beuc.eu/publications/beuc-pr-2015-020_historic_victory_for_europeans_personal_data_rights.pdf
http://www.theguardian.com/technology/2015/oct/06/safe-harbour-european-court-declare-invalid-data-protection
Symantec WSTR 2016
21
A medida que proliferan las fugas de datos y que aumenta la
responsables de TI tienen que ser conscientes de los riesgos
parte de nuestra vida personal que tiene lugar en Internet,
que corren y supervisar los sntomas de forma proactiva
es probable que en 2016 aumente el inters judicial por la
con el fin de diagnosticar las enfermedades digitales antes
proteccin de la privacidad individual, as como la cantidad
de que pongan en peligro los datos y la tranquilidad de los
de normas sobre la cuestin.
clientes.
En cuanto al mundo empresarial, hay que empezar a
Symantec cree firmemente en la confidencialidad y
abordar la seguridad desde el punto de vista de la formacin
la defiende con uas y dientes en todo el mundo. No
y la epidemiologa. Todos los empleados tienen que
deberamos resignarnos a la idea errnea de que la
colaborar para garantizar el buen estado de las tecnologas
privacidad ya no existe: al contrario, se trata de algo muy
digitales, mientras que los directores informticos y los
valioso que hay que proteger con atencin.
Evitemos la catstrofe ciberntica

Segn un informe de BofA Merrill Lynch Global, la ciberdelincuencia roba 575 000 millones de dlares al
ao a la economa global y, en una hipottica catstrofe ciberntica de alcance universal, en 2020 podra
llegar a llevarse un quinto del valor creado por Internet.
Nos corresponde a todos a hacer cuanto est en nuestra mano por evitar que ocurra algo as.
En lo que se refiere a los consumidores, ha llegado el momento de abandonar las malas costumbres. Mucha
gente conoce las normas bsicas para garantizar la ciberseguridad y, sin embargo, ms de un tercio de los
estadounidenses que comparten contraseas han revelado la que permite acceder a su cuenta bancaria
online. Si queremos reforzar la seguridad en Internet, es imprescindible que todo el mundo asuma su parte
de responsabilidad.
LA CIBERDELINCUENCIA TIENE
UN COSTE DE HASTA 575 000
MILLONES DE DLARES AL AO
PARA LA ECONOMA GLOBAL
MILLONES DE DLARES
http://us.norton.com/cyber-security-insights?inid=us_hho_nortoncom_clp_norton-hp-ribbon-award_nrpt
Symantec WSTR 2016
22

sino tambin la entidad que est detrs de la red
En resumen, los ataques tan frecuentes, persistentes y avanzados contra organismos
gubernamentales y empresas de todos los tamaos constituyen una amenaza ms
grave para la seguridad y la economa nacionales. El nmero de vulnerabilidades de da
cero ha aumentado y se sabe que se han utilizado como armas. Las campaas de spearphishing se han vuelto ms difciles de detectar, pues se utilizan para atacar a menos
individuos dentro de una menor cantidad de entidades previamente seleccionadas.
Ataques persistentes
La importante fuga de datos que sufri Anthem, el segundo
proveedor de servicios sanitarios ms grande de Estados
Unidos, afect a los historiales mdicos de 78 millones
de pacientes. El ataque sali a la luz en febrero de 2015
y, segn averigu Symantec, fue perpetrado por un grupo
llamado Black Vine que cuenta con recursos econmicos
considerables y colabora con Topsec, una empresa de
seguridad informtica con sede en China. Black Vine utiliza
malware avanzado hecho a medida para llevar a cabo
campaas de ciberespionaje contra distintos sectores, como
el aeroespacial y el de la energa.
Entre las vctimas de ciberespionaje del ao 2015, tambin
se encuentran la Casa Blanca, el Pentgono, el Bundestag
alemn y la Oficina de Gestin del Personal del gobierno
estadounidense, que perdi 21, 5 millones de archivos
personales con datos confidenciales como historiales
sanitarios y financieros, registros de detenciones e incluso
huellas dactilares.
Todo esto se enmarca en una creciente oleada mundial
de ataques de ciberespionaje avanzados, persistentes y
dotados de importantes recursos. En el punto de mira de los
espas se encuentran los secretos de Estado, la propiedad
intelectual empresarial (como diseos, patentes y planos)
y, tal como se ha observado en recientes fugas de datos, la
informacin personal.
Las vulnerabilidades de da cero son especialmente valiosas
para los atacantes. En el pasado hemos visto cmo han
conseguido aprovecharlas para atacar un organismo
gubernamental a travs de un simple documento de Word
infectado enviado por correo electrnico. Es ms, son tan
interesantes para los delincuentes que estos hacen todo

lo posible por evitar que salgan a la luz y mantener as su
posicin de ventaja. Por ejemplo, a veces los atacantes
disean malware que se activa solo en un momento
concreto o en ciertas zonas geogrficas. De este modo, no
lo descubren los expertos en seguridad que ejecuten el
software en otro lugar o a otra hora.
Como las vulnerabilidades de da cero son una fuente
de riqueza aparentemente tan difcil de conseguir, los
delincuentes las protegen como oro en pao para poder
usarlas ms tiempo sin que nadie las detecte.
En los ataques watering hole avanzados, los sitios web
afectados se activan solo cuando el visitante procede de una
direccin IP en concreto. Al reducir as los daos colaterales,
es menos probable que salga a la luz la vulnerabilidad. Es
ms, este sistema tambin dificulta la tarea de los expertos
en seguridad que visiten el sitio web desde un lugar
diferente. Cuando el proveedor interesado revela un ataque,
con frecuencia estos sitios web infectados pasan a usar otra
vulnerabilidad an desconocida para seguir actuando sin
que nadie se d cuenta.
Symantec sigue investigando el troyano Regin y analiza
las capacidades tcnicas de los atacantes que cuentan con
apoyo estatal. As, se han detectado 49 nuevos mdulos,
cada uno de los cuales aade nuevas funciones como el
registro de pulsaciones de teclas, el acceso a archivos y al
correo electrnico, y una amplia infraestructura de control.
Segn nuestros analistas, el troyano Regin es tan avanzado
y complejo que podra ser fruto de meses o incluso aos de
trabajo por parte de equipos de desarrolladores dotados de
buenos recursos.
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-black-vine-cyberespionage-group.pdf
http://edition.cnn.com/2015/04/07/politics/how-russians-hacked-the-wh/
http://www.wsj.com/articles/nsa-chief-says-cyberattack-at-pentagon-was-sophisticated-persistent-1441761541
http://ca.reuters.com/article/technologyNews/idCAKBN0OQ2GA20150610
http://www.wired.com/2015/06/opm-breach-security-privacy-debacle/
http://www.symantec.com/connect/blogs/regin-further-unravelling-mysteries-cyberespionage-threat
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf
Symantec WSTR 2016
23
En la actualidad, los ataques de spear phishing y watering

hole que utilizan sitios web infectados son los sistemas
preferidos para llevar a cabo ataques dirigidos. De todos
modos, a medida que una empresa aade capas de tecnologa, se ampla tambin su superficie de ataque. Ahora
que cada vez se utilizan ms sistemas en la nube y que se
van imponiendo los dispositivos del Internet de las cosas,
prevemos que durante los prximos dos aos los ataques
dirigidos traten de aprovechar las vulnerabilidades de
estas tecnologas. Con toda probabilidad, se empezar por
atacar a los servicios en la nube especialmente vulnerables
a ataques como la inyeccin SQL. Los atacantes se saldrn
con la suya fcilmente mediante campaas de spear phishing
que explotarn la seguridad insuficiente y los errores
de configuracin debidos a los usuarios, ms que a los
proveedores de servicios en la nube.
Para evitar ser detectadas, ahora las campaas de spear
phishing son ms numerosas pero afectan a menos
individuos cada una. Es posible que muy pronto cada una
ataque solo a un objetivo o a varios individuos concretos de
una misma empresa. Por otro lado, las campaas de spear
phishing de mayor envergadura probablemente se lleven a
cabo con ataques watering hole, mediante sitios web infectados aprovechando codiciadas vulnerabilidades de da cero.
VULNERABILIDADES DE DA CERO
Fuente: Symantec I SDAP, Wiki
2013
Cambio
2014
Cambio
2015
23
+4 %
24
+125 %
54
Diversidad en las vulnerabilidades de da cero

En 2015 se detectaron 54 vulnerabilidades de da cero, una
cifra sin precedentes que duplicaba la del ao anterior. Es
evidente que descubrir vulnerabilidades desconocidas y dar
con la forma de aprovecharlas se ha convertido en una de
las tcnicas preferidas de los delincuentes ms avanzados, y
nada parece indicar que la tendencia vaya a cambiar.
Las vulnerabilidades de da cero alcanzan precios
muy altos en el mercado negro. Por este motivo y
por su propia naturaleza, creemos que el nmero
de vulnerabilidades de da cero detectadas no
refleja la magnitud real del problema.
La mayora de las vulnerabilidades de da cero detectadas

en 2015 se utilizaron contra tecnologas de toda la vida
que sufren ataques desde hace aos. A lo largo del ao,
los ciberdelincuentes acumularon diez vulnerabilidades
de da cero contra Adobe Flash Player. Tambin Microsoft
despert el inters de los malhechores, si bien las 10
vulnerabilidades de da cero que se estaban usando contra
su software se distribuyeron mediante Microsoft Windows
(6), Internet Explorer (2) y Microsoft Office (2). El sistema
operativo Android tambin sufri ataques con cuatro
vulnerabilidades de da cero a lo largo de 2015.
Grupos de ataque activos en 2015

Algunos de los grupos ms destacados que llevaron a cabo
ataques dirigidos en 2015 fueron los siguientes:
Black Vine: grupo con sede en China que ha atacado
principalmente a entidades de los sectores aeroespacial
y sanitario, como Anthem y la Oficina de Administracin
de Personal (ambas estadounidenses), en busca de
propiedad intelectual e identidades.
Rocket Kitten: grupo iran con apoyo estatal que lanza
ataques de espionaje a periodistas, activistas defensores
de los derechos humanos y cientficos.
Cadelle and Chafer: grupo iran que ha atacado principalmente aerolneas y empresas de los sectores de la
energa y las telecomunicaciones en Oriente Medio, as
como una empresa estadounidense.
Duke y Seaduke: grupo con apoyo estatal que al parecer
acta desde 2010 y ataca principalmente a agencias
gubernamentales europeas, individuos muy destacados,
as como organizaciones de investigacin privadas y de
poltica internacional.
Emissary Panda: grupo chino que ataca con el fin de robar propiedad intelectual a entidades de varios sectores
(financiero, aeroespacial, inteligencia, telecomunicaciones, energa e ingeniera nuclear). Se lo conoce sobre
todo por haber aprovechado la vulnerabilidad de da
cero CVE-2015-5119, que sali a la luz en el ataque de
Hacking Team.
Waterbug y Turla: grupo ruso de espionaje que lanza
ataques de spear phishing y watering hole contra embajadas e instituciones gubernamentales. Se cree que lleva
activo desde el ao 2005.
Butterfly: ataques a grandes empresas multimillonarias
de varios sectores (TI, farmacutico y materias primas),
como Facebook y Apple, con el objetivo de obtener informacin privilegiada para aprovecharse en el mercado
burstil.
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-black-vine-cyberespionage-group.pdf
http://www.symantec.com/connect/blogs/iran-based-attackers-use-back-door-threats-spy-middle-eastern-targets
http://www.symantec.com/connect/blogs/forkmeiamfamous-seaduke-latest-weapon-duke-armory
https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/waterbug-attack-group.pdf
http://www.symantec.com/connect/blogs/butterfly-profiting-high-level-corporate-attacks
http://www.symantec.com/connect/blogs/turla-spying-tool-targets-governments-and-diplomats
Symantec WSTR 2016
24
Terror global, ataques locales
El efecto mariposa
Los ciberdelincuentes se estn volviendo ms profesio-
Butterfly (literalmente, mariposa) es un grupo de hackers
nales y ms osados en cuanto a las vctimas que eligen y
muy bien organizados y con una excelente preparacin
las cantidades de dinero que manejan, comenta Stephen
que se dedican a espiar a las empresas con el objetivo de
Doherty, analista snior de informacin sobre amenazas de
aprovecharse en el mercado burstil, ya sea vendiendo
Symantec.
datos confidenciales o realizando ellos mismos operaciones

con informacin privilegiada. Los primeros ataques de este
Ahora que se acercan las elecciones presidenciales
tipo que se conocen tuvieron lugar en 2013 y afectaron a
de Estados Unidos, han circulado mensajes de correo
empresas tan famosas como Apple, Microsoft y Facebook.
no deseado que utilizan como cebo el tema de las
De todos modos, los delincuentes suelen tomar medidas
primarias para infectar al destinatario con malware. Los
estratgicas para no dejar rastro, como el uso de servidores
ciberdelincuentes que recurren al spam saben jugar con las
de control virtuales cifrados. El hecho de que estos hackers
emociones y las reacciones viscerales de los destinatarios
aprovechen vulnerabilidades de da cero revela un nivel
recurriendo a temas como los eventos globales, la crisis de
de complejidad nunca visto hasta ahora en los ataques
los refugiados de Oriente Medio, la inmigracin, la poltica
realizados con fines comerciales.
exterior, la economa e incluso el terrorismo.

En una campaa reciente de correo no deseado llevada
a cabo en Oriente Medio y Canad, los malhechores se
hacan pasar por agentes de polica y recomendaban a los
destinatarios que descargaran supuestas soluciones de
seguridad, que en realidad no eran ms que malware. Todos
los nombres utilizados correspondan a funcionarios reales
en activo y, en muchos casos, en el asunto del mensaje
apareca el nombre de un empleado de la empresa atacada.
Para que un ataque de este tipo resulte convincente, es
necesario investigar previamente, como hizo este grupo
antes de enviar los mensajes de phishing. Adems, como no
tenan los datos de los empleados, en primer lugar enviaron
mensajes a otras personas de la empresa, como el personal
informtico o de atencin al cliente.
Este nivel tan avanzado de investigacin y localizacin,
que podra exigir la intervencin de cientos de personas,
se est volviendo cada vez ms habitual en las estafas con
botnets. La economa sumergida no consiste solo en vender
bienes robados, sino que constituye todo un sector con
organizaciones y profesionales tan preparados como los que
cabe esperarse de las empresas legtimas. Y como ocurre en
otros muchos sectores, las economas con ms futuro, como
la china, llegan pisando fuerte.
http://www.symantec.com/connect/blogs/terror-alert-spam-targets-middle-east-canada-spread-malware
Symantec WSTR 2016
25
LOS 10 SECTORES MS ATACADOS CON SPEAR PHISHING (2014-2015)

Fuente: Symantec I cloud
2015
Finanzas, seguros y bienes races
Servicios
Fabricacin
Transporte y servicios pblicos
Venta al por mayor
Venta al detalle
Administracin pblica
Establecimientos no clasificables
Minera
Construccin
20 %
10 %
0%
2014
Fabricacin
Servicios no tradicionales
Finanzas, seguros y bienes races
Servicios profesionales
Venta al por mayor
Transporte y servicios pblicos
Administracin pblica (gob.)
Venta al detalle
Minera
Construccin
30 %
40 %
20 %
20 %
18 %
7%
5%
3%
1%
1%
11 %
10 %
35 %
22 %
14 %
13 %
9%
3%
2%
2%
1%
1%
ATAQUES DE SPEAR PHISHING SEGN EL TAMAO DE LA

EMPRESA ATACADA (2011-2015)
Fuente: Symantec I cloud
50 %
50 %
39 %
41 %
35 %
100 %
Grandes empresas (ms de 2500 empleados)

31 %
32 %
22 %
25 %
Medianas empresas (251 2500 empleados)
19 %
31 %
43 %
30 %
34 %
Pequeas empresas (1- 250 empleados)
18 %
0%
2011
2012
Symantec WSTR 2016
2013
2014
2015
26
Ciberseguridad, cibersabotaje y cisnes negros
La escasa visibilidad no es la solucin
Si el ciberespionaje avanzado est tan extendido, resulta
La forma ms eficaz de protegerse del ciberespionaje
curioso que no lo est el cibersabotaje. Lo que se necesita
es, sencillamente, ser consciente del peligro. Cualquier
para infligir daos fsicos es similar a lo que se usa en el
empresa podra ser vctima de un ataque dirigido que
ciberespionaje, y la cantidad de potenciales victimas est
recurra a tcnicas de watering hole o abrevadero y spear
aumentando gracias a la proliferacin de dispositivos
phishing. El hecho de ser pequea o poco conocida no
con conexin a Internet, incluidos los sistemas de control
reduce su vulnerabilidad.
industrial.
As es, pues en 2015 las pequeas empresas sufrieron un
En su anlisis de seguridad y defensa de 2015, el gobierno
mayor porcentaje (43 %) de ataques de spear phishing, pero
britnico resume con claridad los desafos actuales:
disminuy su probabilidad de ser atacadas. Es decir, se

produjeron ms ataques contra ese tipo de vctimas, pero se
La gama de ciberdelincuentes que amenazan al Reino
centraron en un nmero de empresas menor (3 %).
Unido se ha ampliado. El peligro es cada vez ms

asimtrico y global. Por lo general, para defenderse de
En cambio, el 35 % de los ataques de spear phishing
forma constante y fiable, se necesitan competencias
fueron contra grandes empresas, y 1 de cada 2,7 (el 38%)
avanzadas y una inversin considerable. Pero cada vez
estuvieron en el punto de mira de los delincuentes al menos
ms pases estn desarrollando, con recursos estatales,
una vez. Estos datos parecen indicar que se lanzaron
capacidades avanzadas que se podran utilizar en conflictos,
campaas ms masivas a una escala mucho mayor.
incluso contra la infraestructura nacional crtica y las

instituciones gubernamentales. Por otro lado, los actores
Una vez reconocido el riesgo, las empresas pueden tomar
no estatales, como los terroristas y los ciberdelincuentes,
medidas para protegerse: revisar sus planes de seguridad
pueden conseguir con facilidad tecnologa e instrumentos
y de respuesta a las incidencias, pedir consejo y ayuda si
cibernticos y utilizarlos con fines destructivos.
fuera necesario, actualizar sus defensas tcnicas, implantar

programas de formacin y polticas de personal eficaces, y
El uso de Stuxnet contra el programa nuclear iran es el
estar siempre al da de las novedades.
ejemplo ms conocido de ataque ciberntico contra una

infraestructura fsica. Es posible que ya se hayan llevado a
cabo con xito ms ataques que an no han salido a la luz o
que haya ms infecciones en curso por ahora inactivas. En
cualquier caso, parece improbable que la infraestructura
crtica mundial sea inmune a estas amenazas. De hecho, a
finales de 2014, una planta siderrgica alemana fue vctima
de lo que parece un aviso de futuros ataques que podran
ser ms graves.
https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/478933/52309_Cm_9161_NSS_SD_Review_web_only.pdf
http://www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99
http://www.bbc.co.uk/news/technology-30575104
https://www.symantec.com/content/en/us/about/media/pdfs/b-istr_18_watering_hole_edits.en-us.pdf
https://www.symantec.com/content/en/us/enterprise/images/mktg/Symantec/Email/13927/WSTR_SYM_Spear_Phishing.pdf
Symantec WSTR 2016
27
Vectores de ataque
Ataques web, kits de herramientas y explotacin de vulnerabilidades online
Si los servidores web estn desprotegidos, tambin lo estn los sitios web que se alojan en
ellos y las personas que los visitan. Los delincuentes aprovechan cualquier vulnerabilidad
para atacar los sitios web y hacerse con el control de sus servidores host.
Sitios web analizados que presentaban vulnerabilidades

Fonte: Symantec | Trusted Services
2015
Diferencia
2014
Diferencia
2013
78 %
+2 % pts.
76 %
-1 % pts.
77 %
Porcentaje de vulnerabilidades crticas

2015
Diferencia
2014
Diferencia
2013
15 %
-5 % pts.
20 %
+4 % pts.
16 %
Una vulnerabilidad crtica es aquella que, en caso de ser

explotada, podra hacer que se ejecutara cdigo malicioso
sin necesidad de la interaccin de un usuario, lo cual podra
desembocar en una fuga de datos y poner en peligro a los
internautas que visiten los sitios web afectados.
Como siempre, las cifras confirman que los propietarios de
los sitios web no instalan las revisiones y actualizaciones en
sus sitios web y servidores con la frecuencia que deberan.
Linux en la lnea de ataque

En 2015 hemos observado una oleada de uso de malware
contra Linux, el sistema operativo ms habitual en los servidores de los sitios web, entre otros servicios de Internet
esenciales
Con frecuencia los ciberdelincuentes contaminan los
servidores web afectados con cdigo que lleva a kits de
herramientas de ataque, o bien envan mensajes de correo
electrnico no deseados y roban nombres de usuario y contraseas. Adems, muchas veces utilizan dichos servidores
web como trampoln para seguir causando estragos: por
ejemplo, mediante ataques DDoS de gran envergadura,
aprovechando que el ancho de banda de un proveedor de
alojamiento es mucho mayor que el de un usuario domstico con una conexin de banda ancha.
ltimamente estn proliferando los kits de herramientas
de ataque automatizadas y especializadas, que buscan
sistemas de gestin de contenidos desprotegidos y otras
aplicaciones web en peligro. De este modo, ayudan a los
ciberdelincuentes a detectar servidores potencialmente
vulnerables y facilitan los ataques a sistemas Linux.
Cmo proteger el servidor

M
antngalo al da con las actualizaciones y revisiones
necesarias.
Utilice varias capas de seguridad, de forma que si una falla
queden otras para proteger distintas reas del sistema.
Implante sistemas de deteccin y prevencin de
intrusiones en la red y supervise los servicios de correo
electrnico que se ejecutan en el servidor.
Utilice un buen firewall y revise peridicamente los
registros de acceso para detectar actividades sospechosas.

Instale un software antivirus, que bloquear el malware
que detecte.
Haga copias de seguridad fuera de las instalaciones.
http://www.symantec.com/connect/tr/blogs/phishing-economy-how-phishing-kits-make-scams-easier-operate
Symantec WSTR 2016
28
En 2015 tambin se detect ransomware utilizado contra

Linux, en concreto en ciertos archivos con extensiones
asociadas a aplicaciones web. Adems, el programa
cifraba los archivos y directorios que contenan la palabra
backup, con lo que causaba estragos en especial si la
vctima no haba hecho copias de seguridad fuera de las
instalaciones.
Cmo reducir los riesgos que suponen los

complementos
Actualice los complementos peridicamente.
Consulte las noticias y las listas de seguridad
para tener en cuenta las advertencias.
Para reducir la superficie de ataque, instale
Complementos problemticos
De todos modos, los sistemas operativos no son los nicos
que ponen en peligro los servidores web. Si bien durante
los ltimos aos los principales proveedores de sistemas
de gestin de contenidos han mejorado sus defensas
y han implantado las actualizaciones automticas, sus
complementos siguen constituyendo un grave problema
para la seguridad.
Se acerca el fin para Flash
En 2015 aument el nmero de vulnerabilidades de los
complementos de Adobe, lo que indica que los atacantes
estn intentando explotar complementos que se utilicen no
solo en varias plataformas, sino prcticamente en todas.
La mayora de las vulnerabilidades de Adobe guardaban
relacin con Adobe Flash Player (tambin conocido como
Shockwave Flash).
Adobe Flash Player ha sufrido ataques constantemente a lo
largo de los aos y en 2015 dio origen a 10 vulnerabilidades
de da cero (17 %), mientras que en 2014 fueron doce
(50 %) y en 2013, cinco (22 %). Como ofrece ganancias
tan suculentas, es evidente por qu a los ciberdelincuentes
les gusta tanto atacar la tecnologa Flash. Apple, Google
y Mozilla han expresado su preocupacin con respecto
al complemento Flash, y tanto Google como Mozilla han
anunciado recientemente que Chrome y Firefox dejarn de
admitir Flash de forma nativa.
Desde el punto de vista de la seguridad, prevemos que
durante el prximo ao paulatinamente se vaya dejando de
usar Adobe Flash.
Explotacin de complementos para servidores web
No solo los complementos para navegadores son vulnerables y sufren ataques. Por ejemplo, baste pensar en WordPress, que hoy se utiliza en la cuarta parte de los sitios web
de todo el mundo.
Cualquiera puede crear un complemento de WordPress, con
lo que hoy existen complementos de todo tipo, desde los
solo los complementos realmente tiles.

ms tiles hasta los ms ridculos, como Logout Roulette:
cada vez que se carga una pgina de administracin, existe
una posibilidad entre diez de que se cierre la sesin.
El problema es que ciertos complementos presentan un
nivel de inseguridad sorprendente. Windows es un blanco
de ataque frecuente porque cuenta con muchos usuarios,
y lo mismo ocurre con WordPress: sus complementos son
posibles objetivos y los delincuentes no dejarn escapar
esta oportunidad.
Infeccin por inyeccin

En 2015 regres Team GhostShell, que reivindica el ataque
de una cantidad considerable de sitios web. En un informe
reciente de este mismo ao, el equipo de intervenciones de
seguridad de Symantec comenta:
Segn las primeras impresiones, la lista de sitios web atacados que se ha publicado recientemente parece aleatoria,
los delincuentes no se concentran en un pas o sector en
especial. Con toda probabilidad, el grupo elige los sitios
web que atacar segn su vulnerabilidad. Si ha mantenido su
anterior modus operandi, seguramente haya infectado las
bases de datos mediante la inyeccin de SQL y los scripts
PHP mal configurados.
Una vez ms, probablemente estos ataques se podran
haber evitado con una mejor gestin de los servidores y los
sitios web. La inyeccin SQL es un mtodo que se utiliza
desde hace mucho tiempo y que sigue funcionando debido
a la innecesaria debilidad de los parmetros que establecen
los administradores para las consultas.
Hay que actualizar peridicamente los complementos,
independientemente de que sean para navegadores o para
servidores, ya que son proclives a los fallos de seguridad, y
las versiones obsoletas se deberan evitar en la medida de
lo posible.
https://www.symantec.com/security_response/writeup.jsp?docid=2015-110911-5027-99
http://w3techs.com/blog/entry/wordpress-powers-25-percent-of-all-websites
https://wordpress.org/plugins/logout-roulette/
http://www.symantec.com/connect/blogs/team-ghostshell-hacking-group-back-bang
Symantec WSTR 2016
29
Kits de herramientas de ataque web

Es difcil defenderse de las vulnerabilidades nuevas y
Tras el ataque que sufri en 2015 Hacking Team, una em-
desconocidas, en especial las de da cero, para las cuales
presa con sede en Italia, salieron a la luz vulnerabilidades
tal vez no existan revisiones de seguridad, y los atacantes
de da cero desconocidas hasta entonces y, en cuestin de
hacen todo lo posible por aprovecharlas antes de que los
horas, se integraron en kits de herramientas de ataque.
proveedores implanten las revisiones.
PRINCIPALES CINCO KITS DE HERRAMIENTAS DE ATAQUE, 2014

Fuente: Symantec
Sukura
23 %
Sukura
Nuclear
Styx
Otros
50 %
Nuclear
10 %
Orange Kit
Blackhole
Styx
7%
Otros
Orange
Blackhole Kit 5 %
5%
CINCO KITS PRINCIPALES DE HERRAMIENTAS DE ATAQUE, 2015

Fuente: SDAP, Wiki
Angler
23 %
Angler
Nuclear
Otros
64 %
Nuclear
6%
Magnitude
2%
Rig 4 %
Neutrino
1%
Magnitude
Rig
Neutrino
Otros
http://www.symantec.com/connect/blogs/hacking-team-woes-adds-dangers-faced-internet-using-public
Symantec WSTR 2016
30
El kit de ataque ms activo en 2015 fue Angler, y Symantec
primeras estafas de este tipo consistan en llamadas por
bloque a diario cientos de miles de ataques lanzados con
parte de teleoperadores en las que estos trataban de vender
dicho kit, 19,5 millones de ataques en total. El mecanismo
paquetes de asistencia tcnica a los usuarios para resolver
de distribucin favorito de Angler fue la publicidad
problemas (en realidad inexistentes) que supuestamente
maliciosa, con cierta predileccin por las vulnerabilidades
haba en los ordenadores de las potenciales vctimas.
de Adobe Flash. En 2015 Windows fue la vctima preferida

de Angler: en concreto, Windows 7 fue el objetivo del 64%
Con el tiempo, estas estafas han evolucionado y
de los ataques de Angler; y Windows 8.1, del 24 %. Por
recientemente ha habido casos de mensajes de aviso
otro lado, en 2015 Mac OS X no pareca estar en la lnea de
falsos prcticamente interminables en los que se insta
combate para los atacantes que utilizaban Angler, pero es
a las potenciales vctimas a llamar a un nmero gratuito
probable que esto cambie ahora que los ciberdelincuentes
para obtener asistencia. Si llaman, responde una persona
tratan de atacar el ecosistema de Apple.
aparentemente profesional que trata de convencer al

usuario para que instale un software que supuestamente
Las estafas mediante servicios de asistencia

tcnica recurren al kit Nuclear para difundir
ransomware
solucionar los problemas, pero en realidad se trata de
En 2015, Symantec registr un aumento del 200 % con
La ltima novedad ha sido el uso del kit de ataque Nuclear
respecto al ao anterior en el nmero de estafas mediante
para colocar ransomware en los equipos de las vctimas.
servicios de asistencia tcnica.
Los estafadores distraen al usuario mientras el ransomware
malware y otras aplicaciones indeseadas.
cifra los archivos del ordenador, tratando as de aumentar la

Este tipo de ataques no son nuevos, y cientos de miles
probabilidad de que la vctima pague un rescate.
de personas en todo el mundo los sufren a diario. Las
ESTAFAS MEDIANTE SERVICIOS DE ASISTENCIA TCNICA QUE DIFUNDIERON

RANSOMWARE A TRAVS DEL KIT DE ATAQUE NUCLEAR
1200
Millares
1000
800
600
400
200
0
May 15
Jun 15
Jul 15
Ago 15
Sep 15
Oct 15
Nov 15
TRES PASES MS AFECTADOS
ESTADOS
UNIDOS
CANAD
REINO
UNIDO
http://www.symantec.com/connect/blogs/what-symantec-s-intrusion-prevention-system-did-you-2015
Symantec WSTR 2016
31
Si bien no era la primera vez que se usaba ransomware

en estafas mediante servicios de asistencia tcnica, en
los casos ms recientes se ha aadido un iframe de HTML
malicioso en el sitio web que rediriga a los internautas a un
servidor en el que se alojaba el kit de ataque Nuclear. Se descubri que este kit aprovechaba la reciente vulnerabilidad
de ejecucin de cdigo remoto no especificada de Adobe
Flash Player (CVE-2015-7645), entre otras. Si el ataque
sala bien, se instalaba Trojan.Cryptowall (ransomware) o
Trojan.Miuref.B (un troyano que roba informacin).
Esta ha sido la primera vez que Symantec ha detectado
estafas mediante servicios de asistencia tcnica combinadas con el kit de ataque Nuclear para distribuir ransomware
y, si este sistema resulta ser eficaz, sin duda la tendencia
continuar. Si bien es plausible que los estafadores de
servicios de asistencia tcnica y los atacantes que utilizan
el kit hayan unido sus fuerzas, tambin puede ser que los
servidores web de los estafadores hayan sido atacados por
otro grupo que utilizara el kit de ataque Nuclear. En total,
el ao pasado Symantec bloque ms de 100 millones de
estafas realizadas mediante servicios de asistencia tcnica.
Los pases ms afectados por este tipo de estafas fueron
Estados Unidos, Reino Unido, Francia, Australia y Alemania.
Denegacin de servicio distribuida

Los ataques de denegacin de servicio distribuida (DDoS)
se estn volviendo ms graves y duraderos a medida que
aumenta la popularidad de las botnets de alquiler y que el
Internet de las cosas proporciona ms carne de can a los
ejrcitos de dichas redes.
El peligro de los ataques DDoS

Ciertos ataques DDoS an brindan a los delincuentes numerosas oportunidades para enriquecerse, ya que permiten daar
el sitio web de una empresa con el objetivo de llevar a cabo
extorsiones y chantajes. A veces, a la vctima no le queda ms
remedio que pagar el rescate. Sin embargo, la posibilidad de
rastrear el dinero pone las cosas ms difciles a los atacantes,
y las tecnologas de mitigacin de DDoS hacen que necesiten
un ancho de banda cada vez mayor para hacer mella en las
vctimas. A pesar de todo, ltimamente en algunos de los
ataques ms graves han intervenido grupos de hacktivistas
y, a veces, personas que actan en nombre de algn Estado.
Un ejemplo destacado es el reciente ataque a la BBC, que
el 31 de diciembre dej fuera de combate durante horas el
sitio web y sus correspondientes servicios, incluido iPlayer.
Segn New World Hacking, se trata del ataque DDoS ms
grave de la historia. La organizacin anti-Estado Islmico
reivindic su responsabilidad porque el gran alcance de la
BBC permita poner a prueba sus capacidades y el grupo
asegura que el ataque lleg a alcanzar los 602 Gbps.
De todos modos, los ataques DDoS tambin reportan beneficios, como la posibilidad de chantajear a la vctima pidiendo
un rescate a cambio de interrumpir el ataque. En 2015 la
DDoS tambin se ha utilizado a veces como herramienta de
distraccin combinada con ciertos tipos de ataques dirigidos: cuando el equipo de TI descubra que el sitio web de la
empresa haba sido invadido, pensaba que pronto llegara
la exigencia de pagar un rescate, pero en realidad en ese
mismo momento se estaba llevando a cabo otro ataque ms
furtivo sin que nadie se diera cuenta.
EN TOTAL, SYMANTEC BLOQUE MS DE 100 MILLONES

DE ESTAFAS DE SOPORTE TCNICO EL AO PASADO
18 000 000
16 000 000
14 000 000
12 000 000
10 000 000
8 000 000
6 000 000
4 000 000
2 000 000
0
Ene
Feb
Mar
Abr
May
Jun
Jul
Ago
Sep
Oct
Nov
Dic
2015
http://www.symantec.com/connect/blogs/when-tech-support-scams-meet-ransomlock
http://www.symantec.com/connect/blogs/tech-support-scams-redirect-nuclear-ek-spread-ransomware
https://www.symantec.com/security_response/vulnerability.jsp?bid=77081
http://www.techradar.com/news/internet/attack-against-bbc-website-was-the-biggest-volley-of-ddos-fire-ever-seen--1312864
http://www.americanbanker.com/news/bank-technology/banks-lose-up-to-100khour-to-shorter-more-intense-ddos-attacks-1073966-1.html?pg=1
Symantec WSTR 2016
32
VOLUMEN DE ATAQUES DDOS DETECTADO POR

SYMANTEC GLOBAL INTELLIGENCE NETWORK, 2015
Fuente: Symantec | DeepSight
18 000
16 000
14 000
12 000
10 000
8000
6000
4000
2000
0
ENE
FEB
MAR
ABR
MAY
JUN
JUL
AGO
SEP
OCT
NOV
DIC
En el grfico se aprecia cmo aument la cantidad de ataques DDoS en el segundo semestre del ao, antes de disminuir
drsticamente en noviembre y diciembre. En 2015 hubo ms picos de actividad, conforme los ataques se volvieron ms breves
y discretos.
CINCO ATAQUES PRINCIPALES DE DDOS DETECTADOS POR SYMANTEC

GLOBAL INTELLIGENCE NETWORK
Puesto
Ataques de 2015
Porcentaje
en 2015
Ataques de 2015
Porcentaje
en 2014
Ataque ICMP Flood genrico
85,7 %
Ataque de amplificacion
de DNS
29,44 %
Ataque DDoS TCP Syn Flood

genrico
6, 4 %
Ataque CMP Flood genrico
17,20 %
Ataque DDos Pig Broadcast

(Smurf) genrico
2,1 %
Ataque DDos Pig Broadcast

(Smurf) genrico
16,78 %
Ataque DDoS Teardrop/Land

Denial genrico
2,0 %
Ataque DDoS Teardrop/Land

Denial genrico
7,17 %
Ataque DDoS RFProwl

genrico
0,6 %
Ataque DDoS ICMP

inaccesible genrico
5,71 %
La mayora de los ataques DDoS consistieron en avalanchas de ICMP, por lo general mediante envos masivos de solicitudes
de ping que sobrecargan el objetivo hasta impedirle gestionar el trfico legtimo.
https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol
Symantec WSTR 2016
33
Sencillo pero eficaz
En cambio, el coste para la empresa atacada es mucho ms
Por qu son tan frecuentes los ataques DDoS? La respuesta
alto, tal vez hasta mil veces mayor, segn la naturaleza del
hoy es la misma que en 2002, cuando hablamos de ellos por
negocio y la importancia del sitio web. En consecuencia, la
primera vez: se configuran fcilmente, resulta difcil dete-
ganancia que puede conseguir un delincuente compensar
nerlos y causan estragos por naturaleza, sobre todo ahora
con creces el coste del ataque.
que proliferan las botnets de alquiler.

Esta difusin de los ataques relmpago parece indicar que
Segn Incapsula, un socio de Symantec, en el segundo
se est recurriendo con ms frecuencia a los ataques DDoS
trimestre de 2015 aproximadamente el 40 % de los ataques
ofrecidos como servicio, consistentes en conceder a los
DDoS llevados a cabo en la capa de la red se realizaron con
suscriptores un acceso limitado a los recursos de la botnet,
botnets de alquiler. A veces los delincuentes se toman la
que se comparten con otros suscriptores. Por lo general,
molestia de infectar varios dispositivos vulnerables y crear
de este modo se logra llevar a cabo unos cuantos ataques
su propia botnet para luego lanzar el ataque DDoS, pero con
breves de media envergadura. Adems, con este sistema los
frecuencia resulta mucho ms fcil alquilar para un periodo
atacantes descubren hasta qu punto es eficaz la infraes-
de tiempo determinado botnets ya preparadas.
tructura de su objetivo a la hora de mitigar los ataques y

si tienen que aumentar el volumen. Segn los informes
Los precios en el mercado negro no sufrieron grandes cam-
de Incapsula, se han generalizado los ataques de ms de
bios durante el ao: el coste de un ataque DDoS oscila entre
100Gbps y se ha mitigado un ataque de estas caractersti-
los 10 y los 1000 dlares al da.
cas un da s y otro, no.
DISTRIBUCIN DE LOS ATAQUES DDOS A NIVEL DE RED POR DURACIN

Imagen cedida por Incapsula, segundo trimestre de 2015.
60 % 58,1 %
50 %
40 %
30 %
20 %
10 %
6,7 % 6,4 %
0%
9,9 %
1,1 % 1,2 % 0.8 % 1,8 % 1,5 % 0,7 % 1,1 %
Menos de 30 min- 1-3

3-6
30 min 1hora horas horas
6-12
horas
12-24
horas
24-48
horas
48-72
horas
72-96
horas
3,1 % 3,9 % 3,5 %
96-120 120-240 240-480 480-720 Ms de

horas horas
horas horas
720
horas
En el grfico se aprecia que, a finales del segundo trimestre de 2015, segua habiendo una cantidad considerable de ataques
DDoS que duraban horas, das, semanas o incluso meses.
http://www.symantec.com/connect/articles/barbarians-gate-introduction-distributed-denial-service-attacks
https://www.incapsula.com/blog/ddos-global-threat-landscape-report-q2-2015.html
http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services
Symantec WSTR 2016
34
Como se aprecia en el siguiente grfico, entre el segundo y

el tercer trimestre de 2015, el aumento de popularidad de
los ataques DDoS como servicio ha ido acompaado de una
reduccin considerable en la duracin de los ataques en la
capa de la red. Dado que lanzar un ataque DDoS es ilegal, en
ocasiones estos servicios de DDoS de alquiler se presentan
como herramientas para realizar pruebas de esfuerzo en el
servidor.
DISTRIBUCIN DE LOS ATAQUES DDOS A NIVEL DE RED POR DURACIN

Imagen cedida por Incapsula, tercer trimestre de 2015.
90 %
80 %
76,9 %
70 %
60 %
50 %
40 %
30 %
20 %
11,3 %
10 %
8,2 %
0%
Menos de
30 min.
30 min 1 hora
1-3
horas
1,3 %
1,4 %
0,5 %
0,4 %
3-6
horas
6-12
horas
12-24
horas
Ms de
24
horas
Tal como se aprecia en el grfico, a finales del tercer trimestre prcticamente ya no se producan ataques DDoS que durasen
ms de un da: no llegaban al 0,5 %.
Symantec WSTR 2016
35
Si bien los ataques cada vez duran menos porque se tiende

a preferir las rfagas de ataques breves, su cantidad
Por un lado, este dato nos recuerda que los ataques DDoS
cada vez es mayor, tal como ha observado Incapsula, que
constituyen un problema general que afecta a todo el
ha registrado un increble aumento del 138,8 % en la
ecosistema de Internet. Por el otro, demuestra lo fcil que
frecuencia de los ataques a redes en el segundo semestre
resulta lanzar un ataque de proporciones considerables
de 2015.
a la capa de la aplicacin, pues bastan unos cuantos

dispositivos infectados para generar un trfico capaz de
Las aplicaciones web cada vez corren ms peligro
bloquear un sitio web de tamao medio durante un largo
De modo similar a lo que ha ocurrido con los ataques
periodo de tiempo.
realizados en las capas de la red, tambin los lanzados

contra aplicaciones se han vuelto ms breves sin perder
En consecuencia, en el cuarto trimestre de 2015 siguieron
ni un pice de tenacidad. El mayor ataque a la capa de la
siendo frecuentes los ataques repetidos en la capa de las
aplicacin mitigado en el cuarto trimestre de 2015 fue
aplicaciones: el 44,7 % de los objetivos fueron atacados
una rfaga muy breve e intensa que alcanz las 161 300
ms de una vez; y el 18 %, ms de cinco veces.
solicitudes por segundo.
FRECUENCIA DE LOS ATAQUES CONTRA UN OBJETIVO:

Imagen cedida por Incapsula, cuarto trimestre de 2015.
55,3 %
Ataques
individuales
44,7 %
atacaron ms
de una vez
26,7 %
2-5ataques
7,3 %
6-10 ataques
10,7 %
Ms de 10
veces
https://www.incapsula.com/blog/ddos-report-q4-2015.html
Symantec WSTR 2016
36
Qu dispositivos pueden acabar en una botnet?
de circuito cerrado de televisin se utilizaron con especial
Las botnets desempean un papel clave en los ataques
frecuencia, probablemente porque constituyen uno de los
DDoS, independientemente de que sean alquiladas o
dispositivos ms habituales del Internet de las cosas: en
creadas por los propios atacantes. Cuanto mayor sea su
2014 haba en todo el mundo 245 millones de cmaras de
tamao, ms solicitudes se podrn enviar al mismo tiempo y
videovigilancia operativas instaladas profesionalmente.
ms daos sufrir la vctima.

Es probable que en el futuro los delincuentes utilicen
Pero los ordenadores infectados no son los nicos que
cada vez ms dispositivos vulnerables del Internet de las
ofrecen a los delincuentes un ejrcito de robots. En octubre
cosas para lanzar ataques DDoS de gran alcance. Es cierto
se utiliz malware contra una serie de servidores MySQL,
que existen soluciones para defenderse de los ataques
que ofrecen un ancho de banda mucho mayor que los
DDoS, pero las empresas tambin se encuentran con
objetivos convencionales, lo que permite llevar a cabo
nuevas dificultades a la hora de garantizar la seguridad en
ataques DDoS contra otros sitios web. Este mtodo no es
dispositivos que no son tradicionales, algo imprescindible si
nuevo, pero demuestra que los delincuentes van a seguir
quieren evitar que se conviertan en parte del problema.
creando botnets cada vez ms grandes y de mejor calidad.

Tal vez sea an ms preocupante el hecho de que, sin
Otro fenmeno observado en el ao 2015 fue el aumento
los debidos sistemas de seguridad, ser an ms difcil
en el uso del Internet de las cosas (o IoT, por sus siglas en
descubrir que una impresora, frigorfico, termostato o
ingls) para fortalecer las botnets. En concreto, las cmaras
tostadora ha acabado en una botnet global txica.
SIN LOS DEBIDOS SISTEMAS DE

SEGURIDAD, SER AN MS
DIFCIL DESCUBRIR QUE UNA
IMPRESORA, FRIGORFICO,
TERMOSTATO O TOSTADORA HA
ACABADO EN UNA BOTNET
GLOBAL TXICA.
http://www.symantec.com/connect/blogs/mysql-servers-hijacked-malware-perform-ddos-attacks
https://www.incapsula.com/blog/cctv-ddos-botnet-back-yard.html
https://technology.ihs.com/532501/245-million-video-surveillance-cameras-installed-globally-in-2014
http://www.imperva.com/Products/DDosProtection
Symantec WSTR 2016
37
Publicidad daina
En la parte central de 2015, prcticamente todos los
Adems, gracias al uso de cookies, los creadores de malware
segmentos de Internet que se financian con publicidad se
pueden adaptar su cdigo malicioso o redireccionamientos
han visto afectados por cuentas de publicidad daina. Una
para atacar prcticamente al subconjunto de usuarios que
posible explicacin es que la publicidad daina permite in-
quieran, ya sea por mbito geogrfico, hora del da, empre-
fectar a los visitantes de un sitio web con ms facilidad que
sa, intereses o actividad reciente en Internet.
el envo masivo de enlaces a sitios web infectados. Para un

delincuente resulta mucho ms fcil intentar atacar un sitio
Como se sabe, por desgracia la publicidad daina es difcil
web famoso o colocar publicidad daina en sitios web con
de detectar y los delincuentes cada vez son ms astutos,
mucho trfico, porque no necesitan tener en cuenta todos
hasta el punto de que, despus de una o dos horas, eliminan
los complejos matices de la ingeniera social y los malos
el cdigo malicioso de los anuncios, que se vuelve casi invi
se ahorran un paso ms.
sible. Como es tan eficaz y difcil de analizar, es previsible

que el uso de la publicidad daina siga aumentando. En
Las empresas de publicidad no suelen pedir mucha
consecuencia, es posible que la mayor demanda de herra-
informacin a quienes envan anuncios, con lo que a los
mientas de bloqueo de anuncios contribuya a reducir los
delincuentes les resulta fcil hacerse pasar por empresas
efectos negativos de la publicidad daina.
legtimas y cargar anuncios dainos, que podrn aparecer

en numerosos sitios web.
SITIOS WEB EXPLOTADOS CON MS FRECUENCIA, 2014-2015

Fuente: Symantec | SDAP, Safe Web, Rulespace
Puesto
Categoras ms
explotadas en 2015
Porcentaje
Categoras ms
explotadas en 2014
Porcentaje
Tecnologa
23,2 %
Tecnologa
21,5 %
Negocios
8,1 %
Alojamiento web
7,3 %
Bsquedas
7,5 %
Blogs
7,1 %
Blogs
7,0 %
Negocios
6,0 %
Dnamicas
6,4 %
Anonimizador
5,0 %
Educativas
4.0 %
Entretenimiento
2,6 %
Parking de dominios
3,2 %
Compras
2,5 %
Entretenimiento
2,6 %
Ilegal
2,4 %
Compras
2,4 %
Parking de dominios
2.2 %
10
Ilegal
2,1 %
Comunidad virtual
1.8 %
En 2015, la mayora del contenido malicioso y de la publicidad daina afect a sitios web relacionados con tecnologas y
negocios.
http://www.symantec.com/connect/blogs/malvertising-campaign-targets-brazilian-users
Symantec WSTR 2016
38
En el cliente
Smartphones y otros dispositivos mviles
En pocas palabras, los smartphones cada vez son un objetivo
ms atractivo para los ciberdelincuentes. En consecuencia,
estos estn invirtiendo en ataques ms avanzados que sean
ms eficaces a la hora de robar datos personales valiosos y
extorsionar a las vctimas. Aunque los usuarios de Android
son el principal objetivo, en 2015 tambin hubo ataques
contra dispositivos Apple, y los dispositivos iOS empezaron
a caer en las redes de los delincuentes aunque no hubieran
sido objeto de jailbreak (proceso que modifica el sistema
operativo para permitir la instalacin de aplicaciones no
autorizadas por el fabricante).
Un telfono por persona
Segn el seguimiento realizado por IDC de las ventas mundiales de telfonos mviles por trimestre, en 2015 se compraron ms de 1400 millones de smartphones en el mundo,
lo que supone un aumento del 10 % con respecto al ao
anterior, cuando se vendieron 1300 millones (27 de enero
de 2016). Cinco de cada seis telfonos nuevos funcionan
con Android, y uno de cada siete utiliza el sistema operativo iOS de Apple (IDC, cuotas de mercado de los sistemas
operativos de los smartphones, segundo trimestre de 2015).
Segn el fabricante de mviles Ericsson, a finales del ao
2020 el nmero de smartphones registrados podra llegar a
los 6400 millones, lo que equivale a casi uno por persona.
Adems, las tabletas y los telfonos de alta gama cuentan

con procesadores potentes y, gracias a la red 4G, disponen
de conectividad de banda ancha. Tambin contienen datos
personales muy valiosos. Por ejemplo, en 2015 lleg al mercado Apple Pay, y pronto aparecern otros sistemas de pago
mviles del mismo tipo. Todos estos factores hacen que se
trate de dispositivos muy atractivos para los delincuentes.
Amenazas transversales
Muchas tiendas de aplicaciones permiten a los usuarios
navegar, comprar aplicaciones e instalarlas a distancia
desde su equipo de sobremesa, lo que brinda a los delincuentes una oportunidad de oro. Por ejemplo, con Google
Play, los clientes pueden navegar desde su ordenador con
normalidad e instalar las aplicaciones directamente en el
telfono. Recientemente ha habido casos de malware en
Windows que han aprovechado este sistema: una vez infectado el equipo de sobremesa, se han robado las cookies del
navegador para sesiones de Google Play, que prcticamente
son las credenciales de los usuarios, con lo que permiten a
los ciberdelincuentes hacerse pasar por el usuario para instalar aplicaciones a distancia en los telfonos y las tabletas
de las vctimas sin que estas lo sepan ni lo autoricen.
ANLISIS DE APLICACIONES DE SYMANTEC NORTON MOBILE INSIGHT

Fuente: Symantec | SDAP
2015
2014
2013
Total de aplicaciones analizadas
10,8 millones
6,3 millones
6,1 millones
Total de aplicaciones clasificadas

como malware
3,3 millones
1 milln
0,7 millones
Total de aplicaciones clasificadas

como grayware
3 millones
2,3 millones
2,2 millones
Total de grayware clasificado

como madware
2,3 millones
1,3 millones
1,2 millones
Definicin de malware
Programas y archivos creados para causar daos, como virus, gusanos y troyanos.
Definicin de grayware
Programas que no contienen virus y no son claramente maliciosos pero pueden

resultar molestos o incluso dainos para el usuario [por ejemplo, herramientas
de ataque, herramientas de acceso (accessware), programas espa (spyware),
publicidad no deseada (adware), marcadores y programas de broma].
Definicin de madware
Tcnicas agresivas para colocar publicidad en el calendario y los lbumes

fotogrficos de un dispositivo mvil y para insertar mensajes en la barra de notificacin. El madware puede llegar incluso a sustituir un tono por un anuncio.
http://www.idc.com/getdoc.jsp?containerId=prUS40980416
http://www.idc.com/prodserv/smartphone-os-market-share.jsp
http://www.ericsson.com/mobility-report
https://www.census.gov/population/international/data/idb/worldpopgraph.php
Symantec WSTR 2016
39
TOTAL DE FAMILIAS DE MALWARE DE MVILES ANDROID 20112015

Fuente: Symantec
350
300
250
277
295
2014
2015
231
200
174
150
100
71
50
0
2011
2012
2013
La cantidad de tipos de malware utilizados contra Android en 2015 aument un 6 %, mientras que el ao anterior el
crecimiento haba sido del 20 %.
TOTAL DE MALWARE DE MVILES ANDROID, VARIANTES, 2011 2015,

Fuente: Symantec
16 000
13 783
14 000
12 000
9839
10 000
7612
8 000
6 000
4350
4 000
2 000
0
567
2011
2012
2013
2014
2015
Por otro lado, el volumen de variantes de Android aument un 40 % en 2015, mientras que el ao anterior haba crecido
un 29 %.
Symantec WSTR 2016
40
Durante los ltimos tres aos, no ha dejado de aumentar
En 2012, IOS.Finfish se convirti en el primer caso de
el nmero de vulnerabilidades de los sistemas mviles. A
aplicacin iOS maliciosa detectada en el Apple Store.
diferencia de lo que ocurre con los dispositivos Android, las
Finfish permita robar datos contenidos en el dispositivo
vulnerabilidades de iOS han sido clave para acceder a los
atacado. En 2014 apareci OSX.Wirelurker, que atacaba
telfonos con iOS, en especial a los que se han sometido
aprovechando las conexiones USB a un equipo Mac o PC,
a jailbreaking, proceso que permite a un usuario instalar
para luego instalar aplicaciones en dispositivos iOS que no
aplicaciones no autorizadas en el Apple Store, eludiendo el
se hubieran sometido a jailbreaking.
sistema de seguridad de iOS. En cambio, resulta mucho ms

difcil atacar un dispositivo en el que no se haya practicado
Sin embargo, en 2015 se descubri la posibilidad de
jailbreaking, pues en ese caso la aplicacin que se quiera
utilizar XcodeGhost y YiSpecter contra dispositivos iOS
instalar se tendr que descargar del App Store. Los procesos
sin necesidad de que el sistema atacado presentara
de control de Apple son conocidos por su rigor, motivo por
vulnerabilidades ni se hubiera sometido a jailbreaking.
el que la cantidad de software malicioso utilizado contra

iOS es mucho menor que la del malware para Android.
VULNERABILIDADES DE MVILES, POR SISTEMAS OPERATIVOS, 20132015

100 %
90 %
80 %
82,0 %
84,0 % 83,5 %
70 %
60 %
50 %
40 %
30 %
20 %
13,0 % 11,0 %
10 %
0%
16,3 %
1,0 %
iOS
Android
4,0 %
0,0 %
BlackBerry OS
0,0 % 1,0 % 0,2 %
Telfonos
Windows
Durante los ltimos aos, la mayor parte de las vulnerabilidades detectadas en sistemas mviles se han encontrado en la
plataforma iOS, y ha habido un gran inters por realizar jailbreaking en los dispositivos o instalar malware.
http://www.symantec.com/security_response/writeup.jsp?docid=2012-083015-4511-99&tabid=2
Symantec WSTR 2016
41
Los ataques a dispositivos Android se han vuelto ms furtivos

El malware usado contra Android cada vez es ms difcil de
detectar. Por ejemplo, los creadores de malware empezaron
a camuflar el cdigo para eludir el software de seguridad
basado en firmas antes de lanzar sus ataques y actualmente
existe malware que comprueba si se est ejecutando en
telfonos autnticos o en el tipo de emuladores que utilicen
los expertos en seguridad.
El ransomware llega a los dispositivos

mviles
Los usuarios de Android, vctimas del phishing y el

ransomware
Adems de los trucos de siempre como vender aplicaciones
falsas que no son lo que prometen, ahora los atacantes recurren a tcnicas ms avanzadas para sacar dinero a sus vctimas. Por ejemplo, los expertos de Symantec han descubierto
un nuevo troyano utilizado para lanzar ataques de phishing
en Android que muestra una pgina de inicio de sesin falsa
superpuesta a las aplicaciones de banca online legtimas,
para conseguir as que los usuarios les revelen sus credenciales bancarias. Asimismo, el ransomware para Android ms
reciente imita el estilo de Google para parecer ms legtimo e
intimidatorio al mostrar falsos avisos del FBI en las pantallas
de bloqueo. Otra novedad reciente es el uso de ransomware
para cifrar archivos (por ejemplo, fotografas), en lugar de
simplemente para cambiar el PIN de acceso al telfono.
los ciberdelincuentes, en parte porque sus propietarios disponen (por trmino medio) de mayores ingresos. Tanto las
empresas como los particulares deberan abandonar la idea
de que los dispositivos Apple son inmunes a los ataques.
Ahora los usuarios de Apple iOS corren ms riesgo que nunca
Proteccin de los dispositivos mviles
Gracias al rigor con el que Apple controla su sistema

operativo y su tienda de aplicaciones, las amenazas contra
los iPhones y iPads han sido poco frecuentes y de alcance
limitado, pero en 2015 la situacin cambi:
En 2015 se detectaron nueve gamas nuevas de amenazas para iOS, mientras que hasta entonces solo se
conocan cuatro en total.
El software para desarrolladores de contrabando denominado XcodeGhost infect 4000 aplicaciones.
El malware YiSpecter eludi la tienda de aplicaciones gracias al marco de distribucin de aplicaciones empresarial.
Los expertos en seguridad encontraron Youmi incrustado
en 256 aplicaciones iOS. Se trata de un software utilizado para mostrar anuncios publicitarios, pero tambin
enva datos personales a una ubicacin remota sin el
consentimiento de los usuarios.
Las vulnerabilidades detectadas en AirDrop, el sistema inalmbrico de transferencia de archivos de Apple,
podran permitir a un atacante instalar malware en un
dispositivo Apple.
Conforme aumenta la cantidad de iPads y iPhones que
vende Apple, probablemente interesarn cada vez ms a
Imagnese la frustracin de un usuario que, al

descargar una fantstica aplicacin nueva para el
telfono, se encuentra el dispositivo bloqueado y
un aviso del FBI en la pgina de inicio. Lo nico que
puede hacer es pagar un rescate y esperar que los
atacantes desbloqueen el telfono o despedirse para
siempre de sus fotografas, contactos y recuerdos.
Recomendamos tanto a los particulares como a las empresas que traten los dispositivos mviles como lo que son:
potentes ordenadores de pequeas dimensiones. Para protegerlos como les corresponde, tome las siguientes medidas:
Controle el acceso, incluso con tecnologa biomtrica
cuando sea posible.
Adopte un sistema para evitar las prdidas de datos (por
ejemplo, el cifrado en el dispositivo).
Haga copias de seguridad del dispositivo de forma
automatizada.
Implante un sistema que permita encontrar el dispositivo
y borrar sus datos a distancia, lo cual resultar muy til
en caso de extravo.
Actualice el software peridicamente. Por ejemplo, la
ltima versin de Android, lanzada en octubre con el
nombre en clave de Marshmallow (versin 6.0), incluye
una serie de funciones diseadas especialmente para detener a los atacantes. Segn Statista, en octubre de 2015
la versin de Android ms difundida segua siendo KitKat
(la 4.4), utilizada en un 38,9 % de los casos, mientras
que un 15,6 % de los dispositivos Android funcionaban
con Lollipop (versin 5.0).
http://www.symantec.com/connect/blogs/android-banking-trojan-delivers-customized-phishing-pages-straight-cloud
http://www.symantec.com/connect/blogs/android-ransomware-uses-material-design-scare-users-paying-ransom
http://www.symantec.com/security_response/landing/azlisting.jsp?azid=I
http://www.symantec.com/connect/tr/blogs/new-xcodeghost-malware-variant-discovered
http://www.symantec.com/connect/blogs/yispecter-threat-shows-ios-now-firmly-attackers-agenda
http://www.symantec.com/connect/blogs/ad-library-behind-pulled-ios-apps-also-used-android-development
http://www.symantec.com/connect/blogs/airdrop-vulnerability-poses-threat-iphone-and-mac-users
http://www.statista.com/statistics/271774/share-of-android-platforms-on-mobile-devices-with-android-os/
Symantec WSTR 2016
42
No descargue aplicaciones en sitios web desconocidos,

instlelas solo desde fuentes de confianza y no recurra al
jailbreaking.
Preste especial atencin a los permisos que solicita una
aplicacin.
Actualice las aplicaciones con la mayor frecuencia posible y, si detecta algo sospechoso, elimnela y espere a
que salga una nueva versin.
Si sospecha que su cuenta ha sufrido un ataque, cambie
la ID de Apple o la contrasea de Google Play. Este
consejo tambin se refiere a la proteccin de las credenciales para cualquier tienda de aplicaciones de otros
fabricantes.
Tenga mucho cuidado si recibe notificaciones o mensajes de correo electrnico sospechosos que le pidan sus
credenciales o cualquier tipo de datos de identificacin
personal.
Hasta que se aplique una revisin, sea prudente a la hora
de acceder mediante el navegador mvil a archivos de
vdeo o audio no solicitados.
Si utiliza Android, instale las actualizaciones de seguridad en cuanto se las ofrezca su operador o el fabricante
de su dispositivo.
Existen ms soluciones de seguridad para sistemas
mviles que contribuyen a defenderse del software
malicioso, y toda empresa debera plantearse implantar
herramientas de gestin de la movilidad que ayuden
a proteger y controlar los dispositivos mviles de sus
empleados.

Segn nuestras previsiones, las amenazas a dispositivos
mviles seguirn proliferando en 2016. Tal vez pronto se
vendan en el mercado negro kits de intrusin para telfonos
similares a los que se utilizan para atacar ordenadores.
Al mismo tiempo, Apple y Google estn haciendo todo lo
posible por proteger sus sistemas operativos y sus ecosistemas en general. En concreto, prevemos que mejoren tanto
las tcnicas utilizadas para validar y firmar las aplicaciones
como la forma de distribuirlas. Los usuarios tendrn que
acostumbrarse a que las aplicaciones y el sistema operativo
de sus telfonos se actualicen con frecuencia, automticamente de forma predeterminada, y asumirn que los dispositivos mviles necesitan software de seguridad.
Tal vez esto sea un indicio de avance ms que un motivo de
alarma: si los expertos en seguridad, los desarrolladores
de sistemas operativos y los creadores de aplicaciones
detectan y resuelven ms problemas, es porque prestan
ms atencin a la seguridad mvil. Aunque se prev que
durante el prximo ao aumenten los ataques contra estos
dispositivos, tambin se espera que, si toman las medidas

preventivas adecuadas y siguen invirtiendo en seguridad,
los usuarios gocen de un buen nivel de proteccin.
Amenazas por correo electrnico y otros sistemas de comunicacin

Los sistemas informticos (ordenadores y redes) siguen
siendo vctimas de un malware que evoluciona con rapidez.
El correo electrnico sigue siendo el medio preferido de los
ciberdelincuentes y la cantidad de mensajes que se envan
no deja de aumentar. Al mismo tiempo, el phishing y el spam
estn disminuyendo, aunque ms de la mitad de los mensajes que se reciben son no deseados. El nmero de mensajes
de correo electrnico maliciosos ha aumentado desde el ao
2014 y estos siguen constituyendo un sistema eficaz para los
ciberdelincuentes, aunque el spam farmacutico no lo sea.
Ataques por correo electrnico
El correo electrnico sigue dominando la comunicacin digital, al tiempo que aumenta la popularidad de las tecnologas
de mensajera instantnea, tanto para usos empresariales
como de consumo. Segn los clculos de Symantec, en 2015
se enviaron aproximadamente 190 000 millones de mensajes de correo electrnico al da, una cifra que prevemos que
aumente en un 4 % de aqu a finales de 2016. Por trmino
medio, cada usuario empresarial envi y recibi 42mensajes de correo electrnico al da, y cada vez son ms los individuos que leen el correo en dispositivos mviles. Para los
ciberdelincuentes que quieran contactar electrnicamente
al mayor nmero posible de personas, este sigue siendo el
mejor sistema.
No es de extraar que los ciberdelincuentes sigan utilizndolo con tanta frecuencia para enviar mensajes no deseados, lanzar ataques de phishing y transmitir malware. Sin
embargo, en 2015 disminuyeron las amenazas por correo
electrnico, limitndose al 1 % del correo no deseado.
Symantec cuenta con anlisis ms detallados sobre el malware y el phishing, pues dado que estas amenazas tienen
consecuencias dainas que pueden llegar a ser considerables, resulta til conocerlas mejor.
Symantec analiza una parte considerable del correo electrnico empresarial que se enva en el mundo, con lo que
disponemos de informacin privilegiada sobre este medio y
sobre las amenazas que supone para la seguridad. Muchos
de los mensajes de correo electrnico empresariales nunca
salen de la empresa, mientras que aproximadamente tres
cuartas partes del trfico de correo electrnico exterior son
mensajes entrantes, ms de la mitad de ellos no deseados.
https://support.apple.com/en-us/HT201355/
https://support.google.com/accounts/answer/41078?hl=en
Symantec WSTR 2016
43
Spam
En 2015 ms de la mitad de los mensajes de correo electrnico empresariales recibidos eran no deseados, a pesar de
que durante los ltimos aos la cantidad de spam ha ido disminuyendo paulatinamente y, de hecho, en 2015 lleg al nivel
ms bajo registrado desde el ao 2003. De todos modos, el
problema del spam sigue ah: simplemente, se enva por otros
canales, como las redes sociales y la mensajera instantnea,
dos de los tipos de aplicaciones ms difundidas en los dispositivos mviles. As, al aprovechar estos sistemas adems del
correo electrnico, los atacantes perfeccionan sus tcticas.
Phishing
Con el tiempo, gracias a la evolucin del mercado de la ciberdelincuencia, las campaas de phishing se han simplificado
mucho para los atacantes. Ahora estos colaboran entre s: algunos se especializan en kits de phishing, mientras que otros
los venden a quien quiera llevar a cabo ataques de este tipo.
ingeniera social para lograr que el destinatario abra un archivo adjunto o haga clic en un enlace. Los adjuntos pueden ser
facturas falsas, documentos de trabajo u otro tipo de archivos y, por lo general, es necesario que el software utilizado
para abrirlos presente alguna vulnerabilidad sin resolver.
De forma similar, los enlaces maliciosos dirigen al usuario a
un sitio web infectado mediante un kit de herramientas de
ataque para instalar algn tipo de malware en su equipo.
Las amenazas como Dridex recurren exclusivamente a los
ataques mediante correo electrnico no deseado y muestran nombres de empresas reales tanto en la direccin del
remitente como en el cuerpo del mensaje. La inmensa mayora del spam de Dridex se camufla en forma de mensaje
con contenido financiero, como facturas, recibos y pedidos.
Estos mensajes llevan adjuntos archivos de Word o Excel
maliciosos, con una carga til que instala el malware propiamente dicho con el fin de robar datos de banca online.
El grupo de ciberdelincuentes responsables de este ataque
en concreto ha utilizado todo tipo de spam y de vectores
de difusin de malware: desde simples archivos adjuntos
maliciosos hasta enlaces en el cuerpo del mensaje que
llevan a la pgina de entrada de un kit de ataque, pasando
por archivos PDF dainos y macros.
Por lo general, estos kits se venden a un precio de entre 2 y

10 USD, y no se necesitan grandes competencias tcnicas
para utilizarlos ni para personalizar sus pginas web segn
las necesidades particulares de cada uno. A continuacin,
los estafadores pueden utilizar los datos robados con estos
ataques para sus propios propsitos o bien venderlos en el
mercado negro.
La propagacin de malware por correo electrnico no se ha

reducido como el spam general y, dado su volumen relativamente bajo, es ms proclive a las fluctuaciones. Se producen
picos cuando se llevan a cabo campaas de gran envergadura.
Propagacin de malware por correo electrnico

Como ocurre con el phishing, cuando se distribuye malware
por correo electrnico, se necesitan ciertos conocimientos de
TASA GLOBAL DE SPAM, 20132015

Fuente: Symantec | Brightmail
100 %
90 %
80 %
70 %
60 %
50 %
40 %
30 %
20 %
10 %
0%
E 2013
E 2014
E 2015
No es de extraaar que siga siendo uno de los mtodos preferidos de los cibercriminales para enviar spam, phishing y
malware. Sin embargo, en 2015 estas tres tcnicas declinaron.
http://www.symantec.com/connect/blogs/phishing-economy-how-phishing-kits-make-scams-easier-operate
http://www.symantec.com/connect/blogs/dridex-and-how-overcome-it
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/dridex-financial-trojan.pdf
Symantec WSTR 2016
44
TASA DE PHISHING, 20132015

Fuente: Symantec | .cloud
-200 E 2013
E 2014
E 2015
0
200
400
600
1 de cada
800
1000
1200
1400
1600
1800
2000
2200
2400
2600
2800
3000
PROPORCIN DE TRFICO DE CORREO ELECTRNICO EN EL QUE SE ENCONTR

UN VIRUS, 20132015
Source: Symantec | .cloud
E 2013
E2014
E2015
0
50
1 de cada
100
150
200
250
300
350
400
Symantec WSTR 2016
45
El cifrado del correo electrnico
La clave est en no bajar la guardia nunca. En el mbito
Resulta muy til cifrar el correo electrnico, porque de este
personal, esto significa:
modo se protege la confidencialidad de los mensajes y se
No abrir mensajes de correo electrnico procedentes de
facilita la autenticacin de los emisores. Existen vulnerabilidades en la tecnologa subyacente (como se aprecia en los
datos expuestos), pero parte del problema de seguridad se
debe a que no se utiliza de forma generalizada.
emisores desconocidos
Buscar siempre el smbolo del candado y comprobar
el certificado SSL/TLS antes de escribir informacin
confidencial en un sitio web
No utilizar redes desprotegidas para acceder a datos
Aunque los sistemas de correo electrnico en lnea (como
confidenciales
Outlook.com, de Microsoft, y Google Mail) cifran los datos en

los clientes y casi todos los sistemas de correo electrnico
En el mbito empresarial, hay que hacer lo siguiente:
dan prioridad a la transmisin cifrada, todava queda una
Implantar software de deteccin y prevencin de las
sorprendente cantidad de correo electrnico que se enva

mediante transferencias SMTP sin cifrar. Por ejemplo, segn
datos de Google, en torno al 40 % de los mensajes entrantes
intrusiones
Saber qu informacin valiosa posee la empresa y
utilizar tecnologa de prevencin de prdidas de datos
del ao pasado no estaban cifrados.
Controlar dnde estn los datos y quin tiene acceso a
Existen herramientas eficaces para cifrar el correo electrni-
Contar con un plan de respuesta a las incidencias para
ellos
co en los equipos de escritorio y en las pasarelas (por ejem-
cuando se detecte un ataque
plo, las de Symantec), pero las empresas tienen que aprender

a utilizar mejor la tecnologa disponible para proteger el
correo electrnico tanto durante las transferencias como una
Tras tres aos de reduccin constante del phishing,
vez recibido.
prevemos que la cantidad de ataques de este tipo se

mantenga en el nivel actual o incluso siga bajando. Ahora
Ataques que eluden el cifrado
los ataques de phishing son ms dirigidos y menos masivos.
Hemos observado una serie de ataques y vulnerabilidades en
Adems, en muchos casos ya se ha empezado a utilizar
el cifrado subyacente utilizado para proteger las transmisiones
las redes sociales, lo que contribuye a la disminucin del
por correo electrnico. Por ejemplo, el ataque Logjam aprove-
nmero de mensajes de correo electrnico. De todos modos,
cha un defecto del mecanismo de intercambio de claves con
en ciertas partes del mundo los ataques de phishing por
que inicia cualquier intercambio cifrado.
correo electrnico son ms frecuentes que en otras: as, la

disminucin ha sido ms acusada en numerosos pases de
Con la herramienta SSL Toolbox de Symantec, nuestros
habla inglesa, en Amrica del Norte y en ciertas zonas de la
clientes pueden analizar sus dominios para comprobar la
Europa Occidental.
presencia de Logjam y otras importantes vulnerabilidades.

Este recurso gratuito permite detectar problemas importantes
Continuar la tendencia de hacer cada vez ms cosas
como POODLE o Heartbleed, as como errores que pueda haber
online (pagar facturas, pedir citas mdicas, solicitar plaza
en la instalacin de certificados SSL/TLS.
en la Universidad, gestionar cuentas de programas de

fidelizacin, contratar un seguro, etc.), lo cual proporciona
Consejos para garantizar la seguridad al usar el correo
un terreno jugoso para el phishing. Adems, como el acceso
electrnico
a Internet y las transacciones electrnicas cada vez son ms
Aunque muchos particulares y empresas consideran que no
habituales en los pases en vas de desarrollo, incluso es
son un objetivo especialmente interesante para los ciberde-
posible que en estas zonas aumente la cantidad de ataques
lincuentes, tal vez se equivoquen.
de este tipo.
http://www.google.com/transparencyreport/saferemail/
http://www.symantec.com/en/uk/desktop-email-encryption/
http://www.symantec.com/en/uk/gateway-email-encryption/
http://www.symantec.com/connect/blogs/logjam-latest-security-flaw-affect-secure-communication-protocols
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
http://www.symantec.com/connect/blogs/when-defenses-fail-case-incident-response
Symantec WSTR 2016
46
Los ordenadores, la informtica en la nube y la

infraestructura de TI
En general, la ciberseguridad consiste en proteger los
Los sistemas informticos (ordenadores y redes) siguen
El problema es que el malware est en todas partes. En
siendo vctimas de un malware que evoluciona con rapidez.
2015, han sufrido ataques una mayor cantidad de sistemas
Los sistemas Linux y Mac OS X cada vez estn ms ame-
diversos, como Linux, Mac, equipos virtualizados y sistemas
nazados por el malware: no hay ningn sistema operativo
en la nube. Cada ao aumenta el volumen de datos que se
que sea inmune automticamente y, de hecho, incluso los
gestionan en la nube, para fines asociados a la gestin de
sistemas virtualizados y alojados en la nube son vulnera-
las relaciones con los clientes, los servicios de facturacin,
bles. Ahora el malware consigue detectar entornos virtua-
las redes sociales, el correo electrnico mvil y un largo
lizados e infectarlos.
etctera.
La ciberseguridad afecta a todo el mundo. Las empresas
Una de las formas de atacar un sistema consiste en
tienen que proteger sus equipos y su infraestructura de TI
aprovechar las vulnerabilidades que presenta, y son pocos
para impedir los robos de datos, los fraudes y los ataques
los que carecen de ellas. Estas vulnerabilidades, un aspecto
con malware. Asimismo, tanto las empresas como los
muy importante de la ciberseguridad, se encuentran tanto
consumidores deberan tener en cuenta las amenazas que
en los sistemas operativos como en las aplicaciones que se
los acechan: los ciberdelincuentes podran cifrar sus datos
ejecutan en ellos. Si no se resuelven, dejan la pista libre a
y exigir el pago de un rescate para descifrarlos, robarles la
todo el que quiera atacar un sistema, que podr aprovechar-
identidad o usar sus equipos como trampoln para atacar a
las y utilizarlas con fines maliciosos. Cada ao los expertos
otros objetivos.
descubren nuevas vulnerabilidades de distintos tipos: las
pilares de las TI: los ordenadores, los servidores y las redes.
ms codiciadas son las de da cero, es decir, aquellas para

las que todava no existe una revisin de seguridad.
NMERO TOTAL DE VULNERABILIDADES, 20062015

Fuente: Symantec
7000
5000
6436
6253
6000
5562
4842
4989
4814
4644
6204
5685
5291
4000
3000
2000
1000
0
2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
Tal como se aprecia en el grfico, parece que desde el ao 2013 se impuso una tendencia a la baja, que se ha acentuado
claramente en 2015.
Symantec WSTR 2016
47
Sistemas virtualizados y en la nube

El trmino cloud computing o informtica en la nube
abarca una gran variedad de soluciones y entornos tcnicos,
como los modelos de software como servicio (SaaS), plataforma como servicio (PaaS) o infraestructura como servicio
(IaaS). Este ltimo cada vez se utiliza ms en las empresas
y, a medida que se transfiere a la nube una mayor cantidad
de datos y servicios, despierta ms inters entre los ciberdelincuentes y los expertos en seguridad. Como ocurre con
cualquier sistema, cada vez que se aade una capa nueva
al conjunto de servicios, aumenta la superficie de ataque.
Los entornos en la nube a veces presentan vulnerabilidades
comunes, como la inyeccin SQL, pero tambin pueden
verse afectados por otro tipo de problemas. Por ejemplo, en
2015 Symantec comprob que, cuando los usuarios (no los
proveedores de servicios) cometen errores de configuracin
y gestin, existe el riesgo de que accedan a los sistemas en
la nube personas no autorizadas. Adems, tambin se descubrieron 11 000 archivos accesibles pblicamente, algunos
de ellos con datos personales confidenciales. En el mercado
negro, es habitual la compraventa de credenciales robadas
para acceder a sistemas en la nube por un precio que no
suele alcanzar los 10 $.
con otros proveedores afectados han creado y distribuido

revisiones de seguridad para VENOM.
Hoy uno de cada seis (el 16 %) tipos de malware es capaz de
detectar la presencia de un entorno de mquinas virtuales,
mientras que en 2014 lo lograba uno de cada cinco (el
20%). Esta capacidad hace que sea ms difcil detectar el
malware, en especial en los sistemas de espacios aislados
de seguridad que utilicen la virtualizacin. Pero es ms
preocupante el hecho de que el ciberdelincuente sepa
cundo puede atacar e infectar a otras mquinas virtuales
del mismo sistema.
Aproximadamente, el 16 % del malware es capaz de
detectar un entorno de mquinas virtuales, y en el cuarto
trimestre la cifra lleg a rondar el 22 %.
Hoy es ms importante que nunca contar con un perfil de
seguridad eficaz para los sistemas virtuales. Es necesario
proteger las mquinas virtuales y los servicios en la nube
tanto como otros servicios y dispositivos. Las polticas de
seguridad deberan abarcar tanto la infraestructura virtual
como la fsica y, si se implantan sistemas de proteccin integrados en todas las plataformas, ser ms fcil mitigar este
tipo de problemas en el futuro.
Vulnerabilidades en la nube
Los sistemas en la nube no tienen por qu ser menos seguros que los servicios de TI tradicionales, pero en cualquier
caso los administradores tienen que asegurarse de que los
servicios en la nube estn bien configurados y de que todos
los datos cuenten con la suficiente proteccin. Adems,
deberan controlar el acceso a los sistemas en la nube, a ser
posible mediante autenticacin de dos factores.
Hay vulnerabilidades, como VENOM, que permiten a un
atacante salir de una mquina virtual husped y acceder
al sistema operativo anfitrin nativo, as como a otras
mquinas virtuales que se ejecuten en la misma plataforma.
As, los atacantes que aprovechen VENOM podran llegar
a robar datos confidenciales presentes en cualquiera de
las mquinas virtuales del sistema afectado, adems de
acceder a la red local del anfitrin y a sus sistemas. VENOM
(CVE-2015-3456) existi desde el ao 2004 en el hipervisor
de cdigo abierto QEMU, que suele estar instalado de forma
predeterminada en numerosas infraestructuras virtualizadas que utilizan Xen, QEMU y KVM. Hay que sealar que
VENOM no afecta a los hipervisores de VMware, Microsoft
Hyper-V y Bochs.
Hasta la fecha, no se ha tenido conocimiento de que la
vulnerabilidad VENOM haya sido aprovechada y, desde que
se sabe de su existencia, los desarrolladores de QEMU junto
Proteccin de la infraestructura de TI
Ante estas amenazas y otras muchas similares, siguen siendo
vlidos los consejos de siempre para cualquier tipo de servicio de infraestructura, como los servidores de archivos, los
servidores web y otros dispositivos conectados a Internet:
Mantngase al da acerca de las amenazas que van
surgiendo.
Instale siempre en los sistemas las ltimas revisiones de
seguridad y actualizaciones.
Implante un software de seguridad integrado que incluya
tecnologa contra el malware.
Adopte un firewall eficaz que permita solo el trfico
conocido y revise los registros de acceso peridicamente
para detectar actividad que parezca sospechosa.
Utilice varias capas de seguridad, de forma que si una falla
queden otras para proteger distintas reas del sistema.
Aplique las polticas correctas y forme bien a los empleados.
Controle los accesos segn un principio de privilegios
mnimos.
Implante sistemas de deteccin y prevencin de intrusiones en la red y supervise los servicios de correo
electrnico que se ejecutan en el servidor.
Guarde siempre las copias de seguridad fuera de las
instalaciones.
https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/mistakes-in-the-iaas-cloud-could-put-your-data-at-risk.pdf
http://www.symantec.com/connect/blogs/venom-vulnerability-could-expose-virtual-machines-unpatched-host-systems
Symantec WSTR 2016
48
A continuacin aadimos una serie de consideraciones que
Proteja la informacin est donde est
se deben tener en cuenta en lo que se refiere a los sistemas
Cuando las empresas transfieren sus sistemas de TI a en-
en la nube:
tornos virtuales y en la nube, se encuentran con dificultades

nuevas en materia de seguridad. Adems, como siempre, la
Proteja las credenciales utilizadas para acceder a las
propia naturaleza humana es una amenaza en s misma, y la
funciones de administracin en la nube y asegrese que
mala gestin de la seguridad lleva a la aparicin de sistemas
solo acceda a los datos quien realmente lo necesite.
de TI en la sombra, es decir, sistemas y soluciones que se
Asegrese de comprender bien la configuracin de los
utilizan dentro de una empresa sin la aprobacin explcita
recursos en la nube y elija los parmetros idneos.
de esta, o bien soluciones implantadas por personas que
Habilite el registro de eventos para saber siempre quin

accede a los datos en la nube.
Lea los acuerdos de nivel de servicio de los proveedores
no pertenecen al departamento de TI. A veces, resulta

facilsimo que un grupo de empleados recurra a productos
externos para resolver de inmediato una exigencia concreta.
de informtica en la nube para saber cmo se protegen
Los responsables de la infraestructura de TI de la empresa
los datos almacenados en la nube.
deberan tratar de entender por qu el personal acta sin
Asegrese de que las direcciones IP en la nube se

incluyan en los procesos de gestin de vulnerabilidades
consultar al departamento informtico para que lo oriente

en este tipo de decisiones.
y someta a auditoras cualquier servicio que se preste en

la nube.
Es importante que el director de sistemas est informado de

lo que se hace en la empresa y que sepa si ciertos equipos
buscan servicios o aplicaciones de los que carecen. A continuacin, tendr que decidir cmo satisfacer esa exigencia
y prestar el servicio necesario de forma segura. Contar con
los procesos adecuados es esencial para proteger la informacin y los datos, incluso cuando no estn almacenados
en la empresa.
http://www.symantec.com/connect/blogs/monitoring-shadow-it
Symantec WSTR 2016
49
La respuesta del sector

La tecnologa SSL/TLS sigue siendo crucial para el cifrado, la autenticacin y la
confidencialidad en Internet, pero en torno a ella hay una infraestructura de confianza
que se debe mantener y vigilar para que siga siendo eficaz, y el sector tiene que aprender
y adaptarse constantemente.
La evolucin del cifrado
El 11 de agosto de 1994 Daniel Kohn vendi un CD a un amigo de Filadelfia. Este pag 12,48 $ ms los gastos de envo
con tarjeta de crdito, en la primera transaccin de la historia
protegida con tecnologa de cifrado.
Al da siguiente, en el New York Times se publicaba lo
siguiente: Como cada vez se habla ms de las incidencias de
seguridad que tienen lugar en Internet, muchas personas y
empresas son reticentes a enviar datos confidenciales, como
nmeros de tarjeta de crdito, informacin sobre ventas o
mensajes de correo electrnico privados.
Veinte aos despus, las preocupaciones siguen siendo las
mismas, pero parece que estamos dispuestos a asumir el
riesgo, con la esperanza de que el banco venga en nuestro
auxilio si algo sale mal. Sin embargo, sin una infraestructura
SSL/TLS segura y slida, esta frgil confianza se derrumbar
y el comercio electrnico sencillamente dejar de funcionar.
Las cifras de la solidez

La eficacia de la tecnologa SSL/TLS ha avanzado muchsimo
desde 1994, y lo sigue haciendo: este mismo ao el sector ha
pasado del estndar SHA-1 al SHA-2.
Gracias al aumento de la potencia de procesamiento, ahora
a los hackers les resulta ms fcil descifrar algoritmos hash
mediante ataques de fuerza bruta y, segn numerosos expertos, los certificados basados en SHA-1 sern vulnerables dentro de muy poco tiempo. Por eso, los principales
navegadores han decidido dejar de admitir los certificados
SHA 1 durante los prximos dos aos, as que si un internauta intenta acceder a un sitio web que los utilice, ver una
advertencia de seguridad.
Coincidimos con Microsoft y Google en que se debera dejar

de emitir certificados SHA-1 a partir del 1 de enero de 2016,
y que pasado el 1 de enero de 2017 ya no se deberan considerar fiables, comentan fuentes de Mozilla. Incluso se ha
hablado de adelantar estas fechas para acelerar el cambio.
Symantec ofrece un servicio de actualizacin gratuito, pero
las grandes empresas tienen que garantizar que cuentan con
un plan de migracin para poner al da todos los dispositivos y aplicaciones que en este momento no reconozcan el
algoritmo SHA 2.
-
Hay motivos para el pnico?

La vulnerabilidad denominada FREAK, descubierta
en marzo de 2015, permita forzar el uso del cifrado
de exportacin (mucho menos eficaz del que se suele
usar hoy) a los atacantes que interceptaran la configuracin de una conexin segura entre un cliente y un
servidor afectado. De este modo, resultaba fcil descifrar el mensaje de la transaccin con los recursos
informticos disponibles en la actualidad.
SE CALCULA QUE INICIALMENTE

ERAN VULNERABLES A ESTE
ATAQUE LOS SERVIDORES DEL
9,6% DEL MILLN DE DOMINIOS DE SITIOS WEB PRINCIPALES. NUEVE MESES DESPUS, LO
SIGUE SIENDO EL 8,5 %.
http://www.fastcompany.com/3054025/fast-feed/youll-never-guess-what-the-first-thing-ever-sold-on-the-internet-was?partner=rss
http://www.nytimes.com/1994/08/12/business/attention-shoppers-internet-is-open.html
http://www.infoworld.com/article/2879073/security/all-you-need-to-know-about-the-move-to-sha-2-encryption.html
https://blog.mozilla.org/security/2014/09/23/phasing-out-certificates-with-sha-1-based-signature-algorithms/
http://www.symantec.com/connect/blogs/freak-vulnerability-can-leave-encrypted-communications-open-attack
https://freakattack.com
Symantec WSTR 2016
50
Control y equilibrio
Con el objetivo de fortalecer el ecosistema SSL/TLS, Symantec tambin ha propugnado la adopcin generalizada de la
autorizacin de la autoridad de certificacin (CAA) DNS, que
permite a una empresa o propietario de DNS especificar la
autoridad de certificacin (CA) que debe emitir los certificados que compre. Si una persona malintencionada o un
empleado que no conozca la poltica empresarial intenta
comprar un certificado de una CA que no est presente en la
lista de entidades aprobadas, dicha CA podr comprobar la
CAA y avisar de la solicitud al propietario de DNS.
De este modo, se reduce el riesgo de que se emitan certificados de origen dudoso en nombre de una empresa legtima
sin que esta lo sepa, lo cual a su vez contribuir a evitar que
los delincuentes consigan crear sitios web certificados para
lanzar ataques de phishing.
Adems, para mejorar la deteccin de los certificados de
origen dudoso, Symantec cumple con la exigencia de Google
de registrar todos los certificados EV emitidos en su registro
Certificate Transparency y, desde marzo de 2016, registra
tambin los certificados OV y DV. De este modo, junto con
un software que supervisa y audita los certificados y el uso
que se hace de ellos, este sistema crea un marco abierto
que permite a quien lo desee observar y verificar prcticamente en tiempo real los certificados SSL/TLS existentes y
recin emitidos, tal como dicen sus autores.
El salto a la tecnologa SSL Always-On

Segn un estudio de Sandvine, hoy se cifra casi el 40 % del
trfico de Internet descendente en Estados Unidos, y se
prev que a lo largo del ao este dato aumente para superar
Tipo de certificado
Validacin
del dominio
Cifrado
https
el 70 % del trfico mundial. Este aumento tan repentino se

debe a una serie de factores:
Adopcin por parte de grandes empresas. Varios de
los nombres con ms peso en Internet (como Facebook,
Twitter y, recientemente, Netflix) ya han adoptado el
protocolo HTTPS.
Preferencia por parte de los buscadores. En 2014
Google anunci que los sitios web que protegieran con
el protocolo HTTPS todas sus pginas tendran un mejor
posicionamiento en los resultados de las bsquedas, lo
cual ha animado a numerosos propietarios de sitios web
a adoptar este sistema.
Mejora de Internet. El Internet Engineering Task Force o
IETF (grupo de trabajo de ingeniera de Internet), entidad
encargada de crear estndares para Internet, public
en 2015 una nueva versin del protocolo de transferencia de hipertexto conocido como HTTP/2, que con toda
probabilidad a corto plazo se convertir en el estndar
del sector. Tal como especifica el borrador, el protocolo
HTTP/2 hace posible un uso ms eficiente de los recursos de la red, lo que significa que est diseado para
garantizar un rendimiento ms alto y una capacidad de
respuesta ms rpida para los sitios web. Adems, todos
los principales navegadores solo admitirn el protocolo
HTTP/2 con tecnologa SSL/TLS. En la prctica, esto
obliga a los sitios web que adopten el nuevo estndar a
cifrar toda la informacin.
Se espera que dentro de unos pocos aos todas las pginas
de Internet cuenten con un certificado SSL/TLS. Symantec
incluso est colaborando con los proveedores de alojamiento web para ayudarlos a incluir el cifrado en el servicio que
prestan a los propietarios de sitios web.
Validacin de Validacin de
la identidad
la direccin
Smbolo del
candado en
la interfaz de
usuario del
navegador
Barra de
direcciones
verde*
DV
Ninguna
No
No
OV
Buena
No
EV
Muy buena
*O un candado verde o algn signo verde en la barra de direcciones.

https://casecurity.org/2013/09/25/what-is-certification-authority-authorization/
https://knowledge.symantec.com/support/ssl-certificates-support/index?page=content&id=AR2177
https://www.certificate-transparency.org
https://www.sandvine.com/pr/2016/2/11/sandvine-70-of-global-internet-traffic-will-be-encrypted-in-2016.html
http://fortune.com/2015/04/30/netflix-internet-traffic-encrypted/
http://googlewebmastercentral.blogspot.co.uk/2014/08/https-as-ranking-signal.html
http://tools.ietf.org/pdf/draft-ietf-httpbis-http2-17.pdf
https://www.mnot.net/blog/2015/06/15/http2_implementation_status
https://www.hostpoint.ch/en/ssl/freessl.html
Symantec WSTR 2016
51
Mayor sensacin de seguridad

Varios de los principales navegadores tambin estn
Se trata solo de un ejemplo de la tendencia a tranquilizar a
mejorando sus indicadores de seguridad (los colores y
los internautas y a las personas que compran por Internet
smbolos utilizados en la barra de direcciones para indicar a
mediante indicadores de seguridad. As, los distintivos
los internautas el nivel de seguridad del sitio web), para que
de confianza y las garantas de compra contribuyen a
resulte claro cundo una pgina protegida con tecnologa
disipar los temores que tienen numerosos consumidores
SSL/TLS incluye contenido desprotegido vulnerable a los
cuando compran por Internet y no ven al propietario de la
ataques de interposicin Man-in-the-Middle. Dicho de
tienda en persona ni pueden tocar los productos que estn
otro modo, resultarn ms evidentes los casos en que el
adquiriendo.
sitio web no garantiza la seguridad de la conexin y el

peligro que esto implica.
Los nuevos indicadores de seguridad de Mozilla

Extrado de Mozillas Security Blog
VERSIN ANTERIOR
NUEVA VERSIN
Sitios con certificados DV

https://blog.mozilla.org/security
https://blog.mozilla.org/security
Sitios con certificados EV

Mozilla Foundation (US) https://mozilla.org/en-U
Mozilla Foundation (US) https://mozilla.org/en-U
Sitios con contenido mixto activo bloqueado

Mozilla Foundation (US) https://people.mozilla.
Mozilla Foundation (US) I https://people.mozilla.or
Sitios con contenido mixto activo permitido

https://people.mozilla.org/domainnametogohere
https://people.mozilla.org/domainnametogohere.htr
Sitios con contenido mixto activo cargado

https://people.mozilla.org/domainnametogohere.html
https://people.mozilla.org/domainnametogohere.ht
https://blog.mozilla.org/security/2015/11/03/updated-firefox-security-indicators-2/
https://www.nortonshoppingguarantee.com/
Symantec WSTR 2016
52

En esta seccin, abordamos lo que nos espera a partir de 2016, desde las tendencias
emergentes hasta los temas de debate nuevos y actuales. Hemos recopilado los asuntos
relacionados con la seguridad de los sitios web que sin duda darn que hablar y que
conviene tener presentes. Si quiere consultar peridicamente las ltimas novedades en
materia de seguridad, visite nuestro blog en Symantec Connect.
Tendencias al alza
Amenazas hbridas: ataques a sistemas mviles
Aumento del phishing
Como caba esperar, se prev que las amenazas a dispositivos mviles sigan proliferando en 2016. Tal vez pronto se
vendan en el mercado negro kits de intrusin para telfonos
similares a los que se utilizan para atacar ordenadores.
A pesar de la tendencia general a la baja de los ltimos

aos, ahora prevemos que el phishing aumente, por dos
motivos: por un lado, porque la gente cada vez consume
ms en Internet; por el otro, porque el acceso a Internet y
las transacciones electrnicas se estn difundiendo tambin
en los pases en vas de desarrollo.
Si a todo esto le sumamos que se estn creando servicios en
Internet para todo tipo de tareas cotidianas (pagar facturas,
pedir citas mdicas, solicitar plaza en la Universidad, gestionar cuentas de programas de fidelizacin, contratar un seguro, etc.), es evidente que los hackers se estarn frotando
las manos mientras planean ataques de phishing.
HTTPS en todas partes y para todos

Estn aumentando de forma considerable la promocin y
adopcin de certificados SSL/TLS (tanto entre particulares
como en las empresas) y estn surgiendo nuevas iniciativas para que todo el mundo pueda acceder al cifrado. Por
ejemplo, con los servicios de alojamiento o en la nube se
ofrece la posibilidad de adquirir tambin la tecnologa SSL/
TLS. Es muy probable que esta tendencia siga creciendo,
sobre todo en el mercado de los certificados con validacin
de dominio (DV).
Otro mbito que ahora despierta gran inters es la complejidad de la gestin de certificados SSL/TLS debido al flujo
interminable de hosts que hay que autenticar, proteger
y supervisar (vase la seccin relativa al Internet de las
cosas). De hecho, prevemos que siga aumentando el nmero
de servicios y herramientas de gestin, al tiempo que
mejora la concienciacin sobre las exigencias en materia
de seguridad. Podemos afirmar que esta tendencia se debe
en gran parte a que los medios de comunicacin cada vez
dedican ms espacio a las fugas de datos y a las amenazas
existentes para la seguridad informtica.
http://www.symantec.com/connect/symantec-blogs/symantec-security-response
Symantec WSTR 2016
Durante los ltimos tres aos, la cantidad de vulnerabilidades de los sistemas mviles ha ido aumentando, lo cual
tal vez sea un indicio de avance ms que un motivo de alarma. Si los expertos en seguridad, los sistemas operativos,
los desarrolladores y los creadores de aplicaciones detectan
y resuelven ms problemas, es porque prestan ms atencin
a la seguridad mvil. Aunque se prev que durante el prximo ao aumenten los ataques contra estos dispositivos,
tambin se espera que, si toman las medidas preventivas
adecuadas y siguen invirtiendo en seguridad, los usuarios
gocen de un buen nivel de proteccin.
Cada vez es ms necesario contar con las competencias adecuadas en materia de seguridad
Las amenazas cibernticas evolucionan muchsimo ms
rpido que nuestros conocimientos sobre ellas y nuestra
capacidad de tomar medidas de forma proactiva. No se trata
solo de que aumente la creatividad de los hackers, sino que
adems surge a diario una enorme cantidad de servicios
nuevos en Internet, y por lo general la prioridad para quien
los concibe es ofrecer algo nuevo, exclusivo, til o innovador. La seguridad siempre es una cuestin secundaria.
Otra triste realidad que explica esta situacin es que las
competencias necesarias para construir una red blindada
las tienen los malhechores del sector. Los empleados encargados de la seguridad de TI suelen contar con la formacin
necesaria ms que nada para crear y mantener una buena
infraestructura de red, pero muchas veces no estn preparados para afrontar todas las amenazas y vulnerabilidades
que afectan a una red empresarial. Es ms, rara vez saben
reconocer el perfil de un potencial hacker y no siempre
comprenden los motivos que podran llevarle a atacar a
la empresa. El hecho de que no se instalen las revisiones
necesarias en los servidores o se configuren mal las redes
no suele deberse solo a la pereza, sino a la desinformacin.
53
En este contexto, obviamente resulta muy difcil tomar medidas proactivas para evitar los ataques a las redes, pues los
nicos que podran hacerlo son los propios hackers.
Este es el motivo por el que prevemos que durante los
prximos aos siga creciendo el mercado de los hackers
autnomos de sombrero blanco y los consultores
especializados en seguridad informtica. Las empresas
empezarn a contratar a ms expertos en pruebas de
penetracin, hackers autnomos y consultores en materia
de seguridad informtica a medida que estos profesionales
vayan adquiriendo los conocimientos y las competencias
necesarios. Otro factor que impulsar el aumento de esta
demanda es la necesidad de cumplir las normativas, sobre
todo en ciertos sectores que manejan datos confidenciales,
como el bancario y el sanitario.
Temas candentes
La autenticacin ante todo
Ahora que las empresas cada vez prestan ms servicios en
Internet, deben tener muy en cuenta las exigencias de seguridad, as como trabajar con los clientes para concienciarlos
sobre este tema y ganarse su confianza. En este sentido, la
autenticacin de dos factores se est convirtiendo en algo
imprescindible. Incluso estn empezando a aparecer nuevas
soluciones para acabar con los sistemas de autenticacin
mediante contrasea, con el objetivo de reducir el riesgo de
phishing y los inevitables costes que conlleva.
Al mismo tiempo, Apple y Google estn haciendo todo lo
posible por proteger sus sistemas operativos y sus ecosistemas en general. En concreto, prevemos que mejoren tanto
las tcnicas utilizadas para validar y firmar las aplicaciones
como la forma de distribuirlas. Los usuarios tendrn que
acostumbrarse a que las aplicaciones y el sistema operativo de sus telfonos se actualicen con frecuencia, tal vez
automticamente de forma predeterminada, y asumirn que
los dispositivos mviles necesitan software de seguridad.
El Internet de las cosas desprotegidas

Aunque el concepto del Internet de las cosas no es nuevo
(se utiliz por primera vez en 1999), durante los ltimos dos
aos ha estado muy de moda esta expresin que principalmente se refiere al gran impacto que tienen los dispositivos
conectados en nuestra vida cotidiana: hoy Internet est en
todas partes.
a preocupaciones cada vez mayores por la seguridad de los

dispositivos conectados y las amenazas que estos podran
representar. En el mbito de la seguridad del Internet de
las cosas, el hacking de coches fue uno de los temas que
ms dio que hablar en 2015, y probablemente durante los
prximos aos se aborden ms asuntos similares. Una vez
ms, el hecho de que los medios de comunicacin presten
cada vez ms atencin a este tipo de cuestiones influye
mucho en la concienciacin sobre la seguridad del Internet
de las cosas.
Hacktivismo, terrorismo, responsabilidad

gubernamental y derecho a la confidencialidad
Hoy en las noticias se habla ms que nunca de hacktivismo y terrorismo. Internet no solo se est convirtiendo en
el principal canal para la propaganda y la comunicacin
entre extremistas, sino tambin en un lugar que permite
a dichos grupos mostrar su presencia y sus capacidades.
Las redes annimas como TOR ya no son algo exclusivo del
mercado negro, y no cabe duda de que durante los prximos
aos habr ataques cada vez ms espectaculares con fines
polticos o ideolgicos. Adems, sin duda es previsible que,
cuando se produzcan, las empresas y organizaciones sufran
daos colaterales.
Esta creciente presencia del hacktivismo en Internet ha
hecho que durante los ltimos aos los gobiernos hayan
prestado ms atencin a la comunicacin cifrada online.
Cuando Edward Snowden en 2013 sac a la luz la implicacin de ciertos gobiernos en programas de vigilancia,
la noticia no hizo ms que confirmar lo que muchos ya
sospechaban, pero fue una bomba para la opinin pblica.
Desde entonces, cada vez se habla ms de los motivos por
los que un gobierno puede tener derecho a espiar a alguien
de forma activa. Ahora que el Tribunal de Justicia Europeo
ha declarado nulo el acuerdo de puerto seguro, se ha
intensificado el debate sobre esta cuestin, que probablemente seguir ocupando titulares en 2016.

Saba que?
Symantec ha creado certificados raz especficos
para los usuarios del Internet de las cosas. Si
desea implantar certificados de este tipo en sus
dispositivos conectados, pngase en contacto con
nosotros.
Sin duda este asunto seguir siendo una tendencia importante durante los prximos aos. Sin embargo, el entusiasmo por vivir en un mundo conectado ya est dejando paso
https://help.yahoo.com/kb/SLN25781.html
http://www.theguardian.com/media-network/2015/mar/31/the-internet-of-things-is-revolutionising-our-lives-but-standards-are-a-must
Symantec WSTR 2016
54
Ivan Ristic nos habla de la

tecnologa TLS 1.3
La historia de la tecnologa Transport Layer Security
(TLS) comenz en 1994, con el lanzamiento de SSL
2.0, un protocolo mal diseado pero suficientemente
eficaz como para sustentar un boom de transacciones
electrnicas y uso comercial de Internet. A lo largo
de los siguientes 22 aos, seguimos perfeccionando
la seguridad conforme fuimos conociendo mejor la
criptografa, y la versin estable ms reciente con la que
contamos hoy es TLS 1.2, creada en 2008. Esta versin,
cuya adopcin se generaliz en 2013, hoy garantiza un
nivel de seguridad razonable para fines comerciales.
A pesar de lo mucho que se ha criticado al protocolo TLS
durante los ltimos aos, este ha resultado muy til,
como demuestra el ingente crecimiento que ha experimentado Internet y las pocas incidencias de seguridad
que se han producido por motivos relacionados con el
cifrado. Si acaso, podramos decir que la mayor parte de
los problemas de seguridad que tienen lugar en Internet
se deben a nuestra reticencia a implantar el cifrado o
a adoptar los protocolos ms recientes y eficaces. En
Internet se est avanzando bastante en este sentido,
pues los sitios web ms importantes estn mejorando su
seguridad a buen ritmo. Sin embargo, es probable que
la cantidad de sitios web cifrados no llegue al 10 % del
total. En lo que se refiere al correo electrnico, tambin
queda mucho por hacer. Por ejemplo, en enero de 2016
Gmail distribuy de forma segura el 82 % de su correo
electrnico, pero solo el 58 % de los mensajes entrantes
estaban cifrados. A diferencia de lo que ocurre con los
sitios web en general, cifrar correctamente el correo electrnico es una tarea fcil, porque una pequea cantidad
de proveedores manejan un gran porcentaje del correo
electrnico mundial. Por otro lado, la mayora de las empresas siguen prefiriendo que sus correos se enven sin
proteccin a que se produzcan fallos en la entrega.
Pero ahora las tornas han cambiado: es evidente que en
el Internet del futuro la informacin se cifrar de forma
eficaz.
A finales de 2012 se empez a trabajar en la prxima
versin del protocolo TLS, la 1.3, que estar lista dentro
de poco. Recientemente los desarrolladores han invitado a una serie de criptgrafos a examinar con atencin
los borradores del protocolo. Si aspiramos a crear un
Symantec WSTR 2016
protocolo eficaz que funcione bien durante los prximos

20 aos, tenemos que ponerlo a prueba ahora, antes de
que se implante. Al contrario de lo que parece sugerir el
discreto nmero de la versin, en realidad el protocolo
TLS 1.3 presenta diferencias considerables. Aparte de
mejorar la seguridad, presenta otra ventaja crucial:
tambin ser ms rpido (principalmente en lo que se
refiere a la latencia de la red, que es el nico cuello de
botella que sigue existiendo hoy).
En la prctica, el efecto inmediato ms relevante del
protocolo TLS 1.3 ser la eliminacin del cdigo basura
acumulado desde la primera versin de SSL, que segua
presente en la 1.2 y en las anteriores versiones. En
realidad, el mayor obstculo prctico que existe hoy a
la hora de garantizar la seguridad es la formacin: el
protocolo TLS 1.2 se puede configurar de forma que
garantice una buena proteccin, pero para ello hay que
saber evitar los numerosos escollos existentes. Aunque
existen manuales que explican cmo lograrlo, el proceso
no es nada sencillo. En la mayora de los casos, los
operadores del sitio web carecen de las competencias
necesarias o simplemente no estn suficientemente
motivados para abordar el problema. La respuesta a
corto plazo de la comunidad ha consistido en vincular
la seguridad a las mejoras de rendimiento. Por ejemplo,
el protocolo HTTP/2 solo se puede implantar con TLS
1.2 y siempre que se use un subconjunto de funciones
suficientemente seguras. A largo plazo, el protocolo TLS
1.3 ser seguro de forma predeterminada, independientemente de la configuracin.
Qu podemos hacer para prepararnos a la inminente
llegada de TLS 1.3? La clave est en empezar a pensar
dnde necesita garantizar la seguridad y cmo va a
conseguirlo. Si los lugares crticos dependen de terceros
(por ejemplo, si ha externalizado el alojamiento del sitio
web o utiliza aparatos de hardware), es imprescindible
que se ponga en contacto con sus proveedores cuanto
antes. Hgales saber que se preocupa por la seguridad,
y pdales que se comprometan a admitir las nuevas
funciones de seguridad en cuanto estn disponibles.
Al fin y al cabo, no solo est en juego su
seguridad, sino tambin el rendimiento
de sus sitios web.
55
Consejos y prcticas recomendadas

Para que los sistemas que garantizan la seguridad de los sitios web sean eficaces, hay
que implantarlos con cuidado, as como llevar a cabo una supervisin y mantenimiento
constantes. Existen herramientas que contribuyen a proteger el ecosistema del sitio web,
pero todo empieza por la formacin. Ahora que ya conoce los riesgos, descubra lo que
puede hacer al respecto.
Adopte los estndares del sector
Utilice la tecnologa SSL Always-On. Proteja con
el protocolo SSL/TLS todas las pginas para que
se cifren todas las interacciones entre el sitio web
y el internauta. Al adoptar este sistema, tambin
llamado HTTPS Everywhere, con certificados SSL/
TLS OV o EV, demostrar su credibilidad y mejorar su
posicionamiento en los resultados de las bsquedas.
Adems, allanar el camino para la adopcin de HTTP/2,
que mejora el rendimiento.
Migre al algoritmo SHA-2. Tal como se explica en
este informe, las autoridades de certificacin deberan
haber dejado de emitir certificados SHA-1 a partir del
1 de enero de 2016, pero tiene que comprobar que se
actualicen tambin todos los certificados antiguos, al
igual que los dispositivos y las aplicaciones que en este
momento no reconozcan el algoritmo SHA-2.
Considere la posibilidad de adoptar el algoritmo
ECC. Symantec tambin ofrece la posibilidad de usar el
algoritmo de cifrado ECC. Los principales navegadores,
incluidos los mviles, admiten certificados ECC en todas
las plataformas recientes, y las claves ECC de 256 bits
son 64 000 veces ms difciles de descifrar que las claves
RSA de 2084 bits de uso estndar en el sector.
Utilice la tecnologa SSL/TLS correctamente

Los certificados SSL y TLS son eficaces solo si se instalan y
mantienen correctamente, as que no olvide lo siguiente:
Mantenga actualizadas las bibliotecas de protocolos.
La implantacin de SSL/TLS es una tarea constante
y resulta imprescindible instalar lo antes posible las
actualizaciones y revisiones del software que utilice.
No permita que sus certificados caduquen. Tenga
siempre bajo control los certificados con los que cuenta,
la autoridad de certificacin que los ha emitido y su
fecha de caducidad. Symantec ofrece una serie de
herramientas de automatizacin que facilitan esta tarea,

con lo que tendr ms tiempo para abordar cuestiones
de seguridad de forma proactiva.
Muestre distintivos de confianza conocidos (como el
sello Norton Secured) en zonas bien visibles de su sitio
web para demostrar a los clientes que se toma en serio
su seguridad.
Gestione las claves SSL/TLS correctamente. Limite
el nmero de personas con acceso a ellas; compruebe
que quien se ocupa de administrar las contraseas del
servidor donde se guardan las claves no sea el mismo
que gestiona los sistemas en los que se almacenan las
claves; y utilice sistemas automatizados de gestin
de claves y certificados para reducir la necesidad de
intervenciones humanas.
Adopte una solucin completa para la seguridad

de los sitios web
Haga anlisis peridicos. Vigile sus servidores web para
detectar posibles vulnerabilidades o infecciones con
malware. Para ello, resultan muy tiles las herramientas
de automatizacin.
Utilice un antivirus. El software antivirus no es solo
para los ordenadores y smartphones, sino tambin para
los servidores, y podra ayudar a evitar un grave ataque
con malware contra toda la infraestructura del sitio web.
Instale solo los complementos realmente tiles.
Tambin el software que utiliza para gestionar el sitio
web presenta vulnerabilidades. Cuantos ms programas
de terceros utilice, mayor ser la superficie de ataque,
as que implante solo lo que sea imprescindible.
Tenga en cuenta todo el ecosistema. Ha implantado
un firewall para aplicaciones web que evite los daos de
los ataques de inyeccin? Su sistema de firma de cdigo
garantiza la seguridad de sus aplicaciones web? Cuenta
con herramientas automatizadas que detecten y eviten
los ataques DDoS, un problema cada vez ms habitual?
Symantec ofrece una gama de herramientas con las que la tarea de garantizar la seguridad
completa de los sitios web resulta sencilla y eficiente.
http://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsa
https://www.symantec.com/en/uk/complete-website-security/
http://www.symantec.com/page.jsp?id=seal-transition
Symantec WSTR 2016
56
Conciencie a sus empleados

Como siempre, para que sus sitios web y servidores estn
Implante un sistema que permita encontrar el dispositivo

y borrar sus datos a distancia.
bien protegidos este ao, guese por el sentido comn y
Actualice el software peridicamente. Por ejemplo, la
adopte los hbitos de seguridad que le recomendamos a
ltima versin de Android, cuyo nombre en clave es
continuacin.
Honeycomb, incluye una serie de funciones diseadas
Asegrese de que los empleados no abran archivos

adjuntos de gente que no conozcan.
Aydeles a reconocer los peligros que acechan en las
redes sociales. Explqueles que, si una oferta parece
falsa, seguramente lo sea; que la mayora de las estafas
estn relacionadas con noticias de actualidad; y que las
pginas de inicio de sesin a las que conducen algunos
enlaces pueden ser una trampa.
Si un sitio web o aplicacin ofrece autenticacin de dos
factores, dgales que elijan siempre esta opcin.
Pdales que usen contraseas distintas para cada cuenta
de correo electrnico, aplicacin, sitio web o servicio
(sobre todo si estn relacionados con el trabajo).
Recurdeles que usen el sentido comn. No por tener un
antivirus es menos grave visitar sitios web dainos o de
naturaleza dudosa.
Aplique controles de acceso eficaces para proteger los
servidores y las claves privadas segn un principio de
privilegios mnimos.
Proteja los dispositivos mviles

Recomendamos tanto a los particulares como a las empresas
que traten los dispositivos mviles como lo que son:
potentes ordenadores de pequeas dimensiones. Para
protegerlos como les corresponde, tome las siguientes
medidas:
Controle el acceso, a ser posible con tecnologa
biomtrica.
Adopte un sistema para evitar las prdidas de datos (por
especialmente para detener a los atacantes.

No recurra al llamado jailbreak (consistente en
modificar el sistema operativo para permitir la
instalacin de aplicaciones no autorizadas por el
fabricante) y compre las aplicaciones solo en mercados
de confianza.
Forme a los usuarios, especialmente en lo que se refiere
a tener cuidado con los permisos que solicita una
aplicacin.
Implante soluciones de seguridad como Symantec
Mobility o Norton Mobile Security.
La seguridad es responsabilidad de todos

La confianza de los consumidores se construye con
numerosas interacciones que tienen lugar en diferentes
sitios web pertenecientes a innumerables empresas.
Pero basta una mala experiencia (un robo de datos o una
descarga no autorizada) para manchar la reputacin de
todos los sitios web en la mente de la gente.
Como decamos al comienzo del informe, este ao es
un buen momento para reducir el nmero de ataques
cibernticos que se salen con la suya y para limitar
los riesgos que puede suponer su sitio web para los
consumidores, pero es imprescindible que se implique y
tome medidas concretas.
Adopte Symantec Website Security en 2016 y, con nuestra
ayuda, haga que sea un ao positivo para la seguridad
informtica y psimo para los ciberdelincuentes.
ejemplo, el cifrado en el dispositivo).

Haga copias de seguridad del dispositivo de forma
automatizada.
http://www.symantec.com/connect/blogs/how-android-s-evolution-has-impacted-mobile-threat-landscape
http://www.symantec.com/mobility/
https://us.norton.com/norton-mobile-security
Symantec WSTR 2016
57
Si desea los nmeros de telfono de algn pas en concreto, consulte nuestro sitio web.
Para obtener informacin sobre productos, llame al:
900 931 298 o al +353 1 793 9076
Symantec Espaa
Symantec Spain S.L.
Parque Empresarial La Finca Somosaguas
Paseo del Club Deportivo, Edificio 13, oficina D1, 28223
Pozuelo de Alarcn, Madrid, Espaa
www.symantec.es/ssl
Queda prohibida la reproduccin total o parcial de este documento tcnico sin el consentimiento previo por escrito de su autor.
Copyright 2016 Symantec Corporation. Reservados todos los derechos. Symantec, el logotipo de Symantec, el logotipo de la
marca de comprobacin, Norton Secured y el logotipo de Norton Secured son marcas comerciales o marcas comerciales registradas
en los Estados Unidos y en otros pases por Symantec Corporation o sus filiales. Los dems nombres pueden ser marcas comerciales
de sus respectivos propietarios

Leer Amenazas Celulares WSTR-Report-ES

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Leer Amenazas Celulares WSTR-Report-ES

Загружено:

Авторское право:

Доступные форматы

INFORME COMPLETO

Introduccin del WSTR (informe sobre amenazas

Reduccin del riesgo

La vctima no es solo el dispositivo o la red,

La vctima no es solo el dispositivo o la red,

Symantec WSTR 2016

Qu dispositivos pueden acabar en una botnet? 37

La respuesta del sector

Qu nos depara el futuro?

Symantec Global Intelligence Network

productos de consumo Norton,

Los datos de spam, phishing o malware se

Symantec mantiene una de las

cinco millones de cuentas seuelo;

Skeptic, la tecnologa heurstica

mensajes de correo electrnico al mes y se filtran ms

Secured aparece casi mil millones de veces al da en sitios

Symantec tambin recopila informacin sobre phishing a

web de 170 pases, as como en los resultados de las

travs de una amplia comunidad antifraude de empresas,

bsquedas si se utilizan navegadores compatibles.

proveedores de seguridad y ms de 50 millones de consumidores.

Gracias a estos recursos, los analistas de Symantec cuentan

Symantec Website Security protege ms de un milln de

analizar e interpretar las nuevas tendencias en materia de

servidores web y garantiza una disponibilidad ininterrum-

ataques, malware, phishing y spam. Con todos estos datos,

pida desde el ao 2004. Esta infraestructura de validacin

elaboran el informe anual sobre las amenazas para la segu-

permite comprobar si un certificado digital X.509 se ha

ridad de los sitios web, que ofrece a las empresas de todos

revocado o no mediante el protocolo de estado de certifica-

los tamaos y a los consumidores informacin esencial para

dos en lnea (OCSP) y procesa a diario ms de 6000millones

proteger sus sistemas de forma eficaz tanto ahora como en

de consultas de este tipo en todo el mundo. El sello Norton

Symantec WSTR 2016

Introduccin del WSTR (informe sobre amenazas

Los sitios web an corren el riesgo de infectarse

Symantec WSTR 2016

Las tres cuartas partes de los sitios web analizados por

Seguridad completa para los sitios web

La conclusin es evidente: las empresas tienen que adoptar

Acontecimientos destacados del ao 2015

Symantec WSTR 2016

En 2015 aumentaron prcticamente todos los indicadores

Cuando emite certificados con validacin de dominio (DV),

relacionados con las fugas de datos; en particular, se

la autoridad de certificacin comprueba que el contacto del

batie-ron rcords en la cantidad de ataques, identidades

dominio en cuestin apruebe la solicitud del certificado (por

robadas y megafugas. En cuanto a las fugas de alto ries-

lo general, por correo electrnico o por telfono), algo que

go, resulta sorprendente el puesto destacado que ocupan

suele ser automtico. En consecuencia, estas soluciones sue-

sectores como el de las aseguradoras y el de la hostelera,

len ser ms baratas que los certificados SSL con Extended

que despiertan el inters de los delincuentes porque son

Validation (EV), los cuales exigen un proceso de validacin y

una fuente de datos privados, como nmeros de tarjeta

de crdito o informacin sanitaria. Es probable que los

Es cierto que, cuando se utilizan certificados con DV, se

Transicin a una autenticacin ms rigurosa

propietario, con lo que se deja la pista libre para los delin-