Вы находитесь на странице: 1из 110

Informe anual sobre ciberseguridad de 2017 de Cisco

Contenido
RESUMEN EJECUTIVO Y PRINCIPALES CONCLUSIONES.......3 COMPORTAMIENTO DEL DEFENSOR ....................................42
INTRODUCCIÓN........................................................................8 Vulnerabilidades en disminución en el 2016.......................42
LA EXPANSIÓN DE LA SUPERFICIE DE ATAQUE...................10 Middleware: los adversarios ven una oportunidad
en el software sin parches..................................................44
COMPORTAMIENTO DEL ATACANTE.................................... 13
Tiempo de implementación de parches: cierre del
La fase de reconocimiento..................................................13 plazo de recuperación.........................................................45
Métodos de ataque web: las amenazas
ESTUDIO COMPARATIVO SOBRE LAS
de “cola corta” permiten que los adversarios
CAPACIDADES DE SEGURIDAD DE 2017 DE CISCO.............49
sienten las bases para las campañas..................................13
Percepciones: los profesionales de seguridad
La fase armamentista..........................................................15 confían en las herramientas, pero tienen dudas
Vectores de ataque web: el uso de Flash está respecto a si las usan en forma eficaz................................49
disminuyendo, pero los usuarios deben Restricciones: el tiempo, el talento y el dinero afectan
mantenerse alertas..............................................................15 la capacidad de responder ante las amenazas....................51
Seguridad de las aplicaciones: administración Impacto: más organizaciones sufren pérdidas
del riesgo de la conexión OAuth en medio de a causa de las infracciones.................................................55
una explosión de aplicaciones............................................16
Resultados: un mayor escrutinio influirá en las
La fase de distribución........................................................20 mejoras de seguridad..........................................................58
La desaparición de los principales kits de ataques Confianza frente a costo: ¿qué factor impulsa
presenta oportunidades para usuarios más pequeños las compras de seguridad?.................................................61
y nuevos participantes.........................................................20 Resumen: aportes del Estudio comparativo.........................62
Publicidad maliciosa: los adversarios usan
agentes para aumentar la velocidad y la agilidad................22 SECTOR...................................................................................64
De acuerdo con la investigación, el 75 % de las Seguridad de la cadena de valor: el éxito en
organizaciones se ven afectadas por infecciones un mundo digital depende de la mitigación
por adware..........................................................................23 de los riesgos de terceros...................................................64
El volumen de correos electrónicos no deseados Actualización geopolítica: encriptación,
a nivel mundial está creciendo del mismo modo confianza y necesidad de transparencia..............................65
que lo hace el porcentaje de archivos Cifrado de alta velocidad: una solución escalable
adjuntos maliciosos.............................................................25 para proteger los datos en tránsito.....................................66

La fase de instalación..........................................................30 Adopción y rendimiento de la red frente


a madurez de la seguridad..................................................67
Métodos de ataque web: las instantáneas
de “cola larga” revelan amenazas que los CONCLUSIÓN.........................................................................71
usuarios pueden evitar con facilidad...................................30 Una superficie de ataque de rápida expansión
Riesgo vertical de hallazgos de malware: requiere un enfoque interconectado e integrado
los atacantes ven el valor en todos los ámbitos..................31 para la seguridad................................................................71
Descripción general regional de la actividad El objetivo principal: reducir el espacio operativo
de bloqueo web..................................................................32 de los adversarios...............................................................73
Tiempo de detección: una métrica fundamental
para medir el progreso de los defensores...........................33 ACERCA DE CISCO.................................................................74

Tiempo de desarrollo: en el caso de algunas Colaboradores del Informe anual de


amenazas, el cambio es constante.....................................34 ciberseguridad de 2017 de Cisco.......................................75

APÉNDICE...............................................................................78

2 Contenido
Informe anual sobre ciberseguridad de 2017 de Cisco

Resumen ejecutivo
A medida que la superficie de ataque aumenta de tamaño, los defensores
deben centrarse en su objetivo más importante: reducir el espacio operativo
de los adversarios.

Los adversarios tienen más herramientas que nunca a su reunidos por los investigadores de Cisco y otros expertos.
disposición. También tienen una idea clara de cuándo utilizar Nuestra información de investigación y consideraciones están
cada una de ellas para lograr el máximo efecto. El intenso diseñadas para ayudar a las organizaciones a responder con
crecimiento de terminales móviles y del tráfico en línea juega eficacia a las amenazas en rápida evolución y sofisticadas de
a su favor. Tienen más espacio en el que pueden operar y más la actualidad.
opciones de objetivos y enfoques.

Los defensores pueden usar una variedad de estrategias Este informe se divide en las siguientes secciones:
para afrontar los desafíos de un panorama de amenazas
en expansión. Pueden adquirir las mejores soluciones que Comportamiento del atacante
funcionan por separado para brindar información y protección. En esta sección, analizamos cómo los atacantes reconocen
Además, pueden competir por personal en un mercado en redes vulnerables y distribuyen malware. Explicamos de qué
el que el personal talentoso escasea y los presupuestos manera las herramientas, como el correo electrónico, las
son ajustados. aplicaciones de la nube de terceros y el adware, se convierten
en un arma. Además, describimos los métodos que los
Quizás no sea posible detener todos los ataques. Sin embargo,
ciberdelincuentes utilizan durante la fase de la instalación
sí es posible minimizar el peligro y el impacto de las amenazas
de un ataque. En esta sección, también presentamos nuestra
al limitar el espacio operativo de los adversarios y, así, su
investigación “tiempo de desarrollo” (TTE), a través de la cual
capacidad para poner en riesgo los recursos. Una medida
se muestra cómo los adversarios mantienen sus tácticas al día
que usted puede tomar consiste en simplificar su conjunto de
y evaden la detección. También ofrecemos una actualización
herramientas de seguridad convirtiéndolo en una arquitectura
sobre nuestros esfuerzos para reducir el tiempo medio de
de seguridad integrada e interconectada.
detección (TTD) promedio. Además, presentamos la última
Las herramientas de seguridad integrada que funcionan juntas investigación de Cisco sobre el riesgo de malware para
en una arquitectura automatizada pueden optimizar el proceso diversos sectores y regiones geográficas.
para detectar y mitigar amenazas. De este modo, tendrá
tiempo para abordar problemas más complejos y persistentes. Comportamiento del defensor
Muchas organizaciones usan por lo menos media docena de En esta sección, ofrecemos actualizaciones sobre las
soluciones de diversos proveedores (página 53). En muchos vulnerabilidades. Un enfoque es en las debilidades emergentes
casos, los equipos de seguridad pueden investigar solo la en las bibliotecas de middleware que presentan oportunidades
mitad de las alertas que reciben en un día determinado. para que los adversarios utilicen las mismas herramientas
En el Informe anual sobre ciberseguridad de 2017 de Cisco en varias aplicaciones, lo que reduce el tiempo y el costo
se incluye información sobre investigación, consideraciones necesarios para poner en riesgo a los usuarios. También
y perspectivas obtenidas por Cisco Security Research. compartimos la investigación sobre las tendencias de
Resaltamos la incesante dinámica de “tira y afloja” entre los implementación de parches de Cisco. Observamos el beneficio
adversarios que intentan conseguir más tiempo para operar de ofrecerles a los usuarios un flujo regular de actualizaciones
y los defensores que trabajan para eliminar las oportunidades para fomentar la adopción de versiones más seguras de
que los atacantes intentan aprovechar. Analizamos los datos navegadores web y soluciones de productividad comunes.

3 Resumen ejecutivo y principales conclusiones


Informe anual sobre ciberseguridad de 2017 de Cisco

Estudio comparativo sobre capacidades de seguridad Sector


de 2017 de Cisco En esta sección explicamos la importancia de garantizar
En esta sección se describen los resultados del tercer Estudio la seguridad de la cadena de valor. Analizamos el daño
comparativo sobre capacidades de seguridad, que se centra potencial de que los gobiernos almacenen información sobre
en la percepción de los profesionales de seguridad acerca vulnerabilidades y ataques de día cero en los productos de los
del estado de la seguridad en sus organizaciones. Este año, proveedores. Además, analizamos el uso de la encriptación
los profesionales de seguridad parecen tener confianza en las rápida como una solución para proteger los datos en entornos
herramientas a su disposición, pero tienen dudas respecto a si de alta velocidad. Por último, describimos los desafíos de
estos recursos pueden ayudarlos a reducir el espacio operativo la seguridad en la organización a medida que el tráfico de
de los adversarios. De acuerdo con el estudio, las infracciones Internet global y la superficie potencial de ataque crecen.
de seguridad públicas tienen un impacto mensurable en las
oportunidades, los ingresos y los clientes. Al mismo tiempo, Conclusión
las infracciones impulsan las mejoras en materia de tecnología
En nuestra conclusión sugerimos que los defensores adapten
y proceso en las organizaciones.
las prácticas de seguridad para que puedan sortear mejor
Para un análisis detallado sobre el estado de la seguridad
los desafíos de seguridad típicos que supone toda la cadena
en las organizaciones, vaya a la página 49.
de ataque y reducir el espacio operativo de los adversarios.
En esta sección también se ofrece orientación específica
sobre cómo establecer un enfoque integrado y simplificado
para la seguridad: uno que conectará el liderazgo ejecutivo,
las políticas, los protocolos y las herramientas para prevenir,
detectar y mitigar amenazas.

4 Resumen ejecutivo y principales conclusiones


Informe anual sobre ciberseguridad de 2017 de Cisco

Principales conclusiones
●● En el 2016, tres principales kits de ataque (Angler, ●● De acuerdo con una investigación de Cisco que incluyó
Nuclear y Neutrino) desaparecieron del panorama y, 130 organizaciones de mercados verticales, el 75 % de
en consecuencia, dieron lugar a que usuarios más dichas empresas sufren infecciones por adware. Los
pequeños y nuevos dejen su huella. adversarios pueden llegar a utilizar estas infecciones
para facilitar otros ataques de malware.
●● De acuerdo con el Estudio comparativo sobre
capacidades de seguridad de 2017 de Cisco, la mayoría ●● Cada vez en mayor medida, los operadores que están
de las empresas utilizan más de 5 proveedores de detrás de las campañas de publicidad maliciosa utilizan
seguridad y más de 5 productos de seguridad en su agentes (también denominados “puertas”). Los agentes
entorno. El 55 % de los profesionales de seguridad les permiten moverse con mayor velocidad, mantener su
utiliza al menos 6 proveedores, el 45 % utiliza de espacio operativo y evadir la detección. Estos enlaces
1 a 5 proveedores y el 65 % utiliza 6 productos o más. intermediarios permiten que los adversarios pasen
rápidamente de un servidor malicioso a otro sin cambiar
●● Los principales obstáculos a la hora de adoptar los el redireccionamiento inicial.
productos y las soluciones de seguridad avanzada, según
el Estudio comparativo, son el presupuesto (mencionado ●● El correo electrónico no deseado representa casi dos
por el 35 % de los encuestados), la compatibilidad de los tercios (65 %) del volumen total de correos electrónicos.
productos (28 %), la certificación (25 %) y profesionales De acuerdo con nuestra investigación, el volumen de
capacitados (25 %). correos electrónicos no deseados a nivel mundial está
creciendo debido a botnets extendidos y en crecimiento
●● Según el Estudio comparativo sobre capacidades de que envían correos electrónicos no deseados. Según
seguridad de 2017 de Cisco, las organizaciones, debido los investigadores de amenazas de Cisco, alrededor
a los distintos obstáculos, pueden investigar solo el 56 % del 8 al 10 % de los correos electrónicos no deseados
de las alertas que reciben en un día determinado. La observados en 2016 en todo el mundo podrían
mitad de las alertas investigadas (28 %) se consideran clasificarse como maliciosos. Además, el porcentaje de
legítimas y menos de la mitad (46 %) de las alertas correos electrónicos no deseados con archivos adjuntos
legítimas se corrigen. Además, el 44 % de los gerentes maliciosos está aumentando, y los adversarios parecen
de operaciones de seguridad ven más de 5000 alertas estar probando una amplia variedad de tipos de archivos
de seguridad por día. para que sus campañas resulten exitosas.
●● El 27 % de las aplicaciones de la nube de terceros ●● Según el Estudio comparativo sobre capacidades de
conectadas introducidas por los empleados en entornos seguridad, las organizaciones que aún no han sufrido una
empresariales en el 2016 plantearon un alto riesgo de infracción a la seguridad pueden creer que sus redes son
seguridad. Las conexiones de autenticación abierta seguras. Probablemente esta confianza sea inadecuada,
(OAuth) entran en contacto con la infraestructura si se tiene en cuenta que el 49 % de los profesionales de
corporativa y pueden comunicarse libremente con las seguridad encuestados indicaron que sus organizaciones
plataformas de la nube y de software como servicio han tenido que enfrentarse al escrutinio público tras una
(SaaS) corporativas después de que los usuarios infracción a la seguridad.
otorgan acceso.

5 Resumen ejecutivo y principales conclusiones


Informe anual sobre ciberseguridad de 2017 de Cisco

●● Conforme al Estudio comparativo sobre capacidades ●● Las vulnerabilidades en el middleware (software que
de seguridad de 2017 de Cisco, casi un cuarto de las funciona como un puente o conector entre plataformas
organizaciones que han sufrido un ataque perdieron o aplicaciones) están siendo más evidentes, lo que
oportunidades de negocio. Cuatro de cada diez genera inquietudes respecto a que el middleware se está
expresaron que esas pérdidas fueron importantes. convirtiendo en un vector de amenaza popular. Muchas
Una de cada cinco organizaciones perdió clientes empresas utilizan middleware, de modo que la amenaza
debido a un ataque, y casi el 30 % perdió ingresos. podría afectar a todos los sectores. Durante el transcurso
de un proyecto de Cisco®, nuestros investigadores de
●● De acuerdo con los encuestados en el estudio amenazas descubrieron que una importante cantidad de
comparativo, cuando se produjeron infracciones, las nuevas vulnerabilidades analizadas se debían al uso de
operaciones y las finanzas eran las funciones con más middleware.
probabilidades de verse afectadas (el 36 % y el 30 %,
respectivamente), seguidas por la reputación y la ●● El flujo de actualizaciones de software puede afectar
retención de clientes (26 % en ambos casos). el comportamiento del usuario cuando se trata de
instalar parches y actualizaciones. Según nuestros
●● Las interrupciones en la red que se deben a las investigadores, las actualizaciones periódicas
infracción a la seguridad pueden, a menudo, tener un y previsibles conllevan una actualización de software
impacto duradero. Según el estudio comparativo, el 45 % más rápido de parte de los usuarios, y esto reduce
de las interrupciones duró de 1 a 8 horas, el 15 % duró el tiempo durante el cual los adversarios pueden
de 9 a 16 horas y el 11 % duró de 17 a 24 horas. El 41 % aprovechar vulnerabilidades.
(consulte la página 55) de las interrupciones afectó entre
el 11 % y el 30 % de los sistemas. ●● Según el Estudio comparativo sobre capacidades de
seguridad de 2017, la mayoría de las organizaciones
dejan en manos de proveedores de terceros al menos
el 20 % de la seguridad, y las que utilizan estos recursos
en mayor medida tienen más probabilidades de expandir
su uso en el futuro.

6 Resumen ejecutivo y principales conclusiones


Introducción
Informe anual sobre ciberseguridad de 2017 de Cisco

Introducción
Los adversarios disponen de un amplio y variado portafolio de les resultará extremadamente difícil obtener acceso a recursos
técnicas para tener acceso a recursos de las organizaciones valiosos de la empresa y llevar a cabo sus actividades sin que
y para obtener tiempo ilimitado para operar. Sus estrategias sean detectados.
cubren todos los aspectos básicos e incluyen lo siguiente:
La automatización es fundamental para lograr este objetivo.
●● Aprovechar los intervalos en la implementación de parches y las Esta permite comprender qué se considera actividad normal
actualizaciones. en el entorno de red, para que usted pueda destinar pocos
●● Hacer caer a los usuarios en trampas de ingeniería social.
recursos a la investigación y resolver las verdaderas amenazas.
Simplificar las operaciones de seguridad también le permite
●● Introducir malware en contenido en línea supuestamente ser más eficaz a la hora de eliminar el espacio operativo
legítimo, como en las publicidades. ilimitado de los adversarios. Sin embargo, de acuerdo con
el Estudio comparativo, la mayoría de las organizaciones
A su vez, cuentan con muchas otras funcionalidades: desde el
utilizan más de cinco soluciones de más de cinco proveedores
aprovechamiento de las vulnerabilidades de middleware hasta
(página 53).
el envío de correos electrónicos no deseados maliciosos.
Una vez que alcanzan sus objetivos, pueden apagar sus Una red compleja de tecnología de este tipo y la enorme
operaciones en forma rápida y silenciosa. cantidad de alertas de seguridad son los ingredientes de una
receta para menos protección, no para más. Naturalmente,
Los adversarios trabajan sin cesar para desarrollar
incorporar más personas talentosas en materia de seguridad
sus amenazas, se mueven incluso con más velocidad
puede ser de ayuda. Con más expertos incorporados,
y encuentran maneras de ampliar el espacio operativo.
según la lógica, mejor la capacidad de la organización para
El intenso crecimiento del tráfico de Internet (impulsado,
administrar la tecnología y obtener mejores resultados. Sin
en gran parte, por velocidades móviles más rápidas y la
embargo, con el escaso personal capacitado en materia
proliferación de dispositivos en línea) juega a su favor, ya
de seguridad y los presupuestos de seguridad limitados,
que contribuye con la expansión de la superficie de ataque.
contratar desaforadamente es muy poco probable. En cambio,
A medida que eso sucede, los riesgos para las empresas
la mayoría de las organizaciones debe conformarse con el
son cada vez mayores. Según el Estudio comparativo sobre
personal capacitado que tengan. Utilizan personal capacitado
capacidades de seguridad de 2017 de Cisco, más de un tercio
tercerizado para agregar consistencia a sus equipos de
de las organizaciones que han sufrido un ataque perdió el
seguridad sin salirse del presupuesto.
20 % de sus ingresos o más. El 49 % de los encuestados dijo
que su empresa se ha enfrentado al escrutinio público debido La respuesta real para superar estos desafíos, como
a una infracción a la seguridad. explicamos más adelante en este informe, es poner en
funcionamiento a personas, procesos y tecnología de
¿Cuántas empresas pueden sufrir un daño de este tipo en
forma integrada. Poner en funcionamiento la seguridad es
su aspecto más fundamental sin perder su solidez? Los
comprender realmente lo que la empresa necesita proteger,
defensores deben centrar sus recursos en reducir el espacio
así como las medidas que deben tomarse para proteger esos
operativo de los adversarios. De esta manera, a los atacantes
recursos fundamentales.

El informe anual de ciberseguridad 2017 de Cisco presenta nuestros últimos avances en el sector de seguridad, diseñados
para ayudar a organizaciones y usuarios a defenderse contra ataques. También observamos las técnicas y estrategias que
los atacantes utilizan para penetrar estas defensas. El informe además resalta importantes descubrimientos del Estudio
comparativo de capacidades de seguridad 2017 de Cisco, el cual examina la postura de seguridad de las empresas
y sus percepciones respecto de su preparación para defenderse de los ataques.

8 Introducción
La expansión de la
superficie de ataque
Informe anual sobre ciberseguridad de 2017 de Cisco

La expansión de la
superficie de ataque
Dispositivos móviles. Nube pública. Infraestructura de la nube. y analizado los factores dinámicos que facilitan el crecimiento
Comportamiento del usuario. Los profesionales de seguridad de la red. Analice las siguientes estadísticas del informe más
que participaron en el tercer Estudio comparativo sobre reciente La era del zettabyte: tendencias y análisis:²
capacidades de seguridad anual de Cisco citaron todos esos
elementos como principales fuentes de preocupación cuando ●● El tráfico IP global anual superará el umbral de zettabyte en
piensan en el riesgo de exposición a un ataque cibernético el 2016 y alcanzará los 2,3 zettabytes por año para el 2020.
que corre su organización (figura 1). Esto es comprensible: Un zettabyte corresponde a mil exabytes o a mil millones de
la proliferación de dispositivos móviles genera más terminales terabytes. Eso significa que el tráfico IP global en los próximos
para proteger. La nube está expandiendo el perímetro de 5 años será 3 veces mayor.
seguridad. Y los usuarios son, y siempre serán, un punto ●● El tráfico de dispositivos móviles e inalámbricos representará dos
débil en la cadena de seguridad. tercios (66 %) del tráfico IP total para el 2020. Los dispositivos
cableados representarán solo el 34 %.
A medida que las empresas adoptan la digitalización, y que
●● De 2015 a 2020, las velocidades de banda ancha promedio
Internet de todo (IdT)¹ comienza a tener forma, los defensores
prácticamente se duplicarán.
tendrán incluso más cosas por las que preocuparse. La
superficie de ataque también se expandirá y, en consecuencia, ●● Para el 2020, el 82 % de todo el tráfico de Internet de
los adversarios tendrán más espacio para operar. consumidores a nivel mundial será tráfico de video IP, en
comparación con un 70 % registrado en el 2015.
Durante más de una década, Cisco® Visual Networking
Index (VNI) ha proporcionado pronósticos de tráfico IP global

Figura 1 Los principales motivos de preocupación de los profesionales de la seguridad en relación a los
ataques informáticos
Figura 1. Las mayores fuentes de preocupación de los profesionales de seguridad relacionadas con los ataques cibernéticos

Comportamiento del usuario (por


Dispositivos móviles Datos en la nube pública Infraestructura de la nube ejemplo, hacer clic en enlaces maliciosos
en el correo electrónico o los sitios web)

58% 57% 57% 57%


Porcentaje de profesionales de seguridad que encuentran las categorías muy o extremadamente exigentes

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics

¹ “Preguntas frecuentes de Internet de todo”, Cisco: http://ioeassessment.cisco.com/learn/ioe-faq.


² La Era Zettabyte — Tendencias y Análisis, Cisco VNI, 2016:
http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/vni-hyperconnectivity-wp.html.

10 La expansión de la superficie de ataque


Informe anual sobre ciberseguridad de 2017 de Cisco

Además, el informe técnico de Previsión y metodología de Las organizaciones deben realizar lo siguiente:
2015 a 2020 de Cisco VNI™³ arroja la previsión de que el
volumen del tráfico de Internet global en el 2020 será 95 veces ●● Integrar la tecnología de seguridad.
más grande que en el 2005. ●● Simplificar las operaciones de seguridad.

Por supuesto, los ciberdelincuentes oportunistas también ●● Recurrir más a la automatización.


prestan especial atención a estas tendencias. Vemos ya
Este enfoque ayudará a reducir los gastos operativos,
que los operadores en la economía informal toman medidas
a aliviarle la carga al personal de seguridad y a ofrecer mejores
para ser más ágiles en este entorno cambiante. Crean
resultados en materia de seguridad. Lo más importante es que
ataques sumamente dirigidos y diversos que están diseñados
les dará a los defensores la capacidad de dedicar más tiempo
especialmente para tener un resultado satisfactorio en la
a la eliminación del espacio ilimitado en el que los atacantes
superficie del ataque en expansión. Mientras tanto, los equipos
operan actualmente.
de seguridad están en modo “contra incendios” en forma
constante y se encuentran abrumados por las alertas. Tienen
que utilizar una variedad de productos de seguridad en el
entorno de red que solo aportan más complejidad e incluso
pueden aumentar la susceptibilidad de una organización
a las amenazas.

³ Previsión y metodología de Cisco VNI, 2015–2020, Cisco VNI, 2016:


http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/complete-white-paper-c11-481360.html.

11 La expansión de la superficie de ataque


Comportamiento
del atacante
Informe anual sobre ciberseguridad de 2017 de Cisco

Comportamiento del atacante


Método
Reconocimiento Armamentización Instalación
de entrega
Los atacantes investigan, identifican y seleccionan sus objetivos.

Métodos de ataque web: las amenazas de Figura 2 2.


Figura Malware másmás
Malware comúnmente observado
comúnmente observado
“cola corta” permiten que los adversarios
sienten las bases para las campañas Conteo de
muestra
El reconocimiento es, por supuesto, un paso fundamental para
iniciar un ataque cibernético. En esta etapa, los adversarios 87 329 PUA y binarios sospechosos
buscan infraestructura de Internet vulnerable o debilidades de
la red que les permitan obtener acceso a las computadoras
de los usuarios y, en última instancia, infiltrarse en las
organizaciones. 50 081 Instaladores de troyanos (VBS)

Los archivos binarios de Windows sospechosos y las


aplicaciones potencialmente no deseadas encabezaron la 35 887 Enlaces fraudulentos de Facebook
lista de métodos de ataque web en el 2016 por un margen
significativo (consulte la figura 2). Los archivos binarios de 27 627 Descargadores de troyanos (script)
Windows sospechosos contienen amenazas como spyware
y adware. Las extensiones de navegador maliciosas son un 24 737 Redireccionamiento del navegador (JS)
ejemplo de aplicaciones potencialmente no deseadas.
Redireccionamiento de las descargas
18 505
del navegador
Las estafas de Facebook, que incluyen ofertas y contenido
de medios falsos junto con estafas de encuestas, ocuparon el 15 933 Suplantación de identidad (enlaces)
tercer lugar en nuestra lista. El continuo protagonismo de las
estafas de Facebook en nuestras listas anuales y semestrales 14 020 Troyanos Android (lop)
sobre el malware observado con mayor frecuencia deja en
clara evidencia el rol fundamental que desempeña la ingeniería 12 848 Redireccionamiento del navegador
social en muchos ataques cibernéticos. Facebook tiene
casi 1,8 mil millones de usuarios activos por mes en todo el 11 600 Secuestro de Facebook
mundo.⁴ Se trata, entonces, de un territorio lógico para los
ciberdelincuentes y otros actores que buscan engañar a los 11 506 Bloques heurísticos (scripts)
usuarios. Un desarrollo positivo es el reciente anuncio de
la empresa de que está tomando medidas para eliminar las 7712 Binarios en paquete

noticias falsas y los engaños. Los críticos sugieren que ese 5995 Descargadores de troyanos (JS)
contenido podría haber tenido influencia en los votantes en 5510 Troyanos, heurísticos (Win32)
la decisión presidencial de 2016 en los Estados Unidos.⁵
5467 Ataques a los iFrame del navegador
4970 Android (Axent)
4584 Troyanos Android (Loki)
4398 Malware (FakeAvCn)
3646 Troyanos (HideLink)
⁴ Estadísticas de Facebook, septiembre de 2016: http://newsroom.fb.com/company-info/.
⁵ “Zuckerberg Vows to Weed Out Facebook ‘Fake News,’” por Jessica Guynn y 3006 Malware (HappJS)
Kevin McCoy, USA Today, 14 de noviembre de 2016:
http://www.usatoday.com/story/tech/2016/11/13/zuckerberg-vows-weed-
out-facebook-fake-news/93770512/. Fuente: Cisco Security Research

13 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

El malware de redireccionamiento de navegador completó los últimos 2 años. Se ubicaron entre los 10 tipos principales
los cinco tipos de malware principales observados con más de malware observados con mayor frecuencia en el 2016.
frecuencia en el 2016. Como se analizó en el Informe semestral El malware Loki, que aparece al final de la “cola corta” que
sobre ciberseguridad de 2016 de Cisco,⁶ las infecciones en se muestra en la figura 2 (consulte la página anterior), es
el navegador pueden exponer a los usuarios a publicidad muy molesto porque puede replicar e infectar otros archivos
maliciosa, que los adversarios utilizan para configurar el y programas.
ransomware y otras campañas de malware. Los investigadores
de amenazas de Cisco advierten que el adware malicioso, que La figura 3 ayuda a ilustrar las tendencias de malware que los
incluye herramientas que introducen anuncios, secuestradores investigadores de amenazas de Cisco han observado desde
de las configuraciones del navegador, utilidades y aplicaciones finales del 2015. Revela que los adversarios hicieron un cambio
de descarga, es un problema cada vez mayor. De hecho, preciso en la fase de reconocimiento de ataques en línea.
hemos identificado infecciones por adware en el 75 % de las Más amenazas ahora buscan específicamente navegadores
empresas que investigamos recientemente como parte de y complementos vulnerables. Este cambio coincide con
nuestra investigación sobre el problema del adware. (Para el creciente uso de publicidad maliciosa por parte de los
obtener más información sobre este tema, consulte “De adversarios, ya que se torna más difícil aprovechar una gran
acuerdo con la investigación, el 75 % de las organizaciones se cantidad de usuarios a través de vectores de ataque de la
ven afectadas por infecciones por adware”, en la página 23). red tradicionales. (Consulte la sección siguiente “Vectores
de ataque web: el uso de Flash está disminuyendo, pero los
Otros tipos de malware que se enumeran en la figura 3, como usuarios deben mantenerse alertas”, en la página 15).
el malware de abuso de JavaScript en el navegador y malware
de abuso de IFrame en el navegador, también están diseñados El mensaje para los usuarios individuales, los profesionales
para facilitar las infecciones en el navegador. Los troyanos de seguridad y las empresas es claro: asegurarse de que
(instaladores de malware y aplicaciones de descarga) también los navegadores sean seguros y desactivar o eliminar los
se encuentran entre los cinco tipos de malware principales complementos de navegador innecesarios son medidas
observados con mayor frecuencia, lo que indica que siguen que pueden hacer mucho para prevenir las infecciones por
siendo herramientas populares para obtener acceso inicial malware. Estas infecciones pueden provocar ataques más
a las computadoras de los usuarios y a las redes de las importantes, disruptivos y costosos, como las campañas
organizaciones. de ransomware. Estos pasos simples pueden reducir
significativamente su exposición a amenazas basadas en
Otra tendencia para observar: el uso constantemente alto de la Web comunes y evitar que los adversarios encuentren el
malware que apunta a usuarios de la plataforma operativa espacio operativo para implementar la fase siguiente de la
Android. Los troyanos de Android han escalado de posición cadena de ataque: la fase armamentista.
continuamente en la lista de amenazas de “cola corta” durante
Figura 3. Malware más comúnmente observado, 4T 2015-3T 2016
Figura 3 Malware más comúnmente observado, Q4 2015-Q3 2016

50K

40K
Conteo de muestra

30K

20K

10K

0K
Bloques heurísticos
(Win32)

Troyanos de
los iFrame

Troyanos
Android
(lop)
Redireccionamiento
de las descargas
del navegador

Enlaces de
suplantación
de identidad

Redireccionamiento
del navegador (JS)

Descargadores
de troyanos
(JS)

Secuestro
de Facebook

PUA y binarios
sospechosos

múltiples paquetes)

Redireccionamiento
del navegador

Instalador troyano
de malware (VBS)

Descargadores
troyanos (script)

Enlaces fraudulentos
de Facebook

Descargadores
de iFrame
En paquete (en

4T 2015 1T 2016 2T 2016 3T 2016

Fuente: Cisco Security Research

⁶ Informe semestral sobre ciberseguridad 2016 de Cisco: http://www.cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html.

14 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Método
Reconocimiento Armamentización Instalación
de entrega
Los atacantes combinan malware de acceso remoto con ataques en cargas útiles entregables.

Vectores de ataque web: el uso de Flash está disminuyendo, pero los usuarios deben
mantenerse alertas
Adobe Flash ha sido por mucho tiempo un atractivo vector Los usuarios deben ser prudentes y desinstalar Flash, a menos
de ataque web para los adversarios que desean aprovechar que lo necesiten por motivos comerciales. En ese caso, deben
y comprometer los sistemas. Sin embargo, debido a que mantenerse al día con las actualizaciones. Usar navegadores
la cantidad de contenido de Adobe Flash en la Web sigue web que ofrecen capacidades de implementación de
disminuyendo y a que el conocimiento sobre vulnerabilidades parches automática puede ser de ayuda. Como se observa
de Flash aumenta, es cada vez más difícil para los en “Métodos de ataque web: las amenazas de “cola corta”
ciberdelincuentes aprovechar a los usuarios en un nivel permiten que los adversarios sienten las bases para las
que alguna vez alcanzaron. campañas”, en la página 13, usar navegadores seguros
(y deshabilitar o eliminar complementos de navegadores
Adobe mismo está abandonando el desarrollo y soporte innecesarios) reducirá significativamente su exposición a las
completos de la plataforma de software y ha alentado a los amenazas basadas en la web.
desarrolladores a adoptar nuevos estándares, como HTML5.⁷
Los proveedores de navegadores web populares también
Java, PDF y Silverlight
están tomando una posición sólida respecto a Flash. Por
ejemplo, Google anunció en el 2016 que eliminará el soporte El tráfico de Internet de Java y PDF experimentó una
completo de Adobe Flash en su navegador Chrome.⁸ Firefox disminución considerable en el 2016. El tráfico de Silverlight
continúa admitiendo contenido Flash heredado, pero está ya ha alcanzado un nivel al que, para los investigadores
bloqueando “contenido Flash que no es esencial para la de amenazas, ya no vale la pena realizarle un seguimiento
experiencia del usuario”.⁹ con regularidad.

El uso de Flash puede estar disminuyendo, pero los Java, que en un momento fue el vector de ataque web
desarrolladores de kits de ataque colaboran para que se dominante, ha experimentado una mejora considerable en
mantenga como vector de ataque. Sin embargo, hay indicios el estado de la seguridad en los últimos años. La decisión de
de que esto puede estar cambiando. Después de que Oracle a principios del 2016 de eliminar el complemento de
tres principales kits de ataque (Angler, Nuclear y Neutrino) navegador Java colaboró para que Java se convierta en un
desaparecieron del panorama de amenazas en el 2016, vector de ataque web menos atractivo. Los ataques de PDF
nuestros investigadores de amenazas observaron una también son cada vez más escasos. Por ese motivo, pueden
disminución significativa en el tráfico de Internet relacionado detectarse más fácilmente; por lo tanto, muchos adversarios
con Flash. (Consulte “La desaparición de los principales ahora utilizan esta estrategia con menos frecuencia.
kits de ataques presenta oportunidades para usuarios más
Sin embargo, como con Flash, los ciberdelincuentes aún
pequeños y nuevos participantes”, en la página 20). Los
utilizan Java, PDF y Silverlight para aprovecharse de los
creadores del kit de ataque Angler recurrieron en gran medida
usuarios. Los usuarios individuales, las empresas y los
a las vulnerabilidades de Flash para poner en riesgo a los
profesionales de seguridad deben ser conscientes de estas
usuarios. El kit de ataque Nuclear tuvo un enfoque similar
posibles vías de riesgo. Para reducir el riesgo de exposición
en Flash. Neutrino, por su parte, usaba archivos Flash para
a estas amenazas, deben hacer lo siguiente:
trasmitir ataques.
●● Descargar parches.

●● Utilizar tecnología web actualizada.

●● Evitar el contenido web que pueda representar un riesgo.

⁷ “Flash, HTML5 and Open Web Standards,” Adobe News, noviembre de 2015: https://blogs.adobe.com/conversations/2015/11/flash-html5-and-open-web-standards.html.
⁸ “Flash and Chrome,” por Anthony LaForge, The Keyword blog, Google, 9 de agosto de 2016: https://blog.google/products/chrome/flash-and-chrome/.
⁹ “Reducing Adobe Flash Usage in Firefox,” por Benjamin Smedberg, Future Release blog, Mozilla, 20 de julio de 2016:
https://blog.mozilla.org/futurereleases/2016/07/20/reducing-adobe-flash-usage-in-firefox/.

15 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Seguridad de las aplicaciones: administración del riesgo de la conexión OAuth en medio


de una explosión de aplicaciones
Cuando las empresas migran a la nube, el perímetro de ●● Inteligencia de amenazas de la aplicación: esta verificación
seguridad se extiende al ámbito virtual. Sin embargo, el integral que realizan los expertos en ciberseguridad se basa
perímetro de seguridad se desvanece rápidamente con en los diferentes atributos de seguridad de una aplicación,
cada aplicación de la nube de terceros conectada que los como certificaciones de seguridad, historial de infracciones
empleados introduzcan en el entorno. y revisiones de analistas.
Figura 4. Crecimiento explosivo de aplicaciones
Los empleados desean mejorar la productividad y mantenerse conectadas de terceros en la nube, 2016
conectados mientras trabajan. Pero estas aplicaciones de
TI no autorizada crean un riesgo para las empresas. Entran Figura 4 Crecimiento exponencial de aplicaciones de la
en contacto con la infraestructura corporativa y pueden nube de terceros conectadas, 2016
comunicarse libremente con las plataformas de la nube y de
software como servicio corporativas tan pronto los usuarios les
otorgan acceso a través de OAuth. Estas aplicaciones pueden
tener alcances de acceso extensos y, a veces, excesivos.
Deben administrarse cuidadosamente porque pueden ver,
eliminar, exteriorizar y almacenar datos corporativos, e incluso
actuar en nombre de los usuarios. 222,000
Octubre
El proveedor de seguridad en la nube CloudLock, ahora
parte de Cisco, ha realizado un seguimiento del crecimiento
de las aplicaciones de la nube de terceros conectados 129,000
Enero
a través de un grupo de ejemplo de 900 organizaciones que
representaban una variedad de sectores. Como se muestra
en la figura 4, había aproximadamente 129 000 aplicaciones Cantidad de aplicaciones exclusivas
únicas observadas a principios del 2016. A fines de octubre,
esa cifra había ascendido a 222 000.

La cantidad de aplicaciones aumentó aproximadamente Figura 5. Crecimiento de las aplicaciones de


Fuente: Cisco CloudLock

11 veces desde el 2014. (Consulte la figura 5). terceros en la nube,


Figura 5 Crecimiento decomparación
aplicaciones deinteranual
la nube de
terceros, comparación interanual
Clasificación de las aplicaciones que más riesgo
representan
Para ayudar a los equipos de seguridad a comprender cuáles
son las aplicaciones de la nube de terceros conectadas en
su entorno que representan el mayor riesgo para la seguridad
de la red, CloudLock desarrolló el Índice de riesgo de las
aplicaciones de la nube (CARI). El proceso consiste en
222,000
varias evaluaciones: 108,000

●● Requisitos de acceso a los datos: las organizaciones 20,400


responden preguntas, entre ellas: ¿qué permisos son necesarios
para autorizar la aplicación? ¿Otorgar acceso a los datos
significa que la aplicación tiene acceso programático (API) a las
Oct 2014 Oct 2015 Oct 2016
plataformas SaaS corporativas a través de conexiones OAuth?
¿Puede la aplicación (y, por extensión, el proveedor) actuar en
Fuente: Cisco CloudLock
nombre de los usuarios y utilizar los datos corporativos, como
verlos y eliminarlos?

●● Community Trust Rating (índice de confianza colectivo):


se utilizan evaluaciones impulsadas por pares y basadas en la Descargue los gráficos de 2017 en:
www.cisco.com/go/acr2017graphics
comunidad para esta evaluación.

16 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Puntuaciones y ejemplos de riesgos


Después de clasificar las aplicaciones de la nube de terceros mediante CARI, CloudLock asigna una puntuación de
riesgo a cada aplicación en una escala de 1 (menor riesgo) a 5 (mayor riesgo).

Por ejemplo, una aplicación que obtenga una puntuación de 1 en la escala puede tener alcances de acceso mínimo
(puede ver el correo electrónico únicamente), un índice de confianza colectivo del 100 por ciento, y ningún historial
de amenazas.

Una aplicación que obtenga una puntuación de 5 en la escala puede que tenga acceso completo a las cuentas
(puede ver todos los correos electrónicos y documentos, el historial de navegación, el calendario y más), un índice
de confianza del 8 por ciento (es decir, solo el 8 por ciento de los administradores confía en ésta), y ninguna
certificación de seguridad.

CloudLock utilizó CARI para clasificar las 222 000 aplicaciones Figura


Figura 6 6.Aplicaciones
Aplicaciones de terceros
de terceros clasificadas
clasificadas como
que había identificado en las 900 organizaciones en el de alto riesgo
como Alto riesgo
ejemplo. De todas las aplicaciones, el 27 % se consideró de
alto riesgo, mientras que la mayoría entró en la categoría de
riesgo intermedio. (Consulte la figura 6). La mitad de esas
organizaciones tenía conexiones OAuth relacionadas con
27%
una aplicación de juegos popular que se lanzó en el verano riesgo alto
de 2016.

15%
riesgo bajo

222,000
aplicaciones
de terceros

58%
riesgo medio

Fuente: Cisco CloudLock

COMPARTIR

17 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Con nuestro análisis, descubrimos que todas las


organizaciones, independientemente de su tamaño, del sector
o de la región, tienen una distribución relativamente uniforme
de aplicaciones de riesgo bajo, medio y alto (figuras 7 y 8).

Figura 7. Distribución de aplicaciones de riesgo bajo, medio y alto, por región


Figura 7 Distribución de aplicaciones de bajo, mediano y alto riesgo, por región

12 10 11
15
31 30 32 30
América América Europa, Medio APAC
del Norte Latina Oriente y África (Asia y Pacífico)

54 58 58 59

Bajo riesgo Riesgo medio Alto riesgo

Fuente: Cisco CloudLock

Figura 8. Distribución de aplicaciones de riesgo bajo, medio y alto, por sector


Figura 8 Distribución de aplicaciones de bajo, mediano y alto riesgo, por sector

8 10 16 16 17 8

35 33 28 31 31 31

57 57 56 53 52 61

Servicios financieros Gobierno Proveedores de Educación superior Colegios Manufactura


servicios de salud

16 10 14 12 16
28 32 30 30 32

56 58 56 58 52

Medios de Comercio minorista Tecnología Viajes, hotelería, Otros


comunicación y transporte
y entretenimiento
Bajo riesgo Riesgo medio Alto riesgo

Fuente: Cisco CloudLock

Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics

18 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Cómo esclarecer la confusión


Para identificar el comportamiento sospechoso de los usuarios en el transcurso de una semana, un equipo de seguridad
y de las entidades en plataformas SaaS corporativas, incluidas querrá investigar esa actividad para confirmar que sea legítima.
las aplicaciones de la nube de terceros, los equipos de
seguridad deben examinar mil millones de actividades de Según nuestro análisis, solo 1 de cada 5000 actividades
los usuarios para determinar patrones de comportamiento del usuario (es decir, el 0,02 %) asociadas a aplicaciones
normal en el entorno de su organización. Deben buscar de nube de terceros conectadas es sospechosa. El desafío
anomalías por fuera de esos patrones previstos. Luego, deben para los equipos de seguridad es, naturalmente, dar con esa
establecer una correlación entre las actividades sospechosas instancia individual.
para determinar qué podría constituir una amenaza real que
Solo a través de la automatización los equipos de seguridad
requiera investigación.
pueden penetrar la confusión que suponen las alertas
Los inicios de sesión excesivos desde distintos países de seguridad y centrar sus recursos en la investigación
en un período breve constituyen un ejemplo de actividad de amenazas verdaderas. El proceso de varias etapas
sospechosa. Supongamos que el comportamiento normal de identificación de actividades del usuario normales
del usuario en una determinada organización es que los y posiblemente sospechosas que se describe más arriba
empleados inicien sesión en una aplicación específica desde y que se ilustra en la figura 9 se basa en el uso de la
no más de uno o dos países por semana. Si un usuario automatización, con algoritmos que se aplican en cada etapa.
comienza a iniciar sesión en la aplicación desde 68 países

Figura 9 Identificar patrones de comportamiento de los usuarios con la automatización (proceso)


Figura 9. Identificación de los patrones de comportamiento del usuario con automatización (proceso)

Comportamiento de
todos los usuarios
Anomalías
Actividades sospechosas
0,02% de todas las actividades
Amenaza
113 veces
verdadera
más fallas de inicio 58% de conductas anormales
de sesión que
227 veces el promedio
más descargas 31% de actividades de
1000 Millones de actividades
de archivos que inicio de sesión
del usuario por mes
el promedio
141 veces
más eliminaciones 11% de acciones
de activos de datos del administrador
que el promedio
to
adas ntex
ntraliz el co
as ce sis d
a d Polític Análi
guri d a d
iberse unid
n de c com
gació en la
Investi b asada
ia
enaza
s genc
de am Inteli
encia la nu
be
Intelig en
es
idad
rabil
ulne
b re las v
o
ión s
mac
Infor

Fuente: Cisco CloudLock

COMPARTIR

19 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Método
Reconocimiento Armamentización Instalación
de entrega
Con el uso malicioso del correo electrónico, archivos adjuntos, sitios web y demás herramientas,
los atacantes transmiten sus armas informáticas a sus blancos.

Figura 10. Bloqueos de la página de inicio de sesión del kit de


vulnerabilidad de la seguridad Enero-noviembre 2016

La desaparición de los principales kits Figura 10 La página de acceso a kits de ataque se


de ataque presenta oportunidades bloquea, de enero a noviembre de 2016
para usuarios más pequeños
7407
y nuevos participantes 7K
En el 2016, se experimentaron cambios radicales en el entorno
6K
de kits de ataque. A principios de 2016, Angler, Nuclear,

Número de bloqueos
Neutrino y RIG fueron, entre los kits de ataque, líderes claros. 5K
En noviembre, RIG era el único de ese grupo aún en actividad.
Como se muestra en la figura 10, la actividad de los kits de 4K
ataque disminuyó considerablemente alrededor de junio.
3K
Nuclear fue el primero en desaparecer: en mayo dejó de
2K
funcionar repentinamente. El motivo por el cual sus creadores
lo abandonaron es un misterio. El kit de ataque Neutrino, 1K
1051
que también salió de la escena en el 2016, utilizaba archivos
Flash para trasmitir vulnerabilidades. (Consulte la figura 11 0
en la página siguiente para ver una lista de las principales
Ene

Feb

Mar

Abr

Jul

Ago

Sep

Oct

Nov
May

Jun
vulnerabilidades en kits de ataque conocidos en el 2016).

Flash sigue siendo un vector de ataque web atractivo para Fuente: Cisco Security Research
los adversarios, pero es probable que pierda protagonismo
con el tiempo. Menos sitios y navegadores están admitiendo
Flash en forma total o directamente no lo admiten; además,
hay un conocimiento general mayor sobre las vulnerabilidades
de Flash. (Para obtener más información sobre este tema, Descargue los gráficos de 2017 en:
www.cisco.com/go/acr2017graphics
consulte “Vectores de ataque web: el uso de Flash está
disminuyendo, pero los usuarios deben mantenerse alertas”,
en la página 15).

20 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Un gigante que desaparece


Angler, el más avanzado y más grande entre los kits de Ahora que tres de los kits de ataque más dominantes han
ataque conocidos, también se basaba en las vulnerabilidades abandonado el campo, los pequeños usuarios y los nuevos
de Flash y se vinculó con varias campañas destacadas de participantes pueden ampliar su participación en el mercado.
ransomware y publicidad maliciosa. Sin embargo, a diferencia Además, cada vez son más sofisticados y ágiles. Los kits de
de la desaparición de Nuclear y Neutrino, el caso de Angler ataque que parecían listos para crecer a finales de 2016 eran
en 2016 no es un misterio. Sundown, Sweet Orange y Magnitude. Estos kits, al igual
que RIG, son conocidos por basarse en las vulnerabilidades
A finales de la primavera, alrededor de 50 hackers de Flash, Silverlight y Microsoft Internet Explorer. (Consulte
y ciberdelincuentes fueron arrestados en Rusia; el grupo la figura 11). Desinstalar Flash y deshabilitar o eliminar
estaba vinculado con el malware Lurk, un troyano bancario complementos de navegador innecesarios son medidas que
que se dirigía específicamente a los bancos rusos.¹⁰ Los ayudarán a los usuarios a reducir la posibilidad de que se vean
investigadores de amenazas de Cisco identificaron conexiones en riesgo por estas amenazas.
claras entre Lurk y Angler, incluido el hecho de que Lurk era
distribuido en gran parte a través de Angler a las víctimas
en Rusia. Después de los arrestos, Angler desapareció del
mercado de kits de ataque.¹¹

Figura 11
11. Principales
Principalesvulnerabilidades
vulnerabilidadesdel
dekit
losde vulnerabilidad
kits de ataque de la seguridad Angler

Angler

Neutrino (1,2)

Magnitude

RIG

Nuclear

Sundown

Hunter

CVE- 2015- 2015- 2015- 2016- 2016- 2016- 2016- 2016- 2015- 2015- 2015- 2015- 2015- 2015-
7645 8446 8651 0034 1019 1001 4117 0189 5119 5122 3043 0318 3113 2419

Flash Silverlight IE 9-11 IE 10-11

Source: Cisco Security Research

COMPARTIR

¹⁰ “Russian Hacker Gang Arrested Over $25M Theft,” BBC News, 2 de junio de 2016: http://www.bbc.com/news/technology-36434104.
¹¹ Para más información sobre este tema, consulte la publicación del blog Cisco Talos de julio de 2016, Al realizar asociaciones, se descubre un cambio drástico en el Crimeware.

21 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Publicidad maliciosa: los atacantes usan agentes para aumentar la velocidad y agilidad
Se dirige a los usuarios a kits de ataque a través de afectados en América del Norte, Europa, Asia Pacífico
dos formas principales: sitios web comprometidos y Medio Oriente. Son notables el alcance global de la
y publicidad maliciosa. Los atacantes colocan un enlace campaña y el uso de varios idiomas.
a una página de acceso a un kit de ataque en un aviso
malicioso o un sitio web comprometido, o utilizan un ShadowGate, el cual utilizó seguimiento de dominio,
enlace intermedio, conocido como agente. (Estos se observó por primera vez a principios de 2015. Por
enlaces, colocados entre sitios web comprometidos momentos permanecía inactivo, para luego comenzar
y servidores de kits de ataque, también se denominan aleatoriamente a dirigir el tráfico hacia páginas de
“portales”). El agente sirve como intermediario entre acceso a kits de ataque. En un principio, ShadowGate
el redireccionamiento inicial y el kit de ataque que se utilizaba para dirigir a los usuarios únicamente al
transmite la carga útil del malware a los usuarios. kit de ataque Angler. Pero después de que Angler
desapareciera en el verano de 2016, los usuarios
Esta última táctica se está haciendo más popular empezaron a ser dirigidos al kit de ataque Neutrino,
a medida que los atacantes perciben que deben actuar hasta que éste desapareciera también algunos meses
con mayor rapidez para mantener su espacio operativo después. (Para más información sobre esta historia,
y evadir la detección. Los agentes permiten que los consulte la “Desaparición de los principales kits de
atacantes cambien rápidamente de un servidor malicioso ataque presenta oportunidades para empresas más
a otro sin cambiar el redireccionamiento inicial. Debido pequeñas y nuevas empresas”, en la página 20).
a que no necesitan modificar sitios web o anuncios
maliciosos constantemente para iniciar la cadena de Aunque ShadowGate tuvo un alto volumen de tráfico
infección, los operadores de kits de ataque pueden web, solo una pequeña fracción de interacciones
realizar campañas más extensas. provocó que un usuario fuera dirigido a un kit de
ataque. Los anuncios maliciosos eran principalmente
impresiones, anuncios que aparecen en la página y no
ShadowGate: una campaña rentable
requieren ninguna interacción del usuario. Este modelo
A medida que se torna más difícil poner en riesgo de publicidad en línea permitió que los responsables de
a un gran número de usuarios únicamente mediante ShadowGate dirijan su campaña en forma más rentable.
vectores de ataque tradicionales de la web (consulte
la página 15), los atacantes están utilizando cada Nuestra investigación de ShadowGate condujo a un
vez más la publicidad maliciosa para exponer a los esfuerzo conjunto con una importante empresa de
usuarios a kits de ataque. Nuestros investigadores de alojamiento web. Trabajamos juntos para mitigar la
amenazas denominaron “ShadowGate” a una campaña amenaza recuperando cuentas de usuarios inscriptos
de publicidad maliciosa global reciente. Esta campaña que los atacantes habían utilizado para alojar la
muestra cómo la publicidad maliciosa está brindando actividad. Luego, desactivamos todos los subdominios
a los atacantes más flexibilidad y posibilidades de correspondientes.
atacar a los usuarios a lo largo de regiones geográficas
a gran escala. Para más detalles sobre la campaña de ShadowGate,
consulte la publicación del blog de Cisco Talos
ShadowGate involucró a sitios web que van de la cultura de septiembre de 2016 Desactivación de Talos
popular al comercio minorista, y de la pornografía a las ShadowGate: campaña global de publicidad
noticias. Millones de usuarios se vieron potencialmente maliciosa frustrada.

22 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

De acuerdo con la investigación, el 75 % de las organizaciones se ven afectadas por


infecciones por adware
El adware, cuando se utiliza para fines legítimos, es el Clasificamos el adware en cuatro grupos, según el
software que descarga o muestra publicidades a través de comportamiento principal de cada componente:
redireccionamientos, elementos emergentes y herramientas
que introducen anuncios, y que genera ingresos para sus ●● Herramientas que introducen anuncios: este adware
creadores. Sin embargo, los ciberdelincuentes también generalmente reside en el navegador y puede afectar a todos
están usando el adware como una herramienta para ayudar los sistemas operativos.
a aumentar su flujo de ingresos. Utilizan adware malicioso no ●● Secuestradores de las configuraciones del navegador: este
solo para beneficiarse de introducir publicidades, sino también componente de adware puede modificar las configuraciones de
como primer paso para facilitar otras campañas de malware, las computadoras para que el navegador sea menos seguro.
como el malware DNSChanger. El adware malicioso se
●● Utilidades: esta es una categoría grande y en crecimiento de
distribuye a través de paquetes de software; los editores crean
adware. Las utilidades son aplicaciones web que ofrecen un
un programa de instalación con una aplicación legítima junto
servicio útil para los usuarios, como optimización de PC. Estas
con docenas de aplicaciones de adware malicioso.
aplicaciones puedan introducir publicidades, pero su objetivo
Los delincuentes usan adware para lo siguiente: principal es convencer a los usuarios de pagar por el servicio.
Sin embargo, en muchos casos, las utilidades son simples
●● Introducir publicidades, que pueden generar otras infecciones estafas y no proporcionan ningún beneficio para los usuarios.
o exposición a kits de ataque.
●● Aplicaciones de descarga: este adware puede ofrecer otro
●● Cambiar la configuración de navegadores y sistemas operativos software, como una barra de herramientas.
para debilitar la seguridad.
Determinamos que el 75 % de las organizaciones que
●● Corromper antivirus u otros productos de seguridad.
formaron parte de nuestro estudio se vieron afectadas por
●● Obtener control total del host, para poder instalar otro software infecciones por adware.
malicioso.

●● Realizar el seguimiento de usuarios por ubicación, identidad,


servicios utilizados y sitios visitados frecuentemente.
Figura 12. Porcentaje
Figura 12 Porcentajedede organizaciones
organizaciones concon
●● Retirar información, como datos personales, credenciales
infecciones de
infecciones deadware
adware
e información sobre la infraestructura (por ejemplo, las páginas
de ventas internas de una empresa).

A fin de evaluar el alcance del problema de adware para


las empresas, los investigadores de amenazas de Cisco En los últimos 12 meses
analizaron 80 variantes de adware diferentes. Alrededor de
130 organizaciones en mercados verticales se incluyeron en
nuestra investigación, que se llevó a cabo de noviembre de
2015 a noviembre de 2016.
>75%
de las organizaciones
investigadas tiene
infecciones de adware

Fuente: Cisco Security Research

COMPARTIR

23 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

En la figura 13, se muestran los tipos de incidentes que Todos los componentes de adware que identificamos durante
observamos en las organizaciones incluidas en nuestra nuestra investigación pueden exponer a los usuarios y a las
investigación. Las herramientas que introducen anuncios eran organizaciones al riesgo de actividad maliciosa. Los equipos
la fuente principal de infecciones. Este hallazgo indica que de seguridad deben reconocer la amenaza que plantean las
la mayoría de estas aplicaciones no deseadas apuntan a los infecciones por adware y asegurarse de que los usuarios de
navegadores web. También hemos observado un aumento de la organización tengan pleno conocimiento de los riesgos.
las infecciones basadas en el navegador durante los últimos
años, lo que sugiere que los adversarios están obteniendo Para obtener más información sobre este tema, consulte la
buenos resultados con esta estrategia para poner en riesgo entrada del blog de seguridad de Cisco realizada en febrero
a los usuarios. de 2016: Ataques de DNSChanger vinculados con la base
instalada de adware.

Figura 13 Desglose de incidentes totales por componente de adware


Figura 13. Desglose de los incidentes totales por componente de adware
Porcentaje de usuarios infectados

2.0%

1.5%

1.0%

0.5%

0
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
2015 2016
Porcentaje de usuarios infectados con adware

60%

50%

40%

30%

20%

10%

0%
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
2015 2016

Servicios públicos Secuestradores de configuración del navegador Descargadores Inyectores de anuncios

Fuente: Cisco Security Research

Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics

24 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

El volumen de correos electrónicos no deseados a nivel mundial está creciendo del mismo
modo que lo hace el porcentaje de archivos adjuntos maliciosos
En el 2016, los investigadores de amenazas de Cisco no deseados. Además, a través de nuestro análisis,
realizaron dos estudios en el que emplearon telemetría de determinamos que alrededor del 8 al 10 % de los correos
clientes que decidieron participar para calcular qué porcentaje electrónicos no deseados observados en 2016 en todo el
del total de correos electrónicos es correo electrónico no mundo podrían clasificarse como maliciosos.
deseado. Descubrimos que el correo electrónico no deseado
representa casi dos tercios (65 %) del volumen total de Desde agosto hasta octubre del 2016, hubo un aumento
correos electrónicos. Nuestra investigación también sugiere considerable en la cantidad de bloqueos de conexiones IP
que el volumen de correos electrónicos no deseados a nivel (figura 14).¹² Esta tendencia puede atribuirse a un aumento
mundial está aumentando, principalmente, debido a botnets general del volumen de correos electrónicos no deseados, así
extendidos y en crecimiento que envían correos electrónicos como a sistemas de reputación que se adaptan a información
sobre los emisores de correos electrónicos no deseados.

Figura 14. Bloqueos de IP por país, diciembre 2015-noviembre 2016


Figura 14 Bloqueos de IP por país, de diciembre de 2015 a noviembre de 2016

Alemania
414K | 548K Rusia
343K | 352K

Francia
Estados Unidos 222K | 467K
1351K | 2046K Japón
China 194K | 286K
903K | 760K

Vietnam
México 990K | 1684K
214K | 495K

Brasil India
252K | 587K 254K | 1662K

Dic. 2015 Oct 2016

Fuente: Cisco Security Research

COMPARTIR

¹² L
 os bloqueos de la conexión IP son correos electrónicos no deseados bloqueados inmediatamente por una tecnología de detección de los mismos, la cual se basa en la mala
reputación del remitente de este tipo de correos electrónicos. Entre éstos, se incluyen mensajes que se han originado a partir de botnets conocidos por enviar correos electrónicos
no deseados o redes comprometidas, conocidas por participar en este tipo de ataques.

25 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

El gráfico de cinco años de la Lista de bloqueo compuesto La figura 16 es un gráfico interno generado por el servicio
(CBL), una “lista negra” basada en DNS de posibles infecciones SpamCop de Cisco que ilustra el cambio en el volumen de
de computadoras que envían correos electrónicos no deseados,¹³ correos electrónicos no deseados observado en el 2016.
también revela un importante aumento en el volumen total de Este gráfico muestra el tamaño total de la lista de bloqueo de
correos electrónicos no deseados en el 2016 (figura 15). SpamCop (SCBL) de noviembre de 2015 a noviembre de 2016.
Cada fila de la SCBL representa una dirección IP diferente.
De acuerdo con una revisión de datos de 10 años de la CBL
(no se muestra), en el 2016, el volumen total de correos De noviembre de 2015 a febrero de 2016, el tamaño de
electrónicos no deseados está cerca de los más altos niveles las SCBL se mantuvo en menos de 200 000 direcciones IP.
registrados en el 2010. Las nuevas tecnologías de protección En septiembre y octubre, el tamaño de la SCBL superó
contra correos electrónicos no deseados y los desmontajes las 400 000 direcciones IP antes de disminuir en octubre,
destacados de botnets relacionados con correo electrónico hecho que nuestros investigadores de amenazas atribuyen
no deseado han colaborado para que los niveles de correo a que los operadores de Necurs simplemente se tomaron
electrónico no deseado se mantengan bajos en los últimos un tiempo. También observe la disminución significativa que
años. Nuestros investigadores de amenazas atribuyen el se produjo en junio. A fines de mayo, ocurrieron arrestos en
aumento reciente del volumen global de correos electrónicos Rusia relacionados con el troyano bancario Lurk (consulte la
no deseados al botnet Necurs. Necurs es un vector principal página 21). Posteriormente, varias amenazas destacadas,
para el ransomware Locky. También distribuye amenazas como incluido Necurs, desaparecieron. Sin embargo, 3 semanas
el troyano bancario Dridex. más tarde, Necurs volvió al ruedo y agregó más de
200 000 direcciones IP a la SCBL en menos de 2 horas.
Figura 15. Volumen total de correo electrónico no deseado
Figura 15 Volumen total de correos electrónicos no deseados
3,5K
3K
Correos electrónicos/

2,5K
segundos

2K
1,5K
1K
0,5K
0
2012 2013 2014 2015 2016

Fuente: CBL

Figura 16.Tamaño
Figura 16 Tamañototal
totaldede SCBL
SCBL

500k

400k
Filas

300k

200k

100k

0
Nov Dic Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov
2015 2016

Fuente: SpamCop

COMPARTIR

¹³ Para más información acerca de CBL, visite http://www.abuseat.org/.

26 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Muchas de las direcciones IP de host que enviaba el correo Los patrones con archivos .wsf durante el 2016 (consulte la
electrónico no deseado de Necurs han estado infectadas figura 17) proporcionan un ejemplo de cómo los adversarios
durante más de 2 años. Para mantener el alcance total del desarrollan las tácticas de correo electrónico no deseado
botnet oculto, Necurs enviará correo electrónico no deseado malicioso con el tiempo. Antes de febrero de 2016, este
solo de un subconjunto de hosts infectados. Un host infectado tipo de archivo muy rara vez se usó como archivo adjunto
puede utilizarse durante 2 o 3 días y luego, algunas veces, no malicioso. Luego, el uso de este tipo de archivo comenzó
volver a usarse durante 2 o 3 semanas. Este comportamiento a aumentar a medida que el botnet Necurs cobraba más
complica el trabajo del personal de seguridad que responde a actividad. En julio, los archivos .wsf representaron el 22 % de
ataques por correo electrónico no deseado. Pueden creer que todos los archivos adjuntos de correo electrónico no deseado
han identificado y limpiado correctamente un host infectado, malicioso. Esto también sucedió en torno al momento en que
pero los actores detrás de Necurs solo están haciendo tiempo la actividad de correo electrónico no deseado a nivel mundial
hasta poner en marcha otro ataque. aumentó notablemente (consulte la sección anterior), un
incremento que se debió en gran parte al botnet Necurs.
El 75 % del total de correos electrónicos no deseados
observado en octubre de 2016 contenía archivos adjuntos Durante agosto, septiembre y octubre, vimos fluctuaciones
maliciosos. El botnet Necurs envió la mayoría de los correos en los porcentajes de archivos .wsf. Esto indica que los
electrónicos no deseados. (Consulte la figura 17). Necurs adversarios se retiraban en los momentos en que el tipo de
envía los archivos adjuntos en formato .zip maliciosos que archivo se detectaba con mayor frecuencia.
incluyen archivos ejecutables integrados, como JavaScript,
.hta, .wsf y aplicaciones de descarga VBScript. Para calcular
el porcentaje del total de correos electrónicos no deseados
Figura 17 Porcentaje del total de correos
que contienen archivos adjuntos maliciosos, contamos tanto
Figura 17. Porcentaje
electrónicos del totalque
no deseados del correo electrónico
contienen archivos
el archivo “contenedor” (.zip) como los archivos “secundarios” no deseado que contiene archivos adjuntos maliciosos
incluidos en él (como un archivo JavaScript) como archivos adjuntos maliciosos
adjuntos maliciosos individuales.
80%

Los atacantes prueban con los tipos de archivos Con archivos adjuntos maliciosos
adjuntos para mantener actualizadas las campañas Contiene .hta malicioso
de correo electrónico no deseado malicioso
60%
Porcentaje de correos electrónicos

Nuestros investigadores de amenazas analizaron el modo


en que los adversarios utilizan distintos tipos de archivos
adjuntos para evitar que el correo electrónico no deseado
no deseados totales

Contiene .js malicioso


malintencionado sea detectado. Descubrimos que desarrollan
continuamente sus estrategias; para ello, hacen pruebas con 40%
una amplia variedad de tipos de archivo y cambian de táctica Contiene .zip malicioso
rápidamente cuando no logran resultados satisfactorios.

En la figura 17 se muestra cómo los operadores de correo Contiene .docm malicioso

electrónico no deseado malicioso hicieron pruebas con el uso 20%


de archivos .docm, JavaScript, .wsf y .hta durante el período
Contiene .wsf malicioso
observado. Como se mencionó anteriormente, muchos de
estos tipos de archivos están asociados con correo electrónico
no deseado enviado por el botnet Necurs. (Para conocer 0%
la investigación relacionada con otros tipos de archivo que
2015 Ene
Feb
Mar
Abr
May

Jul
Ago
Sep
Oct
Nov
Dic.
2016 Ene
Feb
Mar
Abr
May

Jul
Ago
Sep
Oct
Jun

Jun

analizamos, consulte el apéndice en la página 78).

Los porcentajes específicos para los diferentes tipos de


archivo en un mes determinado se obtienen a partir del
porcentaje del total de correo electrónico no deseado que Fuente: Cisco Security Research

contenía archivos adjuntos maliciosos observados en el mes


en cuestión. Entonces, por ejemplo, en julio del 2016, los
COMPARTIR
archivos .docm representaron el 8 % del porcentaje total de los
archivos adjuntos maliciosos observados.

27 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Ataques por correo electrónico no deseado: Compare el ataque de tipo hailstorm con una campaña de
hailstorm y snowshoe correo electrónico no deseado de tipo snowshoe, que también
se muestra en la figura 18, en la que los atacantes intentan
Dos tipos de ataques maliciosos por correo electrónico
pasar desapercibidos ante las soluciones de detección
no deseado son especialmente problemáticos para los
basadas en volúmenes. La cantidad de búsquedas de DNS
defensores: los ataques denominados “hailstorm” (granizada)
es constante, pero solo hay unas 25 consultas por hora.
y “snowshoe” (calzado para la nieve). Ambos recurren a la
Estos ataques de bajo volumen permiten que los adversarios
velocidad y al punto al que se dirigen, y ambos son altamente
distribuyan correo electrónico no deseado en forma silenciosa
eficaces.
a partir de una amplio rango de direcciones IP.
Los ataques de tipo hailstorm se dirigen a sistemas contra
Si bien estos ataques por correo electrónico no deseado
correo electrónico no deseado. Los operadores detrás de
funcionan de manera diferente, tienen aspectos en común.
estos ataques hacen uso del poco tiempo que hay entre el
Con cualquiera de estos dos enfoques, los adversarios pueden
momento en que inician su campaña de correo electrónico
hacer lo siguiente:
no deseado y el momento en que los sistemas de protección
contra correo electrónico no deseado la detectan e impulsan ●● Evadir una mala reputación mediante envíos desde dominios
la cobertura con los análisis de protección contra correo y dirección IP limpios.
electrónico. Generalmente, los adversarios tienen unos solos
segundos o minutos para actuar antes de que sus campañas ●● Emular correo de marketing con contenido profesional y
sean detectadas y bloqueadas. administración de suscripciones.

●● Utilizar sistemas de correo electrónico bien configurados en


El pico que se observa en la figura 18 es un ataque de lugar de scripts descuidados o bots de correo electrónico no
tipo hailstorm. La actividad se muestra en la interfaz de deseado.
investigación de Cisco. Justo antes del ataque, nadie
resolvía la dirección IP. Luego, de pronto, la cantidad de ●● Configurar correctamente registros de marco de directivas de
computadoras que resolvían el dominio en DNS aumentó remitente (SPF) y DNS inverso doble.

a más de 78 000 antes de volver a 0.

Figura
Figura 18.
18 Comparación
Comparación de
de los
los ataques
ataques de
de correo
correo electrónico
electrónicono
nodeseado
deseadotipo Hailstorm yy Snowshoe
de Hailstorm Snowshoe

Ataque de correo electrónico no deseado tipo Hailstorm 78 651 consultas


75,000
Consultas DNS/hora

50,000

25,000

0
16 18 20 22 24 26 28 30 2 4 6 8 10 12 14
Sep Oct
Consultas DNS/hora

Ataque de correo electrónico no deseado tipo Snowshoe


40
35 consultas
20
0
16 18 20 22 24 26 28 30 2 4 6 8 10 12 14
Sep Oct
Fecha

Fuente: Cisco Investigate

COMPARTIR

28 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Los adversarios también pueden afectar la detección de En la figura 19 se muestran las principales alertas de ataques
contenido al transformar el texto y alternar entre distintos de amenazas. Esta es una descripción general de los mensajes
tipos de archivo. (Para obtener más información sobre cómo de correo electrónico no deseado y de suplantación de
los ciberdelincuentes desarrollan sus amenazas para evadir identidad que observamos que los adversarios con frecuencia
a los defensores, consulte la sección “Tiempo de desarrollo”, actualizaron en el 2016 para sortear los controles y las reglas
en la página 34). Para obtener más información sobre cómo de seguridad de correo electrónico. Es importante saber
hacen pruebas con archivos adjuntos maliciosos para el correo qué tipos de amenazas de correo electrónico son los más
electrónico no deseado, consulte la sección anterior. predominantes para que pueda evitar ser engañado por estos
mensajes maliciosos.

Figura 19
Figura 19. Alertas principales
Principales alertasdede
brotes de amenazas
ataques de amenazas

Identificador de Nombre y URL Tipos de Última fecha


Versión la publicación de la publicación Resumen del mensaje archivo adjunto Idioma de publicación

96 35656 RuleID4626 Facturación, pago .zip Alemán, inglés 25/04/2016

87 34577 RuleID10277 Orden de compra .zip Alemán, inglés 02/06/2016

82 36916 RuleID4400KVR Órdenes de compra .zip Inglés 01/02/2016

Orden de compra,
74 38971 RuleID15448 pago, recibo .zip, .gz Inglés 08/08/2016

Pedido, pago,
72 41513 RuleID18688 seminario
.zip Inglés 01/09/2016

Orden de compra,
70 40056 RuleID6396 pago, recibo
.rar Inglés 07/06/2016

66 34796 RuleID5118 Pedido de productos, pago .zip Alemán, inglés 29/09/2016

Inglés, alemán,
64 39317 RuleID4626 (cont) Factura, pago, envío .zip 28/01/2016
español
Confirmación, pago/
64 36917 RuleID4961KVR transferencia, pedido, envío
.zip Inglés 08/07/2016

Aviso de entrega, comparecencia


63 37179 RuleID13288 judicial, factura del ticket .zip Inglés, español 21/07/2016

61 38095 RuleID858KVR Envío, cotización, pago .zip Inglés 01/08/2016

Solicitud de cotización, Inglés, alemán,


58 39150 RuleID4961KVR pedido de productos
.zip 25/01/2016
Multiple Languages
Transferencia, envío, Inglés, alemán,
47 41886 RuleID4961 facturación .zip 22/02/2016
español

Fuente: Cisco Security Research

Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics

29 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Método
Reconocimiento Armamentización Instalación
de entrega
Una vez que la amenaza se establece, instala una puerta trasera en el sistema de un blanco, lo que les brinda
a los atacantes un acceso persistente.

Figura 20. Muestra de malware de


bajo volumen observado
Métodos de ataque web: las instantáneas Figura 20 Muestra de malware de bajo
de “cola larga” revelan amenazas que los volumen observado
usuarios pueden evitar con facilidad
La denominada “cola larga” del espectro de métodos de PUA y binarios sospechosos
91
ataque web (figura 20) incluye un conjunto de tipos de
malware de menor volumen que se emplean en una etapa
posterior en la cadena de ataque: la instalación. En esta
etapa, la amenaza distribuida (un troyano bancario, un virus,
36 Heurístico
una aplicación de descarga o algún ataque de otro tipo)
instala una puerta trasera en el sistema objetivo, y así los
adversarios obtienen acceso continuo y la oportunidad para
16 Gusano (Allaple)
retirar datos, iniciar ataques de ransomware y participar en
otra acción maliciosa.
14 Descargador troyano (HTML)
Las amenazas incluidas en la figura 20 son ejemplos de firmas
de malware que no se encuentran dentro de los 50 tipos de 10 Descargador troyano (JS)
malware más comúnmente observados. La “cola larga” de
los métodos de ataque web es, básicamente, una instantánea 9 Troyanos (Agent)
de amenazas que trabajan silenciosamente en una máquina
o sistema después de un ataque exitoso. Muchas de estas 7 Descargador troyano (VBS)
infecciones se generaron, en principio, por exponerse
a adware malicioso o a un fraude de suplantación de identidad
7 Puerta trasera (Java)
bien diseñado. Estas son situaciones que los usuarios pueden
a menudo evitar fácilmente o corregir rápidamente. 5 Troyanos (Locky)
5 Heurístico (CVE-2013-0422)
3 Virus (Replog)
2 Troyanos (Win32)
COMPARTIR
2 Virus (Fas)
2 Malware de descargador troyano (Small)
2 Troyanos (Cryptodef)
2 Puerta trasera (Farfli)
2 Puerta trasera (Gbot)
1 Linux (Veribak)
Troyanos de redireccionamiento del
1 navegador (JSRedir)
1 Descargador troyano (Upatre)
1 Descargador troyano (Win32)
1 Puerta trasera (NuPrader)
1 Troyanos (Shifu)
1 Troyanos (Zbot)
1 Troyanos (Yakes)
1 Troyanos (Scar)
1 Troyanos (Reconyc)
1 Troyanos (Crypt)
1 Troyanos (Crypmod)
1 Troyanos (Bitman)
1 Troyanos (Deshacop)

Fuente: Cisco Security Research

30 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Riesgo vertical de hallazgos de malware: los atacantes ven el valor en todos los ámbitos
En el Informe semestral sobre ciberseguridad de 2016 de Si observamos los mercados verticales y sus tasas de bloqueo
Cisco, un mensaje clave sobre el riesgo de malware fue que con el tiempo (figura 21), vemos que, en algún momento a lo
“no hay ningún mercado vertical seguro”. A partir del análisis largo de varios meses, cada sector ha sufrido tráfico de ataque
periódico que realizan nuestros investigadores sobre el tráfico en diversos niveles. Está claro que los ataques aumentan
de ataque (“tasas de bloqueo”) y el tráfico “normal” o previsto y disminuyen, y afectan a distintos mercados verticales en
para cada sector, este mensaje sigue teniendo vigencia en la diversos momentos, pero ninguno es inofensivo
segunda mitad del año.

Figura
Figura21
21. Porcentaje
Porcentajededeíndices de bloqueos
las tasas verticales
mensuales mensuales
de bloqueo vertical

40% 40% 40% 40%

20% 20% 20% 20%

0% 0% 0% 0%
Contabilidad Agricultura y minería Automóviles Aeronáutica

40% 40% 40% 40%

20% 20% 20% 20%

0% 0% 0% 0%
Banca y finanzas Instituciones benéficas Educación Electrónica
y ONG
40% 40% 40% 40%

20% 20% 20% 20%

0% 0% 0% 0%
Energía, petróleo y gas Ingeniería y construcción Entretenimiento Alimentos y bebidas

40% 40% 40% 40%

20% 20% 20% 20%

0% 0% 0% 0%
Gobierno Atención médica Calefacción, plomería y A/A Industrial

40% 40% 40% 40%

20% 20% 20% 20%

0% 0% 0% 0%
Seguros TI y telecomunicaciones Legales Fabricación

40% 40% 40% 40%

20% 20% 20% 20%

0% 0% 0% 0%
Medios de comunicación Productos farmacéuticos Servicios profesionales Bienes raíces y gestión
y editoriales y químicos de tierras
40% 40% 40% 40%

20% 20% 20% 20%

0% 0% 0% 0%
Comercio minorista Transporte y navegación Viajes y ocio Servicios públicos
y mayorista

Fuente: Cisco Security Research

COMPARTIR

31 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Descripción general regional de la actividad de bloqueo web


Los adversarios cambian con frecuencia su base de ciberseguridad de 2016 de Cisco. En Estados Unidos reside
operaciones, en busca de infraestructura débil desde las que la mayor cantidad de bloqueos, pero esto se debe considerar
puedan iniciar sus campañas. Al analizar el volumen total de una función de la mayor cantidad de tráfico en línea del país.
tráfico de Internet y la actividad de bloqueo, los investigadores Además, Estados Unidos es uno de los objetivos de ataques
de amenazas de Cisco brindan conocimientos sobre las de malware más grandes del mundo.
fuentes de malware.
Las conclusiones de los profesionales de seguridad: muy
Como se muestra en la figura 22, el tráfico de los parecido a lo que sucede con la actividad de bloqueo web del
Estados Unidos aumentó levemente con respecto a las mercado vertical, la actividad de bloqueo web regional muestra
tasas de bloqueo observadas en el Informe semestral sobre que el tráfico de malware es un problema global.

Figura 22. Bloqueos web por país


Figura 22 Bloques web por país

Relación esperada: 1.0

3.88 Alemania

0.94 Rusia
Francia 0.87
Canadá 2.11

1.47 Ucrania

Estados Unidos 1.20 Italia 1.22


1.31 China

Belice 1.54
1.07 Vietnam
Panamá 1.46 1.15 Venezuela
2.84 Indonesia
Perú 1.43

1.60 Australia
1.00 Turquía
Chile 0.83
Malasia 3.52
Rumania 2.77

Fuente: Cisco Security Research

COMPARTIR

32 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Tiempo de detección: una métrica fundamental para medir el progreso de los defensores
Cisco redefine continuamente el enfoque para medir el La revisión de datos retrospectivos es importante no solo
tiempo de detección para que podamos asegurarnos de que para determinar una medida más precisa de nuestro tiempo
realizamos el seguimiento y el informe del cálculo más preciso de detección medio, sino también para estudiar cómo las
de nuestro tiempo de detección medio. Los ajustes recientes amenazas se desarrollan con el tiempo. Las numerosas
en nuestro enfoque han incrementado nuestra visibilidad de amenazas en el panorama son particularmente evasivas
archivos que se clasificaron como “desconocidos” al ser vistos y puede llevar mucho tiempo identificarlas aunque la
por primera vez y, luego, como “malos conocidos” después comunidad de seguridad las conozca.
del análisis continuo y de la observación global. Gracias a una
mirada más integral de los datos, podemos identificar mejor Los adversarios desarrollarán algunas familias de malware
cuando surgió una amenaza por primera vez y exactamente para evitar la detección y aumentar su tiempo para operar.
cuánto tiempo necesitaron los equipos de seguridad para Esta táctica dificulta el progreso de los defensores de lograr,
determinar que se trataba de una amenaza. y luego mantener, una ventaja en la detección de muchos tipos
de amenazas conocidas. (Para obtener más información sobre
Este nuevo conocimiento nos ayudó a determinar que nuestro este tema, consulte “Tiempo de desarrollo: en el caso de
tiempo de detección medio era de 39 horas en noviembre de algunas amenazas, el cambio es constante”, en la página 34).
2015. (Consulte la figura 23). Para enero del 2016, habíamos Sin embargo, el hecho de que los ciberdelincuentes se
reducido el tiempo de detección medio a 6,9 horas. Después ocupen de un rápido y frecuente desarrollo de sus amenazas
de recopilar y analizar datos para octubre de 2016, nuestros indica que enfrentan una presión intensa y sistemática
investigadores de amenazas determinaron que los productos para encontrar formas de mantener las amenazas en
de Cisco habían alcanzado un tiempo de detección medio de funcionamiento y rentables.
14 horas para el período de noviembre de 2015 a octubre
Figura 23. TTD medio por mes
de 2016. (Nota: La figura del tiempo de detección medio
Figura 23 TTD medio por mes
para el 2016 es el promedio de los tiempos medios del
período observado). 40
39,16

El tiempo de detección medio fluctuó a lo largo del 2016, pero,


en general, tendió a disminuir. Los aumentos en el tiempo de 30
detección medio señalan momentos en los que los atacantes
Horas medianas

iniciaron una ola de nuevas amenazas. Las posteriores


disminuciones reflejan los períodos en que los defensores
20 18,22
obtuvieron la ventaja y pudieron identificar amenazas
15,19
conocidas rápidamente.

En la figura 23 también se muestra que el tiempo de detección 10 8,11


medio era de aproximadamente 15 horas a finales de abril,
8,48 8,58
que es mayor que la cifra de 13 horas que informamos 6,89 6,48 6,05
en el Informe semestral de ciberseguridad de 2016 de
0
Cisco.¹⁴ Esa cifra de 15 horas se obtuvo a partir de los datos
2015 Nov

Dic.

2016 Ene

Feb

Mar

Abr

May

Jun

Jul

Ago

Sep

Oct
recopilados de noviembre de 2015 a abril de 2016. No se
obtuvo mediante el uso de nuestro enfoque modificado para
analizar información retrospectiva más detallada sobre los
archivos. Con la nueva cifra de tiempo de detección semestral,
podemos informar que el tiempo de detección disminuyó
a unas 9 horas para el período de mayo a octubre de 2016. Fuente: Cisco Security Research

Cisco define el tiempo de detección (TTD) como la ventana de tiempo entre un riesgo y la detección de una amenaza.
Determinamos este período mediante la telemetría de seguridad de inclusión voluntaria reunida de los productos de
seguridad de Cisco implementados en todo el mundo. A través de nuestra visibilidad global y un modelo de análisis
continuo, podemos realizar mediciones desde el momento en que el código malicioso se ejecuta en un terminal hasta
el momento en que se determina que es una amenaza para todo el código malicioso que no se clasificó cuando
se detectó.

¹⁴ Informe semestral sobre ciberseguridad 2016 de Cisco: http://www.cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html.

33 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Tiempo de desarrollo: en el caso de algunas amenazas, el cambio es constante


Los ciberdelincuentes utilizan diferentes técnicas de A través de nuestra investigación, aprendimos lo siguiente:
ofuscación para que su malware se mantenga fuerte
y rentable. Dos métodos comunes que emplean consisten ●● Las familias de ransomware tienen, aparentemente, una rotación
en desarrollar los tipos de distribución de carga útil y en similar de archivos binarios nuevos. Sin embargo, Locky utiliza
generar rápidamente nuevos archivos (que anulan los métodos más combinaciones de MIME y extensiones de archivos para
de detección de solo hash). Nuestros investigadores analizaron distribuir su carga útil.
detenidamente cómo los adversarios usaron estas dos ●● Algunas familias de malware emplean solo unos pocos
estrategias para ayudar a seis familias conocidas de malware métodos de distribución de archivos. Otras utilizan 10 o más.
(Locky, Cerber, Nemucod, Adwind RAT, Kryptik y Dridex) Los adversarios suelen usar archivos binarios eficaces durante
a evadir la detección y a continuar poniendo en riesgo a períodos prolongados. En otros casos, los archivos aparecen
usuarios y sistemas. y luego desaparecen rápidamente, lo que indica que los
creadores de malware tienen la presión de cambiar de táctica.
Con nuestro análisis, intentamos medir el “tiempo de
desarrollo”, es decir, el tiempo que les lleva a los adversarios ●● Las familias de malware Adwind RAT y de Kryptik tienen
cambiar la forma en que se distribuye el malware específico un tiempo de detección medio más alto. (Para obtener
y el tiempo que transcurre entre cada cambio en las tácticas. más información sobre el tiempo de detección, consulte
Analizamos datos de ataque web de diferentes fuentes de la página 33). También observamos una mayor combinación
Cisco, específicamente: datos de proxy web, productos de antigüedades de archivos para estas familias. Esto sugiere
avanzados contra malware en la nube y en terminales, que los adversarios reutilizan los archivos binarios eficaces que
y motores compuestos contra malware. saben que son difíciles de detectar.

●● Al observar la antigüedad de los archivos de la familia del


Nuestros investigadores buscaron cambios en las extensiones malware Dridex, pareciera que la economía informal está
de archivo que distribuyen el malware y el tipo de contenido abandonando el uso de este troyano alguna vez popular.
de archivo (o MIME) según lo define el sistema de un usuario. A finales del 2016, el volumen de detección de Dridex
Determinamos que cada familia de malware tiene un patrón disminuyó, al igual que el desarrollo de nuevos archivos binarios
único de desarrollo. Para cada línea, analizamos los patrones en que distribuían este malware. Esta tendencia sugiere que
los métodos de distribución por la Web y por correo electrónico. los creadores de malware consideran que ya no vale la pena
También realizamos un seguimiento de la antigüedad de los desarrollar esta amenaza o que han descubierto una nueva forma
algoritmos hash únicos asociados con cada familia de malware de distribuir el malware que lo ha vuelto más difícil de detectar.
para determinar la rapidez con que los adversarios crean
nuevos archivos (y, así, nuevos algoritmos hash).

34 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Tiempo de desarrollo y tiempo de detección


En la figura 24, se enumeran las seis familias de malware que Las amenazas antiguas y generalizadas que los adversarios
analizamos en nuestro estudio sobre el tiempo de desarrollo. no se preocupan por desarrollar demasiado, o en absoluto,
El gráfico representa el tiempo de detección medio para las también se detectan habitualmente en menos tiempo que el
20 principales familias de malware (por recuento de detección) tiempo de detección medio. Entre los ejemplos se incluyen
que nuestros investigadores observaron de noviembre de 2015 familias de malware, como Bayrob (botnet de malware),
a noviembre de 2016. Nuestro tiempo medio de detección Mydoom (gusanos de computadoras que afectan a Microsoft
promedio para ese período fue de aproximadamente 14 horas. Windows) y Dridex (troyano bancario).
(Para obtener más información sobre cómo calculamos el
tiempo de detección, consulte la página 33). En las siguientes secciones, presentamos los puntos
destacados de la investigación sobre tiempo de desarrollo
Muchas de las familias de malware que los productos Cisco y tiempo de detección de las familias de malware Locky,
están detectando dentro del tiempo de detección medio son Nemucod, Adwind RAT y Kryptik. La conclusión detallada sobre
las amenazas industrializadas que se diseminan rápidamente y, Cerber y Dridex se incluye en el apéndice de la página 78.
por lo tanto, son más frecuentes. Cerber y Locky (dos tipos de
ransomware) son ejemplos.

Figura 24 Medias de TTD de las principales familias de malware (principales 20 familias


por recuento
Figura 24: TTD de detecciones)
medio de las principales familias de malware (principales 20 familias por recuento de detecciones)

35
nemucod
Porcentaje de detecciones totales

30

25 bayrob

20

15

10

docdl
locky dridex
5 donoff
insight
fareit kryptik
mabezat adwind
mydoom cerber mamianune razy upatre
0 hancitor adnel zbot zusy
0 5 10 15 20 25 30 35 40 45 50

TTD promedio de Cisco


Horas de TTD medio

Fuente: Cisco Security Research

COMPARTIR

35 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Análisis del tiempo de desarrollo: Locky


Mediante nuestra investigación sobre el tiempo de desarrollo, que se observaron durante un mes específico. La parte inferior
descubrimos que Locky y Cerber utilizan una cantidad limitada del gráfico muestra cambios mensuales en el volumen de
de combinaciones de MIME y de extensiones de archivos algoritmos hash relacionados con Locky, tanto archivos
para distribuir malware por la Web y por correo electrónico. nuevos como archivos observados anteriormente.
(Consulte la figura 25). Observamos varias combinaciones
que incluían tipos de contenido de archivo relacionados con En la figura 26, también se señala una disminución en el
Microsoft Word (msdownload, ms-word). Sin embargo, las volumen en junio, así como la distribución de las antigüedades
extensiones de archivo asociadas (.exe y .cgi) no apuntaban de los archivos. El botnet Necurs, que se sabía que distribuía
a un archivo de Word. También identificamos tipos de Locky, se desmontó en junio. Es probable que este hecho haya
contenido que apuntaban a archivos .zip maliciosos. puesto a un lado los esfuerzos de los creadores de malware
por mantener el malware actualizado durante ese mes. Sin
Tanto Locky como Cerber también parecen utilizar nuevos embargo, está claro que se recuperaron rápidamente. En julio,
archivos binarios con frecuencia en el intento de evadir la el malware había vuelto a su combinación más estándar de
detección basada en archivos. La antigüedad de los archivos antigüedades de archivos: la mayoría (74 %) con una antigüedad
de la familia de Locky se muestran en la figura 26. La mitad de menos de un día al ser detectados por primera vez.
superior de gráfico representa las antigüedades de archivos

Figura 25
Figura 25.La extensiónde
Extensión del archivoyycombinaciones
archivo las Figura 26 Antigüedades de hash para la familia del
Figura 26. Años de hash de malware de Locky
MIME para la familia de amenazas e de
combinaciones de MIME para la familia amenazas
indicadores malware Locky y porcentaje de volumen total de
Familia y el porcentaje
e indicadores que condujeron a, e incluyen, la carga hash obtenido por mes de volumen total
que generan e incluyen la carga de Locky de hash observado por mes
útil de Locky (vectores web y de correo electrónico)
(vectores de correo electrónico y web)
Porcentaje de hash de Locky,

100%
años de hash < 24 horas
May

Ago
Sep

Nov
Mar
Feb
Ene

Ene

Jun

Oct
Jul

Vectores exclusivos 75%


doc y aplicación/msword
exe y aplicación/msdownload 50%
sin extensión y texto/sin formato
exe y aplicación/msdos-prog…
xls y aplicación/vnd.ms-excel 25%
js y texto/sin formato
zip y aplicación/zip
doc y texto/sin formato 0%
sin extensión y aplicación/zip Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
2015 2016
aspx y aplicación/zip
Porcentaje de volumen

jsp y aplicación/zip
lib y texto/sin formato
10%
total de hash

sin extensión y aplicación/dosexec


rar y aplicación/x-rar
js y texto/html 5%
php y aplicación/zip
rtf y aplicación/msword 0%
docm y aplicación/vnd.open…
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
sin extensión y aplicación/vnd…
sin extensión y aplicación/ms-wo… 2015 2016
cgi y aplicación/ms-word.doc…
wsf y texto/html Fuente: Cisco Security Research
doc y aplicación/vnd.open…
wsf y aplicación/xml
sin extensión y aplicación/vnd…
js y texto/javascript
xls y aplicación/vnd.openxml…
vbs y texto/sin formato

Correo electrónico Web

Fuente: Cisco Security Research

COMPARTIR

36 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

La rápida alternancia de archivos binarios para este Figura 27


Figura TTD de
27. TTD de la
la familia
familia de
delmalware
malwarede
Locky
Locky
ransomware no es sorprendente. Las instancias de Locky
y de Cerber suelen ser detectadas el mismo día que son
introducidas o en un plazo de 1 a 2 días después, por lo 116,1
120
cual los adversarios se ven ante la necesidad de desarrollar

Horas medianas
100 89,3
continuamente estas amenazas si desean que sigan siendo
80
activas y eficaces. (En la figura 24, mencionada anteriormente,
se muestran los productos de Cisco que detectaron el 60
ransomware Locky y de Cerber dentro del tiempo de 40
detección medio en el 2016). 20 7,1 5,9
4,7
0
En la figura 27 se muestra el tiempo de detección medio del
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
ransomware Locky, que disminuyó considerablemente de 2015 2016
aproximadamente 116 horas en noviembre de 2015 a menos
de 5 horas en octubre de 2016. Fuente: Cisco Security Research

37 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Análisis del tiempo de desarrollo: Nemucod Un motivo por el cual el malware Nemucod fue tan predominante
En el 2016, Nemucod fue el malware detectado con mayor en el 2016, según nuestros investigadores de amenazas, es que
frecuencia entre las 20 familias principales que se muestran en sus creadores desarrollaron con frecuencia esta amenaza. Cisco
la figura 24. Los adversarios usan este malware de aplicación identificó más de 15 combinaciones de MIME y de extensiones
de descarga para distribuir el ransomware y otras amenazas, de archivos asociadas con la familia Nemucod que se usaban
como troyanos de puerta trasera que facilitan los fraudes para distribuir malware por la Web. Muchas otras combinaciones
mediante un clic. Algunas variantes de Nemucod también se utilizaron para distribuir la amenaza a los usuarios a través del
funcionan como motores para distribuir la carga útil del correo electrónico (figura 28).
malware de Nemucod.
Varios combinaciones de MIME y de extensiones de archivos
(de distribución por la Web y por correo electrónico) fueron
diseñadas para dirigir a los usuarios a archivos o ficheros
Figura 28 Extensión del archivo y combinaciones
Figura 28. Extensión de archivo y combinaciones MIME .zip maliciosos. Los adversarios también reutilizaron varias
MIME para Nemucod
para Nemucod (vectores
(vectores de correoweb y de y web)
electrónico combinaciones durante los meses que observamos.
correo electrónico)
Como se muestra en la figura 29, muchos algoritmos hash de
May

Ago
Sep

Nov
Mar

Nemucod tienen menos de 2 días de antigüedad cuando se


Feb
Ene

Abr

Jun

Oct
Jul

Vectores exclusivos
detectan. En septiembre y octubre del 2016, prácticamente
js y aplicación/javascript
html y texto/html cada archivo binario relacionado con la familia de Nemucod
zip y aplicación/zip tenía menos de un día de antigüedad.
sin extensión y aplicación/zip
zip y aplicación/x-zip-comp… Figura 29. Años de hash para la familia de
Figura 29 Antigüedades de hash para la familia del
html y aplicación/zip
php y aplicación/zip malware de Nemucod
malware Nemucod y porcentaje
y porcentaje de volumen
de volumen total de
zip y texto/sin formato
js y texto/sin formato
total de hash observado
hash observado por mes por mes
js y texto/x-pascal
js y texto/javascript
Porcentaje de hash de Nemucod,

dat y aplicación/vnd.ms-tnef 100%


rar y aplicación/x-rar
años de hash < 24 horas

aspxx y aplicación/zip
xls y aplicación/zip 75%
aspx y aplicación/zip
cgi y aplicación/zip
50%
wsf y texto/html
sin extensión y aplicación/archivo
html y aplicación/archivo 25%
cgi y aplicación/archivo
js y texto/x-makefile
js y texto/x-c 0%
jsp y aplicación/zip
sin extensión y texto/html
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
jse y texto/sin formato 2015 2016
zip y aplicación/archivo
Porcentaje de volumen

lib y texto/sin formato


lib y texto/x-makefile 50%
total de hash

lib y texto/x-c
lib y texto/x-pascal
gif y aplicación/zip 25%
jpg y aplicación/zip
pdf y aplicación/zip
docx y aplicación/zip 0%
tiff y aplicación/zip Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
zip y aplicación/x-rar 2015 2016
wrn y texto/sin formato
wrn y texto/x-c
wrn y texto/x-pascal Fuente: Cisco Security Research
vbs y texto/sin formato
js y texto/html
tgz y aplicación/x-gzip Figura
Figura 30.
30 TTD
TTDde
delalafamilia
familiade malware
del deNemucod
malware Nemucod
wsf y aplicación/xml
docx y aplicación/vnd.open…
doc y aplicación/zip
85,0
rar y aplicación/zip
Horas medianas

php y aplicación/javascript
80
zip y aplicación/x-gzip 60
cab y aplicación/vnd.ms-cab…
hta y texto/html 40 46,3
asp y aplicación/zip
21,8
13,9
cgi y audio/wav 20 7,3
hta y aplicación/zip
0
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
Correo electrónico Web 2015 2016

Fuente: Cisco Security Research Fuente: Cisco Security Research

38 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Análisis del tiempo de desarrollo: Adwind RAT


Los investigadores de amenazas de Cisco descubrieron que el También descubrimos que el tiempo de detección medio para
malware Adwind RAT (troyano de acceso remoto) se distribuye Adwind RAT es siempre más alto que el tiempo de detección
a través de combinaciones de MIME y de extensiones medio para otras familias de malware que analizamos
de archivos, que incluyen archivos .zip o .jar. Esto es así (figura 33). Aparentemente, los creadores de malware han
independientemente de que el malware se distribuya mediante desarrollado mecanismos de distribución difíciles de detectar
el vector de ataque por correo electrónico o por la Web. que garantizan el éxito de Adwind RAT. Por lo tanto, no
(Consulte la figura 31). deben rotar por nuevos algoritmos hash con la misma rapidez
o frecuencia como los que trabajan con otras familias de
Adwind RAT utilizó una amplia gama de antigüedades de hash malware. El troyano Adwind también es conocido por otros
durante la mayor parte del período observado en el 2016, nombres, como JSocket y AlienSpy.
excepto en septiembre y en octubre, cuando la mayoría de los
archivos vistos tenían 1 o 2 días de antigüedad (figura 32).

Figura 31 Extensión del archivo y combinaciones Figura


Figura 32.
32 Años de hash para
Antigüedades la familia
de hash parade
lamalware
familia del
Figura para
MIME 31. Extensión de archivo
Adwind RAT y combinaciones
(vectores MIME
web y de correo de Adwind
malware RAT y porcentaje
Adwind de volumen
RAT y porcentaje total de total
de volumen
para Adwind RAT (vectores de correo electrónico y web)
electrónico) hash observado
de hash por mes
observado por mes
Porcentaje de hash de Adwind RAT,
100%
May

Ago
Sep

Nov
Mar
Feb
Ene

Abr

Jun

Oct
Jul

Vectores exclusivos
años de hash < 24 horas

jar y aplicación/archivo java 75%


jar y aplicación/zip
jar y aplicación/archivo
zip y aplicación/zip 50%
sin extensión y aplicación/archivo
sin extensión y aplicación/zip 25%
clase y aplicación/x-java-applet
0%
Correo electrónico Web
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
2015 2016
Fuente: Cisco Security Research
Porcentaje de volumen

1,5%
total de hash

1%
Descargue los gráficos de 2017 en:
0,5%
www.cisco.com/go/acr2017graphics
0%
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
2015 2016

Fuente: Cisco Security Research

Figura 33. TTD de la familia de malware


Figura
de 33 TTD
Adwind RATde la familia del malware Adwind RAT
Horas medianas

80 70,7
60
40
20 30,0 25,3 13,0
0 16,2
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
2015 2016

Fuente: Cisco Security Research

39 Comportamiento del atacante


Informe anual sobre ciberseguridad de 2017 de Cisco

Análisis del tiempo de desarrollo: Kryptik En nuestro análisis de las seis familias de malware,
Kryptik, como el malware Adwind RAT, tenía una tiempo de descubrimos que los adversarios deben cambiar de táctica
detección medio constantemente más alto (aproximadamente con frecuencia para aprovechar el poco tiempo durante el
20 horas) que otras familias de malware que Cisco analizó cual las amenazas pueden funcionar correctamente. Estos
para el estudio sobre el tiempo de detección de noviembre de ajustes se indican que los defensores están teniendo un mejor
2015 a octubre de 2016 (figura 36). Sin embargo, en octubre, desempeño en la rápida detección de malware conocido,
los productos Cisco habían reducido el tiempo de detección incluso después de que una amenaza se haya desarrollado.
Los atacantes tienen la presión de encontrar nuevas maneras
medio del malware Kryptik a menos de 9 horas (figura 36).
de evitar la detección y de mantener sus campañas rentables.
La familia de malware Kryptik también utilizó una gama más
En este panorama complejo de rápido desarrollo, en el
amplia de antigüedades de hash en comparación con las otras
que todas las familias de malware se comportan de una
familias de malware que analizamos, especialmente durante
manera diferente, la experiencia humana y las soluciones
la primera mitad del 2016. La capacidad de los creadores
puntuales no son suficientes para identificar y responder
de Kryptik de utilizar algoritmos hash antiguos durante tanto
rápidamente a las amenazas. Para mejorar el tiempo de
tiempo indica que a los defensores les resultada difícil detectar
detección y garantizar una rápida solución cuando se producen
este tipo de malware.
infecciones, es fundamental contar con una arquitectura
Durante el período que observamos, los creadores de Kryptik de seguridad integrada que proporcione conocimientos en
emplearon una amplia gama de métodos de distribución de tiempo real sobre amenazas, junto con detección y defensa
carga útil mediante el vector de ataque web. Los creadores automatizadas.
utilizaron archivos JavaScript y archivos de almacenamiento, Figura
como .zip, en las combinaciones de MIME y de extensiones Figura 35.
35 Años de hash para
Antigüedades la familia
de hash parade
lamalware
familia del
de Kryptik y porcentaje de volumen total de hash
de archivos para la distribución tanto por la Web como por malware Kryptik y porcentaje de volumen total de
observado por mes
correo electrónico. (Consulte la figura 34). Algunas de las hash observado por mes
combinaciones se remontan al 2011.
100%
Porcentaje de hash de Kryptik,
años de hash < 24 horas

75%
Figura 34 Extensión del archivo y combinaciones
MIME para
Figura Kryptik (vectores
34. Extensión de archivoweb y de correo MIME
y combinaciones 50%
electrónico)
para Kryptik (vectores de correo electrónico y web)
25%
May

Ago

0%
Sep

Nov
Mar
Feb
Ene

Abr

Jun

Oct
Jul

Vectores exclusivos Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
js y aplicación/javascript 2015 2016
gif e imagen/gif
Porcentaje de volumen

jpg e imagen/jpeg
html y texto/html 2%
total de hash

js y texto/javascript
sin extensión y texto/html 1%
htm y texto/html
php y texto/html
0%
ico y texto/html
png e imagen/png Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
zip y aplicación/x-zip-comp… 2015 2016
zip y aplicación/zip
exe y aplicación/msdownload Fuente: Cisco Security Research
doc y aplicación/msword
sin extensión y aplicación/exe
sin extensión y aplicación/zip Figura 36. TTD de la familia de malware de Kryptik
js y texto/sin formato
rar y aplicación/x-rar
Figura 36 TTD de la familia del malware Kryptik
scr y aplicación/x-dosexec
exe y aplicación/x-dosexec
Horas medianas

jar y aplicación/zip 80 63,7


gif y texto/html
sin extensión y aplicación/archivo 60
vbs y texto/sin formato 34,4
40 55,1 22,4
asp y texto/html
sin extensión y aplicación/java… 20
php y aplicación/exe 8,7
tbz2 y aplicación/x-rar 0
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
Correo electrónico Web 2015 2016

Fuente: Cisco Security Research Fuente: Cisco Security Research

40 Comportamiento del atacante


Comportamiento
del defensor
Informe anual sobre ciberseguridad de 2017 de Cisco

Comportamiento del defensor


Vulnerabilidades en disminución en el 2016
En la segunda mitad del 2016, las vulnerabilidades divulgadas vulnerabilidades informadas puede indicar que estos esfuerzos
por los proveedores disminuyeron significativamente en están dando sus frutos. Es decir, los proveedores ahora
comparación con el 2015, según nuestra investigación se centran en la identificación de vulnerabilidades y en su
(figura 37). La base de datos de vulnerabilidad nacional corrección antes de que los productos lleguen al mercado.
muestra una disminución similar. No están completamente
claros cuáles son los motivos por los que disminuyeron los En el 2016, Apple fue el proveedor que experimentó
avisos de vulnerabilidades divulgadas. la disminución de vulnerabilidades más importante:
la empresa informó 705 vulnerabilidades en el 2015
Debe resaltarse que el 2015 fue un año inusualmente activo y 324 vulnerabilidades en el 2016 (una disminución del 54 %).
para las vulnerabilidades, por lo que las cifras del 2016 pueden De un modo similar, Cisco informó 488 vulnerabilidades en el
reflejar un ritmo normal de avisos de vulnerabilidad. De enero 2015 y 310 en el 2016 (una disminución del 36 %).
a octubre del 2015, las alertas alcanzaron 7602 en total.
Durante el mismo período en el 2016, las alertas alcanzaron Una preocupación entre los investigadores de seguridad es
6380 en total y, durante ese período en el 2014, las alertas que los profesionales de seguridad comiencen a experimentar
fueron 6272 en total. “cansancio por vulnerabilidades”. En los últimos meses, no ha
habido ningún anuncio de vulnerabilidades importantes que
La gran cantidad de informes de vulnerabilidades en el genere la reacción de todo el sector, como lo hizo Heartbleed
2015 puede indicar que los proveedores observaban más en el 2014. De hecho, la euforia en torno a las vulnerabilidades
detenidamente los productos y los códigos existentes, “con nombre”, como Heartbleed, y el aumento en el 2015
implementaban con más cuidado prácticas seguras de ciclo contribuyeron probablemente con el nivel de cansancio,
de vida del desarrollo e identificaban vulnerabilidades y las al menos, con la disminución en el interés por informar
corregían posteriormente. La disminución en la cantidad de vulnerabilidades.

Figura
Figura37
37. Alertas
Totalesacumulativas totales anuales
de alertas anuales acumuladas
9K

8K

7K
6380
6K 5976
5483
4969
Alertas

5K
4407
4K 3811

3K 2992

2193
2K
1327
1K
634

0
Ene Feb Mar Abr May Jun Jul. Ago. Sep. Oct. Nov. Dic.

2013 2014 2015 2016

Fuente: Cisco Security Research

42 Comportamiento del defensor


Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 38. Recomendaciones importantes de vulnerabilidad por proveedor y tipo


Figura 38 Asesorías de vulnerabilidad crítica por proveedor y tipo

Microsoft Adobe Cisco TPS ICS VMware Apple Apache Oracle HP


174 162 28 25 10 8 5 3 3 3

Fuente: Base de datos nacional de vulnerabilidad (NVD)

Cisco ahora utiliza las calificaciones de gravedad/efecto (SIR), en las cuales los niveles de calificación son “crítico”, “alto”, “medio” y “bajo”. Las
calificaciones reflejan una priorización simplificada de puntuaciones del sistema de puntuación de vulnerabilidades comunes (CVSS). Asimismo, Cisco ha
adoptado CVSS v3.0, el sucesor de CVSS v2.0. Debido a este cambio, algunas vulnerabilidades pueden tener puntuaciones más elevadas que antes, por lo
que los profesionales de la seguridad pueden ver un pequeño aumento en la cantidad de vulnerabilidades calificadas como “críticas” y “altas” en lugar de
“medias” y “bajas”. Para más información con respecto a este cambio de puntuación, consulte la publicación del blog Seguridad de Cisco,
Evolución de la puntuación de vulnerabilidades de seguridad: la secuela.

En el Estudio comparativo sobre capacidades de seguridad Figura


Figura 39.39 Asesorías de
Recomendaciones vulnerabilidades
importantes de vulnerabilidad seleccionadas
de 2017 de Cisco (página 49), los profesionales de seguridad críticas seleccionadas
indicaron una ligera disminución en su acuerdo respecto a la
puesta en operación de la seguridad. Esta disminución puede Fecha de
Título de la recomendación publicación
estar conectada con el “cansancio” que surge de la necesidad
de implementar continuamente parches o actualizaciones. Por Vulnerabilidad de ejecución del código de corrupción 28 de julio
ejemplo, en el 2016, el 53 % de los profesionales de seguridad de la memoria de Adobe Acrobat y Acrobat Reader de 2016
expresaron estar completamente de acuerdo con revisar Vulnerabilidad de ejecución del código remoto
28 de julio
y mejorar las prácticas de seguridad en forma periódica, de corrupción de la memoria de Adobe Acrobat
y Acrobat Reader de 2016
formal y estratégica; en el 2014 y el 2015, el 56 % expresó
Vulnerabilidad de corrupción de la memoria de Adobe 21 de julio
total acuerdo. Acrobat y Acrobat Reader de 2016

Por supuesto, una disminución de las vulnerabilidades no Vulnerabilidad de desbordamiento de operaciones Martes, 23 de
debe conllevar una confianza excesiva respecto al panorama de Adobe Acrobat y Acrobat Reader mayo de 2016
de amenazas: nadie debe pensar que la atención a las Vulnerabilidad de ejecución del código remoto 8 de febrero
de corrupción de la memoria de Adobe Acrobat
amenazas puede interrumpirse, incluso cuando no hay y Acrobat Reader de 2016
ataques destacados
Vulnerabilidad de corrupción de la memoria de Adobe 28 de julio
Acrobat y Acrobat Reader de 2016
Tal como lo hemos sugerido en informes anteriores, los
profesionales de seguridad deben hacer un esfuerzo conjunto Vulnerabilidad de corrupción de la memoria de Adobe 18 de julio
por priorizar los parches. Si la falta de personal y de recursos Acrobat y Acrobat Reader de 2016
de otro tipo impide la instalación oportuna de todos los Vulnerabilidad de corrupción de la memoria de Adobe Jun 23, 2016
parches disponibles, evalúe cuáles son los más críticos para Acrobat y Acrobat Reader
la seguridad de la red y póngalos arriba de la lista.
Vulnerabilidad de corrupción de la memoria de Adobe Martes, 24 de
Acrobat y Acrobat Reader mayo de 2016

Vulnerabilidad de corrupción de la memoria de Adobe Martes, 23 de


Descargue los gráficos de 2017 en: Acrobat y Acrobat Reader mayo de 2016
www.cisco.com/go/acr2017graphics
Fuente: Cisco Security Research

Las asesorías enumeradas arriba se relacionan con vulnerabilidades


críticas seleccionadas de 2016 que fueron informadas por diversas fuentes
por tener su código de ataque disponible públicamente o ser atacadas de
manera activa en la web abierta.

43 Comportamiento del defensor


Informe anual sobre ciberseguridad de 2017 de Cisco

Vulnerabilidades de servidor y de cliente Middleware: los adversarios ven una


Como se analizó en el Informe semestral sobre oportunidad en el software sin parches
ciberseguridad de 2016 de Cisco, los adversarios encuentran
tiempo y espacio para operar dentro de las soluciones de En el Informe semestral sobre ciberseguridad de 2016 de
servidor. Al iniciar ataques en el software de servidor, pueden Cisco, compartimos datos sobre ataques contra sistemas de
llegar a ganar control de más recursos de red o moverse servidor. En el 2017, el middleware, que conecta plataformas
lateralmente entre otras soluciones críticas. o aplicaciones, se prepara para atraer a los atacantes que
buscan lugares para operar en los que los defensores están
Los investigadores de Cisco han realizado un seguimiento lentos para reaccionar o reconocer una amenaza.
de vulnerabilidades de cliente y de servidor por el proveedor
(figura 40). Los investigadores de Cisco, mientras buscaban
vulnerabilidades de software de terceros, descubrieron
un promedio de 14 vulnerabilidades nuevas de software
Figura 40. Desglose de vulnerabilidades del por mes. La mayoría de estas vulnerabilidades (62) podían
Figura 40 Desglose
cliente-servidor, de vulnerabilidades del servidor
2015—2016 atribuirse al uso de middleware. De las 62 vulnerabilidades,
del cliente, de 2015 a 2016 20 se encontraron en el código que administra archivos PDF,
12 en el código que administra imágenes, 10 en el código
para soluciones comunes de productividad de oficina, 9 en
el código para la compresión y 11 en otras bibliotecas
(figura 41).

Las vulnerabilidades de middleware constituyen una amenaza


de seguridad única porque sus bibliotecas no se actualizan
Vulnerabilidades Vulnerabilidades Vulnerabilidades
del servidor del cliente de la red
generalmente tan rápido como el software más orientado
(De 2332 a 3142) (De 2300 a 2106) (De 501 a 396) al cliente, es decir, software con los que los usuarios
interactúan directamente todos los días, como las soluciones
34% 8% 20% de productividad. Las bibliotecas de middleware pueden
dejarse fuera de las auditorías de software, por lo que las
Fuente: Base de datos nacional de vulnerabilidad vulnerabilidades quedan en el lugar.

Figura 41. Vulnerabilidades encontradas en bibliotecas de middleware


Figura 41 Vulnerabilidades encontradas en bibliotecas de middleware

PDF Imagen Office Compresión Otro

20 12 10 9 11

Fuente: Cisco Security Research

COMPARTIR

44 Comportamiento del defensor


Informe anual sobre ciberseguridad de 2017 de Cisco

Las organizaciones pueden apostar que el middleware Tiempo de implementación de parches:


es seguro y prestar mayor atención a la actualización de
soluciones destacadas. Pero pueden perder la apuesta de
cierre del plazo de recuperación
que los atacantes no buscarán ingresar a las redes a través Muchos usuarios no descargan ni instalan parches en forma
de estas rutas poco destacadas. El middleware se convierte oportuna. Los atacantes pueden utilizar estas vulnerabilidades
en un punto ciego de seguridad para los defensores y en una sin parches para obtener acceso a las redes. En nuestra última
oportunidad para los atacantes. investigación, descubrimos que la clave para alentar a los
usuarios a descargar e instalar parches puede radicar en el
El desafío de actualizar bibliotecas de middleware se relaciona
flujo de las actualizaciones de software de proveedores.
estrechamente con el problema del software de código
abierto (analizado en el Informe semestral sobre seguridad Una versión de parche de seguridad es una clara
de 2015 de Cisco), ya que muchas soluciones de middleware indicación para los atacantes de que hay una vulnerabilidad
provienen de desarrolladores de código abierto. (Sin embargo, que vale la pena aprovechar. Aunque los atacantes
el problema en cuestión puede afectar tanto a desarrolladores sofisticados probablemente hayan estado aprovechando
de código abierto como a desarrolladores de middleware las vulnerabilidades durante algún tiempo, la notificación
privado). Por lo tanto, las bibliotecas de middleware pueden de un parche les indica a muchos otros que es temporada
depender de muchos desarrolladores para que las mantengan de cacería en las versiones anteriores.
actualizadas. En la lista de tareas por hacer de un equipo
de seguridad o de TI sobrecargado, las actualizaciones de Cuando los proveedores de software lanzan nuevas versiones
biblioteca de middleware probablemente no ocupen el primer en forma regular, los usuarios deben descargar e instalar
lugar, pero se les debería prestar mayor atención. las actualizaciones. En cambio, cuando las versiones de
actualizaciones de los proveedores son irregulares, son menos
¿Cuál es el posible efecto de una vulnerabilidad de middleware las probabilidades de que los usuarios las instalen. Continuarán
que los adversarios continúan aprovechando? Dadas las utilizando soluciones desactualizadas que pueden contener
conexiones entre el middleware y otros sistemas críticos, vulnerabilidades que pueden ser aprovechadas.
como el correo electrónico o la mensajería, un atacante podría
introducirse lateralmente en estos sistemas y enviar mensajes Otros comportamientos que afectan el ciclo de actualización
de suplantación de identidad o correo electrónico no deseado. incluyen los siguientes:
Otra opción es que los atacantes se enmascaren como
usuarios autorizados y abusen de las relaciones de confianza ●● Cuán disruptiva es la experiencia de recordatorio.
entre los usuarios para obtener acceso adicional. ●● Cuán sencillo es realizar la exclusión voluntaria.

Para evitar ser la víctima de un ataque iniciado a través de ●● Con qué frecuencia se utiliza el software.
una vulnerabilidad de middleware, usted debería adoptar las
Hay distintos tiempos en que los usuarios probablemente
siguientes medidas:
instalen una actualización cuando la lanza el proveedor.
●● Mantener en forma activa una lista de dependencias y de Nuestros investigadores observaron las instalaciones de
bibliotecas conocidas en las aplicaciones que utiliza. software en las terminales usadas por nuestros clientes.
Su software se divide en tres categorías:
●● Monitorear en forma activa la seguridad de estas aplicaciones
y mitigar los riesgos tanto como sea posible. ●● Nuevas versiones: la terminal ejecuta la versión del software
●● Insertar un acuerdo de nivel de servicio en contratos con más nueva disponible.
proveedores de software para proporcionar parches en forma
●● Versiones recientes: la terminal ejecuta una de las tres
oportuna.
versiones anteriores del software, pero no la más nueva.
●● Realizar auditorías regularmente y revisar las dependencias de
●● Versiones anteriores: la terminal ejecuta una versión
software y el uso de las bibliotecas.
del software más antigua que las tres versiones anteriores
●● Solicitarles a los proveedores de software detalles sobre cómo a la actual.
mantener sus productos y someterlos a prueba.
Por ejemplo, si un proveedor de software lanza la versión 28
En síntesis: las demoras en la implementación de parches en enero del 2017, la versión 28 sería nueva; la versión 26
aumenta el espacio operativo para los atacantes y les da sería reciente y la versión 23 sería anterior. (Las cifras que
más tiempo para tener el control de sistemas críticos. En la figuran en la página siguiente contienen los avisos en los
siguiente sección, analizaremos este impacto y las tendencias períodos semanales en que se lanzaron una o más versiones
en la implementación de parches de soluciones comunes de de software).
productividad, como navegadores web.

45 Comportamiento del defensor


Informe anual sobre ciberseguridad de 2017 de Cisco

Al analizar los usuarios de Adobe Flash (figura 42), Al analizar las actualizaciones del navegador web
descubrimos que, durante la semana posterior al lanzamiento Google Chrome, vemos un patrón distinto. Refleja un flujo
de una actualización, casi el 80 % de los usuarios instala la regular de actualizaciones, además de una política sólida de
última versión del software. En otras palabras, solo les lleva exclusión voluntaria que hace que a los usuarios le resulte
alrededor de una semana a los usuarios realizar la actualización difícil ignorar las notificaciones de actualización. Como se
con la última versión. Este período de “recuperación” de una muestra en la figura 42, los terminales que ejecutan la versión
semana de duración es la oportunidad que tienen los hackers. más reciente permanecen relativamente estables durante
varias semanas.
Si observamos el último trimestre de 2015 en el cuadro de
Adobe Flash, vemos una disminución brusca en la cantidad Los datos de Chrome revelan que los usuarios tienen un
de usuarios que poseen la versión más reciente de la solución. tiempo de recuperación relativamente rápido. En el caso de
En el período que analizamos, Adobe lanzó cinco versiones de actualizaciones regulares, el tiempo de recuperación es de
Flash rápidamente una detrás de otra, con una combinación prácticamente una semana. En un período de 9 semanas
de incorporaciones de funcionalidad, reparaciones de errores durante el segundo y el tercer trimestre de 2016, sin embargo,
y actualizaciones de seguridad. Un estallido de actualizaciones hubo siete actualizaciones. Durante este período, los usuarios
de este tipo puede confundir a los usuarios. Pueden se recuperaron, pero comenzaron a cansarse. El porcentaje
preguntarse si necesitan descargar tantas actualizaciones, de usuarios que se quedan con una versión anterior aumenta
cansarse por la cantidad de notificaciones de actualización continuamente, a pesar de que la mayoría se recupera.
y pensar que ya han descargado una actualización importante
y pueden ignorar nuevas notificaciones. Independientemente El navegador Mozilla Firefox también ofrece actualizaciones
del factor que los lleve a perder el interés en instalar una en forma regular, pero el período de recuperación después de
actualización, los defensores se ven frente a una mala noticia. que se lanza una actualización parece ser de un mes. Es decir,
los usuarios no descargan ni instalan actualizaciones con la
misma frecuencia con la que lo hacen los usuarios de Chrome.
Un motivo posible es que algunos usuarios quizás no utilicen el
navegador regularmente y, por lo tanto, no vean ni descarguen
actualizaciones. (Consulte la figura 43 en la página siguiente).

Figura 42. Tiempo de parches para Adobe Flash y Google Chrome


Figura 42 Tiempo para realizar correcciones en Adobe Flash y Google Chrome

Adobe
Flash
Versiones 83% 67% 99% 94% 88%
63% 69% 67% 70% 68% 76% 77% 94% 88% 80% 88% 94% 94% 92% 82% 86%
obsoletas: 78% 93%

Semana: 0 5 10 15 20 25 30 35 40 45 50 55 60 65 70 75
Mayo de 2015

Google
Chrome
Versiones 97% 70% 95%
8% 63% 48% 87% 54% 94% 98% 94% 97%
obsoletas: 98% 54% 98% 97% 98%

Semana: 0 5 10 15 20 25 30 35 40 45 50 55
Mayo de 2015

Actualizar versión Bajo Alto


Adopción de la última actualización

Fuente: Cisco Security Research

COMPARTIR

46 Comportamiento del defensor


Informe anual sobre ciberseguridad de 2017 de Cisco

Descubrimos que Firefox actualizó sus versiones 2 meses para que los usuarios instalen actualizaciones
aproximadamente una vez cada quince días, y la frecuencia de después de un lanzamiento. En un momento, había dos
las actualizaciones aumentó durante el transcurso del período versiones en 5 semanas, lo que afectaba a los usuarios
de observación. Este aumento en la frecuencia se refleja durante más de 3 meses, como se puede ver entre el
en la creciente cantidad de versiones antiguas de Firefox cuarto trimestre de 2015 y el primer trimestre de 2016.
dentro de los usuarios. El tiempo de recuperación es de casi
1,5 semanas, pero los tiempos se superponen. De la base de Microsoft anunció el fin de vida útil de Silverlight en el 2012,
usuarios, solo el 30 % intenta mantenerse actualizado. En algún aunque aún se siguen lanzando parches y reparaciones
momento, dos tercios de los usuarios han recurrido a ejecutar de errores. Sin embargo, representa el mismo problema
simplemente una versión del navegador más de cuatro veces que Internet Explorer: el software desactualizado y sin
anterior a la más reciente. Entonces, pese a que Firefox aborda parches implementados invita a los atacantes a que lo
los problemas y corrige los errores rápidamente, la base de aprovechen fácilmente.
usuarios no realiza las actualizaciones y los reinicios con la
El período de recuperación para los usuarios de Java muestra
misma frecuencia.
que la mayoría utiliza versiones del software una o tres veces
En el caso del software, el nivel de uso también parece ser anteriores a la versión más reciente. El tiempo de recuperación
un indicador de esta vulnerabilidad. Cuando los usuarios no es de alrededor de 3 semanas. Un patrón inusual con Java
acceden al software a menudo y, en consecuencia, no se es que los usuarios dominantes son los que utilizan versiones
enteran de la necesidad de implementar parches y actualizarlo, recientes. El ciclo de actualización de Java es de 1 a 2 meses.
el software ignorado les da tiempo y espacio a los atacantes
La lección general de los ciclos del tiempo de implementación
para operar.
de parches es que los patrones de lanzamiento de
Podemos ver esto en la investigación sobre Microsoft actualizaciones son un factor que contribuye al estado de la
Silverlight, que muestra un período de recuperación de seguridad del usuario, que puede poner en riesgo las redes.

Figura 43. Tiempo de parches para Firefox, Silverlight y Java


Figura 43 Tiempo para realizar correcciones en Firefox, Silverlight y Java

Firefox

Versiones 99% 93% 93% 95% 97% 94% 94% 87%


98% 98% 99% 94% 92% 96% 94% 99% 96% 93% 97% 99% 99% 97%
obsoletas: 94% 92% 99% 88% 95% 85%

Semana: 0 5 10 15 20 25 30 35 40 45 50 55 60 65 70 75
Mayo de 2015

Silverlight
Versiones 26% 88% 93% 91%
obsoletas:
Semana: 0 5 10 15 20 25 30 35 40 45 50 55
Mayo de 2015

Java
Versiones 84% 99% 93% 99% 96% 91% 98% 97% 99% 98%
obsoletas:
Semana: 0 5 10 15 20 25 30 35 40 45 50 55 60 65 70 75
Mayo de 2015

Actualizar versión Bajo Alto


Adopción de la última actualización

Fuente: Cisco Security Research

Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics

47 Comportamiento del defensor


Estudio comparativo
sobre capacidades
de seguridad 2017
de Cisco
Informe anual sobre ciberseguridad de 2017 de Cisco

Estudio comparativo sobre


capacidades de seguridad
de 2017 de Cisco
Para evaluar las percepciones de los profesionales de seguridad respecto del
estado de la seguridad en las organizaciones, Cisco consultó a directores generales
de seguridad (CSO) y a gerentes de operaciones de seguridad (SecOps) de
varios países y organizaciones de diferentes tamaños sobre sus percepciones
de los procedimientos y recursos de seguridad. En el Estudio comparativo sobre
capacidades de seguridad de 2017 de Cisco se ofrece información sobre el nivel
de madurez de las operaciones y las prácticas de seguridad actualmente en uso,
y también se comparan estos resultados con los de los informes de 2015 y 2016.
El estudio se realizó en 13 países con más de 2900 encuestados.

Los profesionales de seguridad quieren que sus mayoría de los profesionales de seguridad sienten la confianza
organizaciones sean más seguras, pero de una manera que de que su infraestructura de seguridad está actualizada,
responda al panorama complejo de los atacantes y a los aunque esa confianza pareciera estar decayendo en
esfuerzos de los adversarios por expandir su espacio comparación con años anteriores. En el 2016, el 58 % de los
operativo. Muchas organizaciones utilizan muchas soluciones encuestados indicó que su infraestructura de seguridad está
de diversos proveedores. Esta táctica aumenta la complejidad
y la confusión de asegurar las redes, ya que Internet continúa
Figura 44. Porcentajes de profesionales
creciendo en términos de velocidad, dispositivos conectados Figura 44 Porcentaje de profesionales de
y tráfico. Las organizaciones, si desean protegerse, deben
de seguridad que sienten que su infraestructura
seguridad que consideran que su infraestructura
proponerse como objetivos la simplicidad y la integración. de seguridadestá
de seguridad estáactualizada
actualizada

Percepciones: los profesionales de


seguridad confían en las herramientas,
pero tienen dudas respecto a si las usan
en forma eficaz
La mayoría de los profesionales de seguridad consideran que
Descrito como
disponen de soluciones adecuadas y que sus infraestructuras Descrito como reemplazado/actualizado
de seguridad están actualizadas. Sin embargo, según nuestro Mejores tecnologías disponibles de manera regulare
estudio, la confianza incluye cierta incertidumbre. Estos muy actualizadas sin las mejores
y últimas herramientas
profesionales no siempre están seguros de puedan reunir
los presupuestos y la capacidad intelectual para aprovechar
verdaderamente la tecnología que poseen.
58% 37%
2016 (n=2912)
Las amenazas a las organizaciones provienen de todas las
direcciones. Los adversarios son ágiles y creativos, y pueden Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
sortear las defensas. Incluso en este entorno trascendente, la

49 Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco


Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 45. Porcentajes de profesionales de seguridad


verdaderamente actualizada y modernizada constantemente Figura 45 Porcentaje de profesionales de seguridad
que perciben que varias herramientas de seguridad
con las últimas tecnologías. El 37 % afirmó que reemplaza que consideran que diferentes herramientas de
o actualiza las tecnologías de seguridad periódicamente, pero son muy efectivas
seguridad son muy efectivas
que no cuenta con las mejores y más recientes herramientas
(figura 44).

Además, más de dos tercios de los profesionales de


seguridad cree que las herramientas de seguridad son muy
o extremadamente eficaces. Por ejemplo, el 74 % considera
que sus herramientas son muy o extremadamente eficaces en
el bloqueo de las amenazas de seguridad conocidas, mientras
que el 71 % cree que sus herramientas son eficaces en la 74% 71%
detección de anomalías en la red y en la defensa dinámica Percibe que sus herramientas Percibe que sus herramientas
contra cambios en las amenazas adaptables (figura 45). son muy o extremadamente son muy o extremadamente
eficaces contra las amenazas eficaces en la detección de
de seguridad conocidas anomalías en la red y la
El problema es el siguiente: la confianza en las herramientas protección contra cambios en
tradicionales no significa necesariamente seguridad eficaz. las amenazas adaptables
Tal como lo indica el estudio, los departamentos de seguridad 2016 (n=2912)
lidian con herramientas complejas de diversos proveedores,
así como con la falta de personal talentoso interno. En esencia, Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
se trata de un problema de “intención frente a realidad”. Los
profesionales de seguridad quieren herramientas de seguridad
simples y eficaces, pero no tienen el enfoque integrado que Figura 46. Porcentaje
Porcentajes
necesitan para hacer realidad esta visión. Figura 46 dede profesionales
profesionales dedeseguridad
seguridad
que consideran que la seguridad es una es
que creen que la seguridad alta
La seguridad sigue siendo de suma prioridad para los una alta prioridad
prioridad a nivel ejecutivo,
a nivel ejecutivo, de 2014 a2014-2016
2016
niveles superiores de muchas organizaciones. Además,
los profesionales de seguridad consideran que los equipos
ejecutivos ubican la seguridad en la parte superior de lista
de objetivos claves de las organizaciones. El desafío, por
supuesto, consiste en establecer una correspondencia entre
el soporte ejecutivo y el talento y la tecnología que pueden Acuerdo sólido sobre que los líderes Acuerdo sólido sobre que las funciones
ejecutivos de la organización consideran y responsabilidades de seguridad se
influir en los resultados de seguridad. la seguridad como una alta prioridad deben aclarar dentro del equipo
ejecutivo de la organización
La cantidad de profesionales de seguridad completamente
de acuerdo con que sus líderes ejecutivos consideran
la seguridad una alta prioridad fue del 59 % en el 2016; 63% 61% 59% 58% 58%
un valor un poco más bajo en comparación con el 61 % 55%
registrado en el 2015 y el 63 % registrado en el 2014
(figura 46). En el 2016, el 55 % de los profesionales de
seguridad expresó estar de acuerdo con que las funciones
y las responsabilidades de seguridad están bien definidas
en el equipo ejecutivo de su organización; en el 2014 y en 2014 2015 2016 2014 2015 2016
el 2015, el porcentaje fue del 58 %.
2014 (n=1738), 2015 (n=2432), 2016 (n=2912)
En resumen, los profesionales de seguridad tienen confianza
en las herramientas que disponen y demuestran tener el oído Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
de líderes empresariales a la hora de abordar problemas
de seguridad. Sin embargo, esa confianza está decayendo
de a poco. Los profesionales de seguridad están teniendo COMPARTIR
consciencia del éxito de los atacantes y de la complejidad
de controlar la creciente superficie de ataque.

50 Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco


Informe anual sobre ciberseguridad de 2017 de Cisco

Restricciones: el tiempo, el talento y el dinero afectan la capacidad de responder ante


las amenazas
Si los profesionales de seguridad están relativamente seguros El dinero es solo una parte del problema. Por ejemplo, los
de que tienen las herramientas necesarias para detectar problemas de compatibilidad están relacionados con el
amenazas y mitigar el daño, también aceptan que ciertas problema de sistemas desconectados que no se integran.
restricciones estructurales obstaculizan el logro de sus A su vez, las preocupaciones por la falta de personal
objetivos. Un presupuesto ajustado es un desafío eterno. capacitado resalta el problema de contar con las herramientas
Pero otras restricciones que afectan la eficacia en materia de pero no con el personal apto para comprender realmente qué
seguridad están relacionadas con los problemas de simplificar sucede en el entorno de seguridad.
y automatizar la seguridad.
La lucha por encontrar personal apto es una preocupación,
En el 2016, el 35 % de los profesionales de seguridad dijo si se tiene en cuenta la experiencia y las capacidades para
que el presupuesto era el obstáculo más grande para adoptar tomar decisiones necesarias para combatir los ataques
procesos y tecnología de seguridad avanzada (una leve dirigidos y las tácticas cambiantes de los adversarios. Un
disminución en comparación con el 2015, en que el 39 % equipo de seguridad de TI que cuente con amplios recursos
afirmó que el presupuesto constituía el obstáculo principal), y expertos, en combinación con las herramientas adecuadas,
como se muestra en la figura 47. Como en el 2015, los puede hacer que la tecnología y las políticas funcionen juntas
problemas de compatibilidad con los sistemas heredados y lograr mejores resultados de seguridad.
fueron el segundo obstáculo más común: el 28 % mencionó el
tema de la compatibilidad en el 2016 en comparación con el La cantidad media de profesionales de seguridad de las
32 % en el 2015. organizaciones encuestadas fue de 33, mientras que en el
2015 fue de 25. En el 2016, el 19 % de las organizaciones
tenía entre 50 y 99 profesionales exclusivos de seguridad; el
9 % tenía entre 100 y 199 profesionales de seguridad; y el
12 % tenía 200 o más (figura 48).

Figura 47
47. Los
Mayores obstáculos
mayores para
obstáculos la seguridad
para la seguridad Figura 48. Número
Figura 48 Cantidaddede profesionales
profesionales dede
seguridad
seguridad empleados por organizaciones
empleados por organizaciones
Cantidad de profesionales dedicados a la seguridad

2015 (n=2432) 2016 (n=2912) 1-9 15

Restricciones de presupuesto 39% 35%


10-19 17

Problemas de compatibilidad 32% 28% 20-29 13

Requisitos de certificación 25% 25% 30-39 8

40-49 6
Falta de personal capacitado 22% 25%

50-99 19

30 25 33
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
100-199 9
2014 2015 2016
200+ 12
COMPARTIR
0% 5% 10% 15% 20%

Porcentaje de Cantidad promedio de profesionales


organizaciones 2016 dedicados a la seguridad

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

51 Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco


Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 49.Número
Figura 49 Cantidad
de de profesionales
profesionales de seguridad
de seguridad por tamaño
por tamaño de la organización
de la organización

5%
5% 15%
7%
11%
20% 10% 33%
17%
14% 12% 7%

6%
21% 7% 12%
4%
10% 7% 22%
15% 16%
7% 17%

Empresas medianas Empresas grandes Empresa grande (más de 10 000)

1-9 10-19 20-29 30-39 40-49 50-99 100-199 Más de 200

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

COMPARTIR

La cantidad de profesionales de seguridad varía según el


tamaño de la organización. Como se muestra en la figura 49,
el 33 % de las corporaciones con más de 10 000 empleados
La tercerización y la ayuda en la nube
tenía al menos 200 profesionales de seguridad.
amplían los presupuestos
Independientemente de cuáles sean las restricciones, los
profesionales de seguridad deben hacer preguntas difíciles Muchos profesionales de seguridad que
sobre los obstáculos que limitan la capacidad de hacer frente participaron del estudio comparativo sentían
a las próximas amenazas. que estaban con problemas de liquidez al
realizar compras en el área de seguridad.
Por ejemplo, cuando se trata del presupuesto, ¿cuánto es Ampliaban su presupuesto mediante la
realmente suficiente? Tal como explicaron los encuestados, tercerización de algunas tareas o utilizando
los equipos de seguridad deben competir con muchas otras soluciones de nube. También dependían de
prioridades corporativas, incluso dentro del entorno de TI. Si la automatización.
no pueden garantizar fondos para adquirir más herramientas,
deben esforzarse por trabajar de la mejor manera con el
presupuesto que sí tienen. Por ejemplo, la automatización
se puede usar para compensar la mano de obra limitada.

Deben hacerse preguntas similares acerca del problema de


compatibilidad de software y hardware. A medida que los
problemas de compatibilidad aumentan, ¿cuántas versiones
diferentes de software y de hardware (la mayoría de las cuales
pueden no funcionar eficazmente) deben administrarse?
¿Cómo se ocuparán los equipos de seguridad de cumplir
con los diferentes requisitos de certificación?

52 Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco


Informe anual sobre ciberseguridad de 2017 de Cisco

Aparte de estas limitaciones, los profesionales de seguridad Figura 50. Porcentajes


Figura 50 deencuestados
Porcentaje de encuestadosque están
también ponen un poco menos de énfasis en la puesta en que está totalmente de acuerdo con las
totalmente de acuerdo con las declaraciones de
operación de la seguridad. Esta tendencia puede generar instrucciones
operacionalización de la seguridad de la seguridad
de operacionalización
inquietudes respecto a que los profesionales de seguridad
están creando una infraestructura de seguridad que no
llega a ser óptima. Los indicios de un menor énfasis en la
puesta en operación de la seguridad pueden indicar que las
organizaciones no están preparadas para brindar defensa en
un panorama de ataque en expansión. Revisamos y mejoramos nuestras Investigamos rutinaria
prácticas de seguridad periódica, y sistemáticamente los
Por ejemplo, en el 2016, el 53 % de los encuestados formal y estratégicamente todo incidentes de seguridad.
el tiempo.
expresó estar completamente de acuerdo con revisar
y mejorar las prácticas de seguridad en forma periódica,
formal y estratégica; en el 2014 y el 2015, el 56 % expresó
estar completamente de acuerdo. Asimismo, en el 2016, 56% 56% 53% 55% 56% 53%
el 53 % afirmó que estuvo completamente de acuerdo con
investigar de manera rutinaria y sistemática los incidentes de
seguridad, en comparación con el 55 % señalado en el 2014
y el 56 % señalado en el 2015 (figura 50).
2014 2015 2016 2014 2015 2016
Si los profesionales de seguridad están fallando en el
cumplimiento de sus objetivos para poner en uso la seguridad, 2014 (n=1738), 2015 (n=2432), 2016 (n=2912)
quizás no sea una sorpresa, entonces, que no puedan
implementar eficazmente las herramientas que tienen, Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
mucho menos incorporar herramientas nuevas. Si, como
los encuestados del estudio nos dijeron, no pueden usar la Figura 51. Cantidad de proveedores y productos
tecnología con la que ya cuentan, necesitan herramientas Figura 51 Número
de seguridad de proveedores
utilizados y productos de
por las organizaciones
optimizadas más simples que automaticen los procesos seguridad empleados por organizaciones
de seguridad. Esas herramientas deben proporcionar un
Cantidad de proveedores de seguridad en el entorno de seguridad
panorama integral de lo que sucede en el entorno de red. 2016 (n=2850), gráficos redondeados al número entero más cercano

La falta de integración en la seguridad puede permitir que


surjan brechas de tiempo y espacio, factores que pueden
dar lugar a ataques. La tendencia de los profesionales de
seguridad a hacer malabares con soluciones y plataformas de
diversos proveedores puede complicar el establecimiento de 1–5 6–10 11–20 21–50 Más de
una defensa sin grietas. Como se muestra en la figura 51, la proveedores proveedores proveedores proveedores 50 proveedores

mayoría de las empresas utilizan más de cinco proveedores


de seguridad y más de cinco productos de seguridad en su 45% 29% 18% 7% 3%
entorno. El 55 % de los profesionales de seguridad utiliza al
menos 6 proveedores, el 45 % utiliza de 1 a 5 proveedores El 55% utiliza más de 5 proveedores
y el 65 % utiliza 6 productos o más.

Descargue los gráficos de 2017 en: Cantidad de productos de seguridad en el entorno de seguridad
www.cisco.com/go/acr2017graphics 2016 (n=2860), gráficos redondeados al número entero más cercano

1–5 6-10 11–25 26–50 Más de


productos productos productos productos 50 productos

35% 29% 21% 11% 6%

El 65% utiliza más de 5 productos

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

53 Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco


Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 52. Porcentajes de alertas de seguridad que no se investigan o solucionan


Figura 52 Porcentaje de alertas de seguridad no investigadas ni corregidas

El 7% El 93%
no experimentó experimentó alertas
ninguna alerta de seguridad
de seguridad
El 44% El 56%
de las alertas de las alertas
NO se investigan se investigan

El 46%
de alertas legítimas
se solucionan
El 28%
El 54% de las alertas
investigadas
de alertas legítimas
son legítimas
no se solucionan

2016 (n=2796)

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Si el cumplimiento de los objetivos de puesta en operación El hecho de que casi la mitad de las alertas no se investigue
está fallando, si el uso de las herramientas no alcanza la debería generar preocupación. ¿Cuál es el grupo de alertas
eficacia máxima y si la mano de obra no es sólida, el resultado que no se atienden?: ¿son amenazas de bajo nivel que pueden
es el fracaso de la seguridad. Los profesionales de seguridad distribuirse exclusivamente a través del correo electrónico
se ven forzados a pasar por alto la investigación de alertas no deseado o podrían generar un ataque de ransomware
simplemente porque no tienen el talento, las herramientas o paralizar una red? Para investigar y comprender una
ni las soluciones automatizadas disponibles para determinar mayor parte del panorama de amenazas, las organizaciones
cuáles son críticas y por qué se producen. deben confiar en la automatización, así como en soluciones
correctamente integradas. La automatización puede ayudar
Quizás debido a varios factores, como la falta de un sistema a ampliar los recursos valiosos y a eliminar la carga de
de defensa integrado o la falta de tiempo del personal, las la detección y la investigación que recae en el equipo
organizaciones pueden investigar apenas un poco más de la de seguridad.
mitad de las alertas que reciben en un día determinado. Como
se muestra en la figura 52, el 56 % de las alertas se investigan La incapacidad para ver tantas alertas plantea preguntas
y el 44 % no; de las alertas que se investigan, el 28% se sobre su impacto en el éxito general de una organización.
consideran alertas legítimas. El 46 % de las alertas legítimas ¿Cómo podrían estas amenazas sin investigar afectar la
son atendidas. productividad, la satisfacción del cliente y la confianza en
la empresa? Tal como los encuestados nos dijeron, incluso
Para definir el problema en términos más específicos, si una las pequeñas interrupciones de la red o las infracciones a la
organización registra 5000 alertas por día, esto significa: seguridad pueden tener efectos a largo plazo en el balance.
Aun cuando las pérdidas eran relativamente menores y los
●● Un total de 2800 alertas (56 %) se investiga, mientras
sistemas afectados eran bastante sencillos de identificar
que 2200 (44 %) no.
y de aislar, los líderes de seguridad consideran que tales
●● De las alertas investigadas, 784 (28 %) son legítimas, infracciones son significativas debido a la presión que ejercen
mientras que 2016 (72 %) no lo son. en la organización.
●● De las alertas legítimas, 360 (46 %) son atendidas,
mientras 424 (54 %) no.
COMPARTIR

54 Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco


Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 53. Alcance de las interrupciones ocasionadas


Las presiones pueden afectar a las organizaciones de diversas Figura
por 53 Longitud
infracciones a layseguridad
alcance de las interrupciones
maneras. Los equipos de seguridad deben dedicar tiempo causadas por infracciones a la seguridad
a administrar las interrupciones de red que se producen
Tiempo de inactividad de los sistemas de las
después de una infracción a la seguridad. Casi la mitad de
organizaciones debido a las infracciones
estas interrupciones duran hasta 8 horas. El 45 % de las 2016 (n=2665)
interrupciones duró de 1 a 8 horas (figura 53), el 15 % duró de
9 a 16 horas y el 11 % duró de 17 a 24 horas. El 41 % de las
interrupciones afectó entre el 11 % y el 30 % de los sistemas
de las organizaciones.
Sin Menos de De 1 De 9 De 17 Más de
interrupción 1 hora a 8 horas a 16 horas a 24 horas 24 horas
Impacto: más organizaciones sufren
7% 13% 45% 15% 11% 9%
pérdidas a causa de las infracciones
Los efectos de las infracciones no se limitan a las Porcentaje de sistemas afectados por la infracción
interrupciones. Las infracciones también se traducen en 2016 (n=2463)
pérdida de dinero, de tiempo y de reputación. Los equipos
de seguridad que creen que no les pasará a ellos ignoran la
realidad de la información. Tal como señala nuestro estudio,
casi la mitad de las organizaciones han tenido que lidiar con el
escrutinio público tras una infracción a la seguridad. Dado el Sin 1–10% 11–30% 31–50% Más del
impacto afectado afectado afectado 50% afectado
rango de capacidades y tácticas de los atacantes, la pregunta
no es si se producirá una infracción a la seguridad, sino
1% 19% 41% 24% 15%
cuándo ocurrirá.

Como se muestra en el estudio comparativo, los profesionales


Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
de seguridad son traídos de vuelta a la realidad cuando se
producen infracciones. A menudo cambian las estrategias
de seguridad o refuerzan las defensas. Las organizaciones Figura 54.Porcentaje
Figura 54 Porcentajedede organizaciones
organizaciones que sufren
que aún no han sufrido el ataque de una infracción en la red que experimentan una
una infracción pública infracción pública
pueden sentirse aliviadas y creer que se han escapado. Sin
embargo, probablemente esta confianza sea inadecuada.

El 49 % de los profesionales de seguridad encuestados dijo Tuvo que manejar


que su organización ha debido manejar el escrutinio público 49% el escrutinio público
tras una infracción
tras una infracción a la seguridad. De estas organizaciones, el a la seguridad
49 % divulgó la infracción en forma voluntaria, mientras que el
2016 (n=2824)
31 % afirmó que un tercero realizó la divulgación (figura 54).
En otras palabras, casi un tercio de las organizaciones
encuestadas se vieron forzadas a lidiar con la divulgación
involuntaria de una infracción. Está claro que los días de Cómo se conoció externamente
enfrentar infracciones en forma silenciosa quedaron atrás. la amenaza más reciente
Hay muchísimos reguladores, medios y usuarios de medios (n=1389)
sociales que harán públicas las noticias.

COMPARTIR

Divulgado Informe
Divulgado
accidentalmente necesario
voluntariamente
(tercero) (normativo/legal)

31% 31% 50%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

55 Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco


Informe anual sobre ciberseguridad de 2017 de Cisco

Figura
Figura55
55.Funciones
Funcionesque
conprobablemente se vean de
mayor probabilidad afectadas por una infracción
verse afectadas por unapública
infracción pública

Reputación Retención Propiedad


Operaciones Finanzas
de la marca de clientes intelectual

36% 30% 26% 26% 24%

Relaciones con Relaciones con Compromisos Escrutinio No sufrieron ninguna infracción


el partner de negocios el proveedor legales normativo a la seguridad en el último año

22% 20% 20% 19% 10%

Fuente: Cisco Security Research

COMPARTIR

El daño que sufren las organizaciones excede por mucho A las operaciones les siguen las finanzas como función con
el tiempo que les lleva lidiar con una infracción o con una más probabilidades de verse afectada (mencionada por el
interrupción. Hay impactos reales e importantes que las 30 % de los encuestados), seguida por la reputación de la
empresas deberían, en gran medida, intentar evitar. marca y la retención de clientes (26 % en ambos casos).

Como se muestra en la figura 55, el 36 % de los profesionales Ninguna organización que planee crecer y lograr el éxito
de seguridad dijo que las operaciones fueron la función desea estar en una posición de tener departamentos críticos
con más probabilidades de verse afectadas. Esto significa afectados por infracciones a la seguridad. Los profesionales
que los sistemas centrales de productividad, que afectan de seguridad deben ver los resultados de la encuesta con
a distintos sectores (desde transporte hasta servicios de salud sus propias organizaciones en mente y preguntarse: “si mi
y fabricación), pueden volverse lentos o incluso detenerse. organización sufre este tipo de pérdida como consecuencia de
una amenaza, ¿qué sucederá con el negocio con el futuro?”.

56 Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco


Informe anual sobre ciberseguridad de 2017 de Cisco

Las pérdidas de oportunidades para las empresas que sufren Figura 57.Porcentaje
Figura 57 Porcentajedede ingresos
ingresos de de la
la organización
ataques en línea son enormes. El 23 % de los profesionales organización como resultado de un
perdidos como resultado de un ataque ataque
de seguridad encuestados afirmó que en el 2016 sus
organizaciones experimentaron una pérdida de oportunidades
debido a ataques (figura 56). De ese grupo, el 58 % dijo que
Experimentó una
la pérdida de oportunidades total fue inferior al 20 %; el 25 % 29% pérdida de ingresos
afirmó que la pérdida de oportunidad fue del 20 % al 40 %;
y el 9 % indicó que la pérdida de oportunidades llegó a ser Personal de seguridad
del 40 % al 60 %. de TI (n=2912)

Muchas organizaciones pueden cuantificar las pérdidas de


ingresos que sufren debido a infracciones públicas. Como
se muestra en la figura 57, el 29 % de los profesionales de
seguridad dijo que sus organizaciones sufrieron una pérdida
de ingresos como resultado de los ataques. De ese grupo, el
38 % dijo que la pérdida de ingresos fue de un 20 % o más.
Pérdida Pérdida Pérdida Pérdida Pérdida
menor de entre un de entre un de entre un de entre un
Los ataques en línea también generan una reducción en la al 20% 20% y un 40% 40% y un 60% 60% y un 80% 80% y un 100%

cantidad de clientes. Como se muestra en la figura 58, el 22 % 62% 20% 10% 4% 4%


de las organizaciones expresó haber perdido clientes como
resultado de los ataques. De ese grupo, el 39 % afirmó que
perdió el 20 % de sus clientes o más. 38%
Experimentó una importante pérdida de ingresos

(n=778)

Descargue los gráficos de 2017 en:


Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
www.cisco.com/go/acr2017graphics

Figura 56 Porcentaje de oportunidades Figura 58 Porcentaje de clientes perdidos por las


Figura 56. Porcentaje
empresariales perdidasde oportunidad
como resultadoempresarial Figura 58.como
empresas Porcentaje dede
resultado clientes perdidos por
un ataque
perdida como resultado de un ataque
de un ataque las empresas debido a los ataques

Experimentó una pérdida Experimentó una


23% de oportunidad 22% pérdida de clientes

Personal de seguridad Personal de seguridad


de TI (n=2912) de TI (n=2912)

Pérdida Pérdida Pérdida Pérdida Pérdida Pérdida Pérdida Pérdida Pérdida Pérdida
menor de entre un de entre un de entre un de entre un menor de entre un de entre un de entre un de entre un
al 20% 20% y un 40% 40% y un 60% 60% y un 80% 80% y un 100% al 20% 20% y un 40% 40% y un 60% 60% y un 80% 80% y un 100%

58% 25% 9% 5% 3% 61% 21% 8% 6% 4%

42% 39%
Experimentó una importante pérdida de oportunidad Experimentó una importante pérdida de clientes

(n=625) (n=641)

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

57 Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco


Informe anual sobre ciberseguridad de 2017 de Cisco

Resultados: un mayor escrutinio influirá Figura 59.Cómo


Figura 59 Cómolas
las infracciones
infracciones a laaseguridad
la
en las mejoras de seguridad impulsan mejoras
seguridad impulsan mejoras
Tal como revelan los resultados de la encuesta, el impacto
de las infracciones puede ser duradero y generalizado. Si
Se dice que la infracción a la seguridad
uno supone que una organización se verá afectada por una impulsa mejoras en las tecnologías,
infracción en algún momento, la pregunta es “¿qué sucederá
90% las políticas o los procedimientos
de defensa ante amenazas
después?”. ¿A qué debe prestarle atención la gerencia y
hacia dónde deben orientarse los recursos para reducir las Profesionales de seguridad (n=1388)
probabilidades de que ocurra una infracción?

Las consecuencias de una infracción representan una


oportunidad de aprendizaje, una experiencia que no Las 5 principales mejoras realizadas para proteger
debe desaprovecharse en términos de inversión en a la empresa contra las infracciones a la seguridad
mejores enfoques. 2016 (n=1375)

El 90 % de los profesionales de seguridad dijo que una


infracción a la seguridad impulsó mejoras en las tecnologías
y procesos de defensa ante amenazas, como se muestra en Separación del equipo de seguridad
38% del departamento de TI
la figura 59. De las organizaciones afectadas por infracciones,
el 38 % afirmó que respondió dividiendo al equipo de
seguridad del departamento de TI; el 38 % dijo que aumentó la
capacitación sobre el conocimiento de la seguridad entre los Aumento de las capacitaciones
38% para la concientización sobre
empleados; y el 37 % afirmó que aumentó su enfoque para el la seguridad entre los empleados
análisis y la mitigación de riesgos.

Profundización del enfoque


37% sobre el análisis de riesgos
COMPARTIR y la mitigación de riesgos

Aumento de las inversiones


en tecnologías o soluciones
37% para la defensa ante amenazas
de seguridad

Aumento de las inversiones


37% en capacitación del personal
de seguridad

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

58 Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco


Informe anual sobre ciberseguridad de 2017 de Cisco

Las organizaciones reconocen que tienen que ser creativas Figura


Figura 6060.Dependencia
Dependencia dede
laslas organizaciones
organizaciones en
para superar los límites que plantean el personal talentoso, en la tercerización
relación a la tercerización
la compatibilidad de tecnología y el presupuesto. Una
estrategia es adoptar servicios tercerizados para fortalecer Servicios de seguridad tercerizados
el presupuesto y, también, para tener acceso a personal que 2016 (n=2912)
quizás no sea interno a la organización.

En el 2016, el 51 % de los profesionales de seguridad


subcontrató servicios de asesoramiento y consultoría, mientras
que el 45 % subcontrató servicios de respuesta ante incidentes
(figura 60). El 52 % afirmó que subcontrata servicios porque
Asesoramiento y consultoría Respuesta a incidentes
es más rentable, mientras que el 49 % afirmó que subcontrata
servicios para obtener perspectivas objetivas. 51% 45%
Tal como lo hacen con la subcontratación, las organizaciones
también recurren a proveedores de terceros para aumentar Por qué se tercerizan los servicios
sus estrategias de defensa. El ecosistema de seguridad les 2016 (n=2631)

ofrece modos de compartir la responsabilidad de la seguridad.

El 72 % de los profesionales de seguridad dijo que recurre


a proveedores de terceros para el 20 % al 80 % de su
seguridad, como se muestra en la figura 61. Aquellas
organizaciones que dependen en gran medida de recursos Ser más rentable Obtener una perspectiva objetiva
externos para la seguridad fueron más propensas a decir que
aumentarán el uso de proveedores de terceros en el futuro.
52% 48%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

COMPARTIR

Figura 61. Porcentaje de dependencia de las organizaciones en la tercerización


Figura 61 Porcentaje de dependencia de las organizaciones en relación a la tercerización

Personal de seguridad de TI (n=2595)

Dependencia superior al 80% Rely Less Than 20%


15% 3%
27% 21%
33% 6% 49%
11% 22% 19%
14% 9%

El 72%
Dependencia depende de
de entre 31% proveedores de terceros
el 40% y el 80% para entre el 20%
6% 2%
y el 80% de
25% 25%
la seguridad
39% 43%
24%
6%
41% 5%
25%

Dependencia de entre
el 20% y el 40%

Cambio en la dependencia para el próximo año


Personal de seguridad de TI que depende de proveedores de terceros (n=2504)

Disminución significativa Disminución leve Igual Aumento leve Crecimiento significativo

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

59 Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco


Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 62 Fuentes de análisis aumentado


Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Líderes Partners Grupos guardianes


Clientes Empleados
ejecutivos comerciales y de interés
74% 73% 72% 72% 70%

Compañías
Reguladores Inversionistas Oprima
de seguros
70% 69% 67% 60%
2016 (n=2912)

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Ya que las organizaciones toman medidas para fortalecer El 74 % de los profesionales de seguridad dijo que el escrutinio
el estado de la seguridad, pueden esperar que se preste provendrá de liderazgo ejecutivo; el 73 %, de clientes; y el
más atención a sus esfuerzos. Este escrutinio provendrá de 72 %, de empleados, como se muestra en la figura 62.
un público influyente y, por lo tanto, no se puede ignorar. El
modo en que se manejan las preocupaciones de este público
puede tener un impacto significativo en la capacidad de una
organización para defenderse.

60 Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco


Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 63. Cómo la confianza y la rentabilidad impulsan las decisiones de seguridad


Figura 63 Cómo la confianza y la rentabilidad motivan las decisiones de seguridad
Compra de una Solución de defensa ante amenazas Motivos para favorecer el enfoque de Motivos para favorecer un enfoque
de seguridad uso del mejor producto de su clase de arquitectura empresarial
Organización que compró las mejores Organizaciones que, generalmente,
por parte del personal de seguridad de TI (n=2665)
soluciones puntuales de su clase respetan un enfoque de arquitectura
empresarial
Generalmente, se
respeta el enfoque de Confiar más que en el enfoque Confiar más que en los mejores
arquitectura empresarial de arquitectura empresarial productos de su clase
39%
65% 36%
Generalmente, se respeta
el enfoque basado en el Las mejores soluciones de su El enfoque de la arquitectura
proyecto (por ejemplo, clase son más rentables empresarial es más rentable
los mejores productos 39%
puntuales de su clase) 41% 59%

Las mejores soluciones de su clase El enfoque de la arquitectura empresarial


son más fáciles de implementar es más fácil de implementar

24% 33%
Implementar los 4%
productos puntuales 18%
según sea necesario Las mejores soluciones de su clase El enfoque de la arquitectura empresarial
son más rápidas de implementar es más rápido de implementar

Implementar solo para respetar el 13% 10%


cumplimiento o los requisitos normativos

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Confianza frente a costo: ¿qué factor impulsa las compras de seguridad?


Los profesionales de seguridad buscan las mejores soluciones Esto no es un dilema de ningún tipo. Las organizaciones
para proteger sus organizaciones, pero sus percepciones necesitan tanto soluciones excelentes como soluciones de
en cuanto a cómo crear un entorno seguro ideal difieren. seguridad integrada. Ambos enfoques ofrecen beneficios
¿Compran las mejores soluciones de diversos proveedores y simplificarán la seguridad, al mismo tiempo que brindarán
porque confían en que solucionarán muchos problemas herramientas de respuesta automatizada (figura 63).
diferentes? ¿O recurren a una arquitectura integrada porque
creen que este enfoque es más rentable? Si bien son muchos Al combinar soluciones excelentes con un enfoque integrado,
los factores que impulsan las inversiones en seguridad, una los equipos de seguridad pueden avanzar hacia una seguridad
mayor simplicidad puede beneficiar a todas las organizaciones. menos compleja y más eficaz. El enfoque integrado les permite
a los profesionales de seguridad comprender qué ocurre en
Como se muestra en la figura 63, los profesionales de cada etapa de la defensa. Un enfoque de este tipo reduce el
seguridad se dividen en forma pareja entre confianza y costos espacio operativo de los atacantes. Es simple: permite que los
a la hora de elegir entre soluciones excelentes y soluciones de equipos implementen soluciones a escala. Es abierto: permite
arquitectura. El 65 % afirmó que prefiere soluciones excelentes implementar soluciones excelentes según sea necesario.
porque confía más en ellas que en un enfoque de arquitectura Es automatizado: permite una detección más rápida.
empresarial. Por otra parte, el 59 % expresó que prefiere un
enfoque de arquitectura porque cree que es más rentable.

61 Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco


Informe anual sobre ciberseguridad de 2017 de Cisco

Resumen: aportes del Estudio comparativo


Hay una enorme diferencia entre acumular herramientas eliminar las brechas en la protección de seguridad, puesto
de seguridad y realmente tener la capacidad para usar que la pregunta no es si se producirá una infracción, sino
dichas herramientas para reducir el riesgo y el espacio cuándo sucederá.
operativo para los adversarios. Los encuestados del estudio
comparativo creen que tienen las herramientas que detendrán Una conclusión del Estudio comparativo es que siempre
a los atacantes. No obstante, también reconocen que las enfrentaremos restricciones que limiten una seguridad ágil
restricciones, como la falta de mano de obra y la escasa y eficaz: nunca habrá el presupuesto y el personal calificado
compatibilidad de productos, pueden hacer que buenas que los profesionales de seguridad consideran necesarios.
herramientas sean mucho menos eficaces de lo previsto. Si aceptamos estas restricciones, la idea de simplificar
la seguridad e implementar soluciones automatizadas
La conclusión trascendente sobre el impacto de las tiene sentido.
infracciones debe proporcionarles a los profesionales de
seguridad prueba más que suficiente de la necesidad de La simplificación de la seguridad también hace uso de
mejorar los procesos y los protocolos. Las organizaciones, soluciones excelentes y de una arquitectura integrada. Las
que enfrentan efectos reales e inmediatos (como la pérdida organizaciones necesitan los beneficios de ambos enfoques.
de ingresos y clientes), ya no pueden querer simplemente

62 Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco


Sector
Informe anual sobre ciberseguridad de 2017 de Cisco

Sector
Seguridad de la cadena de valor: el éxito en un mundo digital depende de la mitigación
de los riesgos de terceros
La seguridad de la cadena de valor es un componente ●● Desarrollar una arquitectura de seguridad flexible que pueda
esencial del éxito en una economía conectada. Es fundamental compartirse con todos los terceros en el ecosistema y ser
garantizar que la seguridad correcta esté en el lugar correcto implementada por ellos.
en el momento indicado durante todo el ciclo de vida de la ●● Evaluar si los terceros trabajan dentro de los niveles de tolerancia
cadena de valor: el ciclo de vida correcto para hardware, establecidos por la arquitectura de seguridad de la organización.
software y servicios.
●● Estar alerta a nuevos riesgos de seguridad que el ecosistema
En la figura 64 se muestran las ocho etapas de la cadena puede presentar a medida que la digitalización aumenta.
de valor. Las organizaciones también deben pensar en la seguridad
antes de introducir un nuevo modelo comercial o una oferta
La tecnología de la información (TI) y la tecnología operativa
que requiera la participación del ecosistema de terceros
convergen en este mundo digitalizado. No basta con que
o que lo afecte de otra manera. Cualquier valor potencial
las organizaciones se centren únicamente en proteger los
y aumento en la productividad debe evaluarse en relación
modelos comerciales, las ofertas y la infraestructura internos.
con los posibles riesgos, particularmente en la seguridad
Las organizaciones deben observar la cadena de valor en
de los datos y la privacidad.
forma integral y determinar si los terceros que participan en su
modelo comercial o en contacto con sus ofertas representan La conciencia respecto a la importancia de la cadena de
un riesgo para la seguridad. valor global está aumentando tanto a nivel mundial como
en sectores específicos. La legislación reciente sobre la
La respuesta breve es que probablemente lo hagan: de
adquisición de TI de los EE. UU ordenó una evaluación de
acuerdo con una investigación realizada por el Instituto
un año del Departamento de Defensa de los EE. UU respecto
SANS, el 80 % de las violaciones de datos provienen de
a las normas abiertas de tecnología para las adquisiciones de
otros proveedores.¹⁵ Para reducir el riesgo, las organizaciones
productos de tecnología de la información y ciberseguridad.¹⁶
deben fomentar una cadena de valor en la que la confianza
En el sector muy convergente de energía, la Corporación
no sea implícita y la seguridad sea responsabilidad de todos.
Norteamericana de Confiabilidad Eléctrica (NERC) desarrolla
Como paso fundamental hacia el logro de este objetivo, las
activamente requisitos nuevos en relación con su cadena de
organizaciones deben hacer lo siguiente:
valor cibernética.¹⁷
●● Identificar a los principales participantes en el ecosistema de
terceros y comprender qué ofrecen.

Figura 64. Las etapas de la cadena de valor


Figura 64 Etapas de la cadena de valor

Diseñar Planificar Obtener Hacer Calidad Entregar Mantener Fin de


vida útil

Fuente: Cisco

COMPARTIR

¹⁵ Combatting Cyber Risks in the Supply Chain, SANS Institute, 2015: https://www.sans.org/reading-room/whitepapers/analyst/combatting-cyber-risks-supply-chain-36252.
¹⁶ Ley Pública 114-92 §
¹⁷ NERC ordenó que la Comisión Federal Reguladora de Energía de los Estados Unidos lleve a cabo este esfuerzo 18 CFR Parte 40 [Rótulo N° RM15-14-002; Orden N° 829].

64 Sector
Informe anual sobre ciberseguridad de 2017 de Cisco

Las organizaciones, junto con los terceros que participan en En la era posterior a Snowden, los gobiernos han hecho
ellas, deben responder preguntas como “¿cómo se generarán hincapié cada vez con más vehemencia en su deseo de
los datos y quiénes estarán a cargo de hacerlo?” y “¿los datos regular las comunicaciones digitales y de acceder a los datos
deben obtenerse digitalmente?”. Para una mayor claridad, es cuando sea necesario. Sin embargo, los usuarios demostraron
necesario responder otras preguntas, tales como “¿quién la misma pasión al pedir privacidad. Eventos como el reciente
posee los recursos digitales que recopilamos o creamos?” enfrentamiento entre Apple y el FBI por un iPhone que
y “¿con quién debemos compartir esa información?”. pertenecía a un terrorista no han contribuido a apaciguar las
Otra pregunta esencial para responder es “¿quién tiene inquietudes de los usuarios sobre la privacidad. Si sirvió de
determinada responsabilidad y obligación cuando se produce algo fue que le enseñó a una generación de usuarios digitales,
una infracción?”. especialmente en los Estados Unidos, sobre la encriptación
integral. Muchos usuarios ahora exigen encriptación integral
Este enfoque que se centra en la cadena de valor ayuda a sus proveedores de tecnología y quieren tener las claves
a garantizar que las consideraciones de seguridad se de cifrado.
incorporen en cada etapa del ciclo de vida de las soluciones.
La arquitectura adecuada, en combinación con el cumplimiento Esto marca un cambio fundamental en el panorama de
de las normas de seguridad correspondientes, ayudará ciberseguridad tal como lo conocíamos. Las organizaciones
a impulsar la seguridad generalizada de toda la cadena de van a necesitar diseñar sus entornos de modo que puedan
valor y a generar confianza en ella. dirigir y responder a las agendas de la competencia.

Mientras este cambio se implementa, más gobiernos se


atribuyen el derecho legal (a menudo en forma general)
Actualización geopolítica: encriptación, a omitir o interrumpir la encriptación o las medidas de
confianza y necesidad de transparencia protección técnica, en general sin el conocimiento del
fabricante, el proveedor de comunicaciones o el usuario. Esto
En informes anteriores sobre ciberseguridad, los expertos genera tensión no solo entre las autoridades y las empresas
en geopolítica de Cisco analizaron la incertidumbre en el tecnológicas sino también entre los gobiernos, que no
panorama de la gestión de Internet, los derechos de las desean necesariamente que las autoridades de países que
personas frente a los derechos del estado y las maneras no pertenecen a la Unión Europea accedan a los datos de los
en que los gobiernos y las empresas privadas pueden ciudadanos. Muchos gobiernos recopilan información sobre
dirigir el dilema que plantea la protección de datos. Un las vulnerabilidades y los ataques de día cero que detectan
tema común entre estos análisis ha sido la encriptación. en software de proveedores; sin embargo, no siempre son
Creemos que la encriptación continuará impregnando, quizás transparentes con los proveedores sobre información que
incluso dominando, el debate sobre ciberseguridad para el poseen o no la comparten en forma oportuna.
futuro cercano.
La acumulación de dicha información valiosa impide que
La proliferación de las leyes nacionales y regionales de los proveedores mejoren la seguridad de sus productos
privacidad de los datos ha generado preocupación entre los y proporcionen a los usuarios una mejor protección contra
proveedores y usuarios que buscan dirigir dichas leyes. En las amenazas. Aunque los gobiernos pueden tener una buena
este entorno incierto, problemas como la autonomía de los razón para realizar parte de este cierre de la inteligencia,
datos y la localización de los datos han cobrado importancia también hay una necesidad de mayor transparencia
y contribuido, en consecuencia, con el crecimiento de la y confianza en el panorama de ciberseguridad global. Los
computación en la nube y almacenamiento de datos localizado gobiernos, por lo tanto, deben realizar una evaluación honesta
a medida que las empresas buscan una solución creativa de sus políticas actuales relacionadas con la acumulación de
para cumplir con las normativas de privacidad complejas información sobre ataques de día cero. Deben partir de la
y en evolución.¹⁸ posición predeterminada de que compartir información con
proveedores puede solo conllevar un entorno digital mucho
Al mismo tiempo, la cantidad en aumento de violaciones de
más seguro para todos.
datos y amenazas avanzadas persistentes, y la publicidad
en torno a hacks patrocinados por estados nación (incluidos
los realizados durante eventos destacados, como la elección
presidencial en los EE. UU) hacen que los usuarios tengan aún
menos seguridad de que sus datos sean confidenciales y de
que se protegerá la privacidad.

¹⁸ Para más información sobre este tema, consulte “Data Localization Takes Off as Regulation Uncertainty Continues,” por Stephen Dockery, 6 de junio de 2016, The Wall Street Journal:
http://blogs.wsj.com/riskandcompliance/2016/06/06/data-localization-takes-off-as-regulation-uncertainty-continues/.

65 Sector
Informe anual sobre ciberseguridad de 2017 de Cisco

Cifrado de alta velocidad: solución escalable para proteger datos en tránsito


Como se explicó en la sección geopolítica en la Otro enfoque que se está implementando cada vez más
página 65, la encriptación integral continuará siendo son las funcionalidades de cifrado incorporadas a una
un tema de mucho debate y desconcierto entre los red o servicio en la nube para proteger datos en tránsito.
gobiernos y el sector en el futuro próximo. No obstante, Ésta es una evolución del modelo VPN de gateway
independientemente de cualquier tensión que surja de tradicional, una solución que aborda la naturaleza
este asunto, la demanda de los usuarios por un cifrado dinámica de las redes y las tasas de transmisión
integral de datos con claves administradas por los a alta velocidad del tráfico de centros de datos. Las
clientes va en aumento. empresas están utilizando las eficacias operativas y la
rentabilidad que aportan las nuevas funcionalidades para
Los expertos en geopolítica de Cisco anticipan que proteger datos que provengan de cualquier aplicación
algunos flujos y conjuntos de datos probablemente en ese entorno, mientras se transmiten a alta velocidad
permanecerán cifrados con claves administradas por el a otra ubicación.
proveedor, al menos en el corto plazo, en particular en
modelos comerciales basados en anuncios. No obstante, No obstante, el cifrado basado en la red es tan solo
en otros casos, se espera ver un mayor uso de cifrado una de las herramientas para proteger datos. Para
integral con claves administradas por los clientes, asegurarse de estar realizando lo suficiente para
a menos que un mandato judicial indique lo contrario. proteger sus datos mientras están en tránsito o
inmóviles, las organizaciones deben abordar el desafío
Mientras tanto, se espera que las organizaciones de manera holística. Un buen punto de partida es
busquen más control de la forma en que protegen sus formular a los proveedores de tecnología preguntas
datos, mientras se encuentran en tránsito, en particular, básicas pero importantes, a saber:
mientras se transfieren a alta velocidad de un centro
de datos a otro. En una época, ésta era una tarea ●● ¿Cómo se protegen los datos mientras están en tránsito?
ardua para las empresas, debido a las limitaciones ●● ¿Cómo se protegen los datos mientras están inmóviles?
de tecnologías de legado y el impacto en el rendimiento
de la red. No obstante, nuevos enfoques están ●● ¿Quién tiene acceso a los datos?
simplificando este proceso. ●● ¿Dónde se almacenan los datos?

Una solución es la seguridad de la capa de aplicaciones, ●● ¿Cuál es la política para eliminar datos, cuando, y si,
en donde las aplicaciones se modifican para cifrar datos. deben eliminarse?
La implementación de este tipo de seguridad puede ser
Nuevamente, estar preguntas son solo un punto
compleja y demandar muchos recursos, además de ser
de partida para un diálogo más amplio acerca de
costosa a nivel operativo, dependiendo de la cantidad de
la protección de datos, el cual debe progresar para
aplicaciones que usa una organización.
abarcar la discusión de temas como la recuperabilidad
y la disponibilidad de los datos.

66 Sector
Informe anual sobre ciberseguridad de 2017 de Cisco

Adopción y rendimiento de la red frente a desarrollo de la seguridad: las velocidades,


el tráfico y la preparación en línea no crecen al mismo ritmo
Los defensores desean adelantarse a los adversarios. Estar Cisco ha coincidido con los datos de la previsión de VNI
detrás de ellos es estar en un lugar potencialmente peligroso. respecto al desarrollo de los defensores, obtenidos del Estudio
La preocupación es que los defensores no pueden mejorar su comparativo sobre capacidades de seguridad anual de Cisco
estado de la seguridad al mismo ritmo con que los adversarios (consulte la página 49). Al analizar las tasas de crecimiento
pueden obtener tiempo y espacio para operar. Dado el ritmo del desarrollo en los informes comparativos de 2015, 2016
del crecimiento del tráfico de Internet fijo y móvil en todo el y 2017, como se muestra en la figura 65, el desarrollo
mundo, los defensores se ven obligados a equiparar este de la seguridad es decepcionante en comparación con el
crecimiento con una mayor desarrollo de su infraestructura crecimiento del tráfico de Internet. Algunos países, como China
de seguridad. y Alemania, muestran efectivamente una disminución leve del
desarrollo durante este período. Las velocidades de banda
La previsión de Cisco VNI analiza el tráfico IP global anual, ancha, en particular, están mejorando y aumentando a una
incluido el tráfico móvil e inalámbrico. Las previsiones velocidad considerablemente mayor que otras variables de red
proporcionan proyecciones de cinco años relativas al que se muestran en la figura 65. Las velocidades más rápidas
tráfico IP, la cantidad de usuarios de Internet y la cantidad y la mayor cantidad de dispositivos conectados fomentan un
de conexiones de máquina a máquina y de dispositivos mayor crecimiento del tráfico, pero las organizaciones se están
personales que admitan las redes IP. (Visite esta página esforzando por reforzar sus medidas e infraestructuras de
para obtener más información sobre la previsión de VNI). seguridad a velocidades similares.
Por ejemplo, la previsión calcula que para el 2020, los
smartphones generarán el 30 % del tráfico IP total.

Figura 65.Madurez
Figura 65 Madurezdey latasas de crecimiento
seguridad de la seguridad
y tasas de crecimiento

300%

250%
Porcentaje de crecimiento

200%

150%

100%

50%

0%

Australia Brasil Canadá China Francia Alemania India Italia Japón México Rusia Reino Estados General
Unido Unidos

Madurez de la seguridad Tráfico total Dispositivos Usuarios fijos de Internet Tráfico de Internet móvil Velocidad móvil

Fuente: Cisco Security Research, Cisco VNI y el Estudio comparativo de capacidades de seguridad 2017 de Cisco

COMPARTIR

67 Sector
Informe anual sobre ciberseguridad de 2017 de Cisco

Ciertos sectores también quedan rezagados en términos se adopte 5G en forma generalizada. El tráfico global de datos
de desarrollo de la seguridad en comparación con otros, móviles representó el 5 % del tráfico IP total en el 2015 y, de
como se muestra en la figura 66. En particular, los sectores acuerdo con la previsión de VNI, se espera que represente el
de productos farmacéuticos, servicios de salud y transporte 16 % del tráfico IP total para el 2020.
están detrás de otros.
Está claro que las organizaciones de seguridad deben redoblar
Es importante señalar que el enorme aumento en las sus esfuerzos de madurez, y rápidamente, si pretenden estar
velocidades móviles es el resultado de la adopción a la altura del crecimiento del tráfico de Internet, el cual se
generalizada de redes 4G y LTE de parte de los proveedores prevé que aumentará en la superficie de posibles ataques.
de telecomunicaciones. Cuando las implementaciones a gran Asimismo, las organizaciones deben responder al crecimiento
escala de redes 5G pasen a estar disponibles al final de en el uso de terminales que no son fijas o conectadas por
esta década, se espera que las velocidades móviles sean cable a redes corporativas. También deben admitir un uso
similares a las velocidades de red fija. Según la previsión de más amplio de dispositivos personales, desde los cuales los
VNI móvil actual, el tráfico global de datos móviles ganará trabajadores tengan acceso a datos corporativos.
probablemente una mayor parte del tráfico IP total cuando

Figura 66 Madurez de la seguridad y mercados verticales del sector


Figura 66. Madurez de la seguridad en mercados verticales del sector
Sector por segmento

5 4 7 14 5
36 29
30 31 39 30
39 27
48
31

18 27 29
29 23

Educación Servicios financieros Gobierno Atención médica Fabricantes no


(n=44) (n=501) (n=345) (n=211) relacionados
con la informática
(n=355)

9 5 3 5 5
30 32 30
30 42 24 38 33
38
39

21 27
34 28 24

Industria farmacéutica Sector minorista Telecomunicaciones Transporte Servicios públicos/


(n=56) (n=286) (n=303) (n=174) energía
(n=113)
Gráfico redondeado al número entero más cercano

Bajo Medio Medio-Alto Alto

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

68 Sector
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 67.Madurez
Figura 67 Madurezdede
la la seguridad
seguridad porpor
paíspaís

4 4 7 5 5
28 28
41 25 25 34
41 31 36 Reino 38
EE. UU. Brasil Alemania Italia Unido

29 30 31 29
28

5 13 3 7 4
31 31 17
35 21
31
Australia China 47 India Japón
32 47 México
35
31 26
34 21 26

4 6 7
32 33
39 30
35
Rusia Francia Canadá 36

27 26 23

2016 (n=2852) Gráficos redondeados al número entero más cercano

Bajo Medio Medio-Alto Alto

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Las mayores velocidades no son el único factor que impulsa el Para más información sobre la Previsión VNI de Cisco, visite el
crecimiento del tráfico de Internet. La IdC cuenta con cada vez sitio web de Cisco o consulte la publicación de blog de Cisco
más dispositivos que se conectan a Internet, lo cual no solo en la previsión VNI anual para el período de 2015 a 2020.
hace crecer el tráfico, sino que también aumenta las posibles
rutas de acceso de los atacantes.

69 Sector
Conclusión
Informe anual sobre ciberseguridad de 2017 de Cisco

Conclusión
Para abordar una superficie de ataque en rápida expansión se necesita un enfoque
interconectado e integrado de la seguridad
Al analizar los datos del Estudio de los parámetros de ●● Políticas: las políticas están profundamente relacionadas
funcionalidades de seguridad de Cisco (consulte la página 49), a la mitigación. El control de los derechos de acceso a redes,
podemos analizar patrones y decisiones que ayudan a las sistemas, aplicaciones, funciones y datos afectará la capacidad
organizaciones a minimizar el riesgo. Por lo tanto, podemos de mitigar el daño causado por infracciones a la seguridad.
determinar las áreas en las que deben realizar inversiones de Asimismo, las políticas para garantizar una revisión periódica
seguridad que puedan marcar una diferencia significativa en de las prácticas de seguridad ayudarán a prevenir ataques.
la exposición a riesgos. Hemos medido el riesgo analizando la ●● Protocolos: los protocolos correctos pueden ayudar a prevenir
duración de las infracciones y el porcentaje de interrupciones y detectar infracciones, aunque también están profundamente
del sistema (consulte la figura 53 en la página 55 con respecto relacionados a la mitigación. En particular, para garantizar que
a la duración de las infracciones y los sistemas afectados). las medidas de seguridad estén funcionando, las revisiones
periódicas de la actividad de conexión a redes son clave
Para comprender cómo las organizaciones desarrollan
tanto para la prevención como para la mitigación. También es
medidas de seguridad eficaces contra el riesgo, debemos
beneficioso revisar y mejorar a lo largo del tiempo las prácticas
analizar qué factores afectan su capacidad para evitar, detectar
de seguridad con regularidad y de manera formal y estratégica.
y mitigar el riesgo. (Consulte la figura 68). Los factores de
motivación deben incluir los siguientes elementos: ●● Herramientas: la aplicación cuidadosa y adecuada de las
herramientas es lo que más influye en la mitigación. Con la
●● Líderes ejecutivos: los altos dirigentes deben priorizar la implementación de herramientas, los usuarios pueden revisar
seguridad. Esto es fundamental para mitigar ataques, así como y aportar comentarios, lo cual es fundamental para la detección
para prevenirlos. El equipo ejecutivo también debe contar con y prevención, así como para la mitigación.
métricas claras y establecidas para evaluar la eficacia de un
programa de seguridad.

Figura
Figura68
68.Factores de motivación
Controladores y medidaspara
y protecciones de seguridad
minimizarpara
los minimizar
riesgos riesgos
Factores de impulso Medidas de seguridad
Mida la influencia de las políticas, el liderazgo Mida la influencia de la capacidad
ejecutivo, los protocolos y las herramientas sobre de la empresa para evitar, detectar
la capacidad de la empresa para evitar, detectar y mitigar los efectos de un riesgo
y mitigar los efectos de la infracción de infracción

Líderes
ejecutivos
Prevenir
Política
Detectar Riesgo mínimo
Protocolos
Mitigar
Herramientas

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics

71 Conclusión
Informe anual sobre ciberseguridad de 2017 de Cisco

Las medidas de protección de la seguridad que aplican las ●● Mitigación: contar con procesos y procedimientos bien
organizaciones (prevención, detección y mitigación) se pueden documentados para la respuesta ante los incidentes, como
ver como medidas que influyen en la capacidad que tienen de también realizar un seguimiento, son factores clave para una
minimizar el riesgo. (Consulte la figura 68). mitigación efectiva de las infracciones. Las organizaciones
también deben contar con protocolos sólidos para administrar
Estas medidas de protección deben incluir los siguientes su respuesta ante las crisis.
elementos:
Todos estos factores de motivación y medidas de
●● Prevención: para minimizar el efecto de las infracciones a la seguridad están interconectados y son interdependientes.
seguridad, los empleados deben informar fallas y problemas Los profesionales de seguridad no pueden simplemente
relacionados con la seguridad. También es fundamental que seleccionar algunos factores de motivación y medidas de
los procedimientos y procesos de seguridad sean claros y se seguridad, y creer que han solucionado el problema de la
comprendan bien. seguridad. Necesitan tener en cuenta todos los factores
y todas las medidas. Los equipos de seguridad deben analizar
●● Detección: los mejores métodos de detección para minimizar
cuáles son sus puntos débiles (por ejemplo, niveles bajos de
el efecto de las infracciones son los que permiten que las
respaldo por parte de los líderes, o la falta de herramientas
organizaciones detecten puntos débiles en la seguridad antes
para mitigar infracciones) y calcular en qué áreas se deben
de que se conviertan en verdaderos incidentes. Para lograrlo,
realizar inversiones en seguridad.
es fundamental tener un buen sistema de categorización de la
información relacionada con los incidentes.

72 Conclusión
Informe anual sobre ciberseguridad de 2017 de Cisco

Objetivo principal: reducir el espacio operativo de los atacantes


Las principales prioridades de los defensores deben ser Cuando se aplican las amenazas dañinas, los defensores
reducir (y preferentemente eliminar) el espacio operativo deben aplicar todas las herramientas a su disposición para
ilimitado de los atacantes, como también revelar la presencia impedir que se extiendan y se vuelvan más peligrosas.
de los mismos. La realidad es que nadie puede detener Aquí es donde una arquitectura de seguridad integrada
todos los ataques, o proteger todo lo que puede y debe se vuelve crucial. Aportará una perspectiva en tiempo real
protegerse. Pero si se centra en cerrar el espacio operativo de las amenazas, como también una detección y defensa
que los criminales informáticos deben tener para que sus automatizadas, las cuales son fundamentales para mejorar la
campañas sean eficaces y rentables, puede evitar que logren detección de amenazas.
acceso a sistemas y datos críticos evadiendo por completo
la detección. En la fase de instalación, los equipos de seguridad deben
mantenerse informados sobre el estado del entorno mientras
Este informe clasificó diferentes enfoques que los investigan y responden al riesgo. Si ese entorno es simple,
atacantes utilizan para comprometer y atacar a usuarios abierto y automatizado, y si los defensores han adoptado
y sistemas. Basamos nuestras categorías (reconocimiento, las otras medidas proactivas mencionadas, pueden enfocar
armamentización, entrega e instalación) en el área en que los sus recursos en ayudar a la empresa a responder preguntas
ataques suelen llevarse a cabo en la cadena de ataque. Este críticas, a saber:
ejercicio pretende ilustrar cuándo, cómo y dónde los atacantes
se aprovechan de las vulnerabilidades y otros puntos débiles ●● ¿A qué accedieron los atacantes?
para acceder a un dispositivo o un sistema, lanzar su campaña, ●● ¿Por qué pudieron acceder?
y luego obtener las recompensas que buscan.
●● ¿Adónde se dirigieron?
Sugerimos que los defensores adapten sus enfoques de ●● ¿Aún están operando en nuestra red?
seguridad para adelantarse a los procesos básicos de los
atacantes. Por ejemplo, para obstaculizar la tarea de los Las respuestas a estas preguntas permitirán que los
atacantes durante la fase de reconocimiento, los equipos equipos de seguridad no solo tomen las medidas pertinentes
de seguridad deben: para evitar otros ataques, sino que también informen a la
administración y la junta directiva sobre posibles exposiciones
●● Recopilar información sobre las últimas amenazas y divulgaciones necesarias. A partir de allí, la empresa puede
y vulnerabilidades comenzar el proceso de asegurarse de implementar controles
●● Asegurarse de tener el control del acceso a sus redes y técnicas de mitigación integrales para abordar todas las
brechas en la seguridad (los puntos débiles que permitieron
●● Limitar la exposición de la organización en una superficie de
a los atacantes tener el espacio operativo necesario para
ataque en expansión
lograr su cometido) identificadas durante el ataque.
●● Administrar configuraciones

●● Desarrollar prácticas y procedimientos de respuesta uniformes,


los cuales estén informados por este trabajo

73 Conclusión
Informe anual sobre ciberseguridad de 2017 de Cisco

Acerca de Cisco
Cisco ofrece ciberseguridad inteligente para el mundo Nuestra sofisticada infraestructura y nuestros sistemas
real a través de uno de los portafolios de soluciones de consumen esta telemetría, lo que permite a los investigadores
protección avanzada contra amenazas más integrales del y los sistemas de aprendizaje automático seguir las amenazas
sector, que aborda la gama más amplia de vectores de ataque. de la red, los centros de datos, los terminales, los dispositivos
El enfoque sobre la seguridad implementado y centrado en las móviles, los sistemas virtuales, la web, los correos electrónicos
amenazas de Cisco reduce la complejidad y la fragmentación y la nube a fin de identificar las causas principales y examinar
mientras proporciona una visibilidad superior, control uniforme el alcance del daño causado. La inteligencia resultante se
y protección avanzada contra amenazas antes, durante traduce en protecciones en tiempo real para nuestra oferta
y después de un ataque. de productos y servicios que se distribuyen inmediatamente
a los clientes internacionales de Cisco.
Los investigadores especializados en amenazas del
ecosistema Cisco Collective Security Intelligence (CSI) Para obtener más información sobre el enfoque centrado en
reúnen, en una misma estructura, la inteligencia de amenazas amenazas de Cisco, visite www.cisco.com/go/security.
líder del sector; para ello, usan la telemetría obtenida de la
enorme impronta de dispositivos y sensores, fuentes públicas
y privadas, y la comunidad de código abierto. Esto equivale
a un ingreso diario de miles de millones de solicitudes web
y millones de correos electrónicos, muestras de malware
e intrusiones en las redes.

74 Acerca de Cisco
Informe anual sobre ciberseguridad de 2017 de Cisco

Colaboradores del Informe anual de ciberseguridad 2017 de Cisco

CloudLock Asuntos gubernamentales globales


CloudLock, una empresa de Cisco, es un proveedor líder de Cisco se relaciona con gobiernos en distintos niveles para
soluciones de intermediación de seguridad de acceso a la colaborar en la creación de normas y políticas públicas
nube (CASB), las cuales permiten a las organizaciones usar que respaldan el sector tecnológico y ayudan a los
la nube con seguridad. CloudLock brinda visibilidad y control gobiernos a alcanzar sus objetivos. El equipo de Asuntos
para entornos de software como servicio (SaaS), plataforma gubernamentales globales desarrolla y ejerce influencia en
como servicio (PaaS) e infraestructura como servicio (IaaS) las normas y las políticas públicas a favor de la tecnología.
para todos los usuarios, datos y aplicaciones. CloudLock Mediante el trabajo en colaboración con las partes interesadas
ofrece una inteligencia de ciberseguridad procesable del sector y partners asociados, el equipo entabla relaciones
mediante su CyberLab liderado por científicos de datos con líderes gubernamentales para ejercer influencia en las
y un análisis de seguridad colectivo. Para más información, políticas que afectan el negocio de Cisco y la adopción general
visite https://www.cloudlock.com. de tecnologías de la información y la comunicación (TIC), con
la intención de ayudar a crear decisiones sobre políticas tanto
Security and Trust Organization a nivel local como nacional y global. El equipo de Asuntos
gubernamentales está compuesto por exfuncionarios electos,
Security and Trust Organization, de Cisco, subraya el
miembros del Parlamento, reguladores, altos funcionarios
compromiso que asume Cisco para abordar dos de los
gubernamentales de EE. UU. y profesionales de asuntos
problemas más críticos que son la principal prioridad de
gubernamentales que ayudan a Cisco a promover y proteger
salas de juntas y líderes mundiales por igual. Las tareas
el uso de la tecnología en todo el mundo.
centrales de esta organización incluyen brindar protección
a clientes públicos y privados de Cisco, habilitar y garantizar
iniciativas de Ciclo de vida del desarrollo seguro y de Cognitive Threat Analytics
Sistemas confiables de Cisco en todo el portafolio de Cognitive Threat Analytics de Cisco es un servicio basado
productos y servicios de Cisco, y brindar protección a Cisco en la nube que detecta violaciones, malware que funciona
contra amenazas cambiantes. Cisco adopta un enfoque dentro de redes protegidas y otras amenazas a la seguridad
integral hacia la seguridad y la confianza generalizadas, mediante al análisis estadístico de los datos del tráfico
que comprende personas, políticas, procesos y tecnología. de red. Esta solución aborda las brechas de las defensas
Security and Trust Organization impulsa la excelencia perimétricas mediante la identificación de los síntomas de
operativa centrándose en seguridad informática, ingeniería una infección de malware o violación de datos; para ello,
confiable, protección y privacidad de datos, seguridad en la hace uso del análisis de comportamiento y la detección de
nube, transparencia y validación, e investigación y gestión anomalías. Cisco Cognitive Threat Analytics depende del
de seguridad avanzada. Para obtener más información, visite modelado estadístico avanzado y del aprendizaje automático
http://trust.cisco.com. para identificar amenazas nuevas de manera independiente,
aprender de lo que ve y adaptarse con el tiempo.

75 Acerca de Cisco
Informe anual sobre ciberseguridad de 2017 de Cisco

Equipo IntelliShield Security Research and Operations (SR&O)


El equipo IntelliShield realiza la investigación, el análisis, Security Research and Operations (SR&O) es responsable
la integración y la correlación de datos e información de la gestión de amenazas y vulnerabilidades de todos los
relacionados con amenazas y vulnerabilidades provenientes productos y servicios de Cisco, incluido el Equipo de respuesta
de Cisco Security Research and Operations y fuentes a incidentes de seguridad de productos (PSIRT), líder del
externas para brindar el servicio de inteligencia de sector. SR&O ayuda a los clientes a comprender el panorama
seguridad IntelliShield, que respalda diversos productos de amenazas en evolución a través de eventos, como Cisco
y servicios de Cisco. Live y Black Hat, y también a través de la colaboración con sus
pares en Cisco y el sector. Asimismo, SR&O presta nuevos
Grupo de Investigación e Inteligencia de servicios, como Inteligencia de amenazas personalizada
Seguridad Talos (CTI) de Cisco, los cuales pueden identificar indicadores
de riesgo que no han sido detectados ni mitigados por las
Talos es una organización de inteligencia de amenazas infraestructuras de seguridad existentes.
de Cisco, un grupo selecto de expertos de seguridad
dedicados a brindar protección superior para los clientes,
productos y servicios de Cisco. Talos está compuesto Cisco Visual Networking Index (VNI)
por investigadores líderes especializados en amenazas La previsión de tráfico IP global de Cisco VNI para el
y respaldados por sistemas sofisticados que les permiten período de 2015 a 2020 depende de pronósticos de
crear inteligencia de amenazas para los productos Cisco que analistas independientes y datos de uso de la red del mundo
detectan, analizan y protegen contra las amenazas conocidas real. A partir de estas proyecciones, Cisco elabora sus
y emergentes. Talos mantiene el conjunto de reglas oficiales propias estimaciones del tráfico IP global y la adopción del
de Snort.org, ClamAV, SenderBase.org y SpamCop, y es el servicio. En el informe completo se incluye una descripción
equipo principal que aporta información sobre amenazas al detallada de la metodología. En su trayectoria de 11 años, la
ecosistema Cisco CSI. investigación de Cisco VNI se ha convertido en una medida
muy reconocida del crecimiento de Internet. Los gobiernos
nacionales, los reguladores de la red, los investigadores
académicos, las empresas de telecomunicaciones, los
expertos en tecnología y la prensa y los analistas del sector
y de la empresa dependen del estudio anual para planificar
el futuro digital.

76 Acerca de Cisco
Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Apéndice
Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco

Figura 69.Estudio
Figura 69 Estudio comparativo
comparativo de capacidades
sobre las capacidades
de la de encuesta
encuesta

Sectores Áreas de participación en seguridad

Educación 2% Recomendaciones finales de la marca relacionadas


(instituciones 2% con soluciones
de educación superior) 1% 74%
76%
18% 81%
Servicios financieros:
banca, seguro 14%
15% Estrategias y puntos de vista generales
12% 73%
Gobierno 12% 75%
9% 83%

8% Investigación y evaluación de soluciones


Atención médica 4%
6% 72%
75%
Fabricación: 12% 78%
no relacionada 15%
con computadoras 14% Implementación y administración de soluciones
2% 71%
Industria farmacéutica 3% 73%
3% 79%

10% Definición de requisitos


Sector minorista 3%
3% 67%
71%
11% 76%
Telecomunicaciones 8%
6% Aprobación de presupuestos
6% 54%
Transporte 5% 57%
8% 66%

Servicios 4%
3%
públicos/energía 7%

16%
Sector no clave 27%
21% 2016 (n=2912) 2015 (n=2432) 2014 (n=1738)

Tamaño de la organización CSO frente a Sec Op

Empresas medianas Empresas grandes Corporaciones CSO Sec Op


2016 50% 38% 12% 2016 49% 51%
2015 49% 38% 13% 2015 45% 55%
2014 54% 46% 2014 54% 46%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

78 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 70.Cantidad
Figura 70 Cantidaddede profesionales
profesionales de seguridad
dedicados dedicados
a la seguridad

2014 (n=1738) 2015 (n=2432) 2016 (n=2912)

1-9 18% 17% 15%

10-19 16% 18% 17%

20-29 12% 17% 13%

30-39 8% 9% 8%

40-49 4% 4% 6%

50-99 19% 16% 19%

100-199 9% 9% 9%

200 o más 15% 10% 12%

Cantidad promedio de profesionales dedicados a la seguridad 30 25 33

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Percepciones

Figura 71 La mayoría de los profesionales de seguridad considera que su infraestructura de seguridad


Figura 71. La mayoría de los profesionales de seguridad sienten que la infraestructura de seguridad está actualizada
está actualizada

¿Cómo describiría su infraestructura de seguridad?


Es reemplazada/actualizada solo cuando
es necesario
Cuenta con las mejores Es reemplazada/actualizada de manera regular porque ya no funciona, es obsoleta
tecnologías disponibles muy actualizadas sin las mejores y últimas herramientas o hay nuevas necesidades
2016
58% 37% 5%
(n=2912)
2015
59% 37% 5%
(n=2432)
2014
64% 33% 3%
(n=1738)

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

79 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 72 Porcentaje de profesionales de seguridad que consideran que diferentes herramientas de seguridad
Figura
son muy 72. Porcentajes de profesionales de seguridad que perciben
efectivas
que varias herramientas de seguridad son muy efectivas
Bloquean contra amenazas de seguridad conocidas 2% <1% 24% 51% 23% 74%

Detectan anomalías en la red y protegen dinámicamente


2% <1% 27% 50% 21% 71%
contra cambios en las amenazas adaptables

Nos permiten hacer cumplir las políticas de seguridad. 2% <1% 28% 49% 22% 71%

Nos permiten evaluar los posibles riesgos de seguridad. 2% <1% 28% 49% 20% 69%

Determinan el alcance de un riesgo, lo contienen


2% <1% 29% 49% 20% 69%
y corrigen otras vulnerabilidades

2016 (n=2912),
Nada eficaces No muy eficaces Algo eficaces Muy eficaces Extremadamente % Muy +
gráficos redondeados al
eficaces extremadamente eficaz
número entero más cercano

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura 73 Porcentaje de profesionales de seguridad que consideran que la seguridad es una alta prioridad
Figura 73. Porcentajes de profesionales de seguridad que creen que
a nivel ejecutivo
la seguridad es una alta prioridad a nivel ejecutivo

Los líderes ejecutivos de mi Las funciones y responsabilidades Las evaluaciones de riesgos cibernéticos
organización consideran que en torno a la seguridad se aclaran se incorporan rutinariamente a nuestro
la seguridad es de absoluta prioridad. en el equipo ejecutivo de mi organización. proceso de evaluación de riesgos general.

2016 1% 4% 37% 59% 96% 1% 4% 41% 55% 96% 1% 4% 43% 53% 96%

2015 1% 4% 35% 61% 96% 1% 4% 36% 58% 95% 1% 4% 40% 55% 95%

2014 2% 4% 32% 63% 94% 2% 5% 35% 58% 94% 2% 4% 36% 57% 93%

El equipo ejecutivo de mi organización ha


establecido métricas claras para evaluar la
eficacia de nuestro programa de seguridad.

2016 1% 4% 44% 51% 95%

2015 1% 5% 41% 53% 94%

2014 2% 6% 40% 53% 93%

2016 (n=2912)
2015 (n=2432) Totalmente En desacuerdo De acuerdo Totalmente % De acuerdo +
2014 (n=1738) en desacuerdo de acuerdo Totalmente de acuerdo

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco 51% 94%

80 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 74. Porcentajes de encuestados que está totalmente de acuerdo


Figura 74 Porcentaje de encuestados que están totalmente de acuerdo con las declaraciones
con las instruccionesde
de operacionalización delaoperacionalización
seguridad de la seguridad

Revisamos y mejoramos nuestras We Regularly Review Connection


prácticas de seguridad periódica, formal Our Threat Detection and Blocking Activity on Network to Ensure Security
y estratégicamente todo el tiempo. Capabilities Are Kept Up to Date Measures Are Working as Intended

2016 0% 4% 42% 53% 96% 0% 4% 41% 55% 95% 0% 4% 43% 53% 95%

2015 1% 4% 40% 56% 96% 1% 3% 40% 56% 96% 1% 3% 39% 57% 96%

2014 1% 4% 38% 56% 95% 1% 5% 37% 57% 94% 2% 4% 36% 58% 94%

Podemos incrementar los controles La seguridad está bien integrada Nuestras tecnologías de seguridad están
de seguridad de los activos de gran a las capacidades comerciales bien integradas a fin de que funcionen
valor si las circunstancias lo requieren. y los objetivos de nuestra organización. eficazmente en conjunto.

2016 0% 4% 45% 51% 95% 1% 4% 40% 55% 95% 0% 5% 42% 53% 95%

2015 1% 3% 41% 56% 96% 1% 4% 40% 56% 96% 1% 4% 43% 52% 95%

2014 1% 5% 40% 54% 94% 2% 5% 36% 58% 94% 2% 5% 38% 56% 93%

Contamos con herramientas que nos permiten


Investigamos rutinaria y sistemáticamente revisar y brindar comentarios relacionados con las Es fácil determinar el alcance de un riesgo,
los incidentes de seguridad. capacidades de nuestras prácticas de seguridad. contenerlo y corregir los ataques.

2016 0% 5% 41% 53% 95% 0% 5% 46% 49% 95% 1% 7% 49% 43% 92%

2015 1% 4% 40% 56% 96% 1% 4% 44% 52% 95% 1% 8% 46% 45% 91%

2014 2% 5% 38% 55% 93% 1% 5% 40% 53% 93% 2% 9% 43% 46% 89%

2016 (n=2912)
2015 (n=2432) Totalmente En desacuerdo De acuerdo Totalmente % De acuerdo +
2014 (n=1738) en desacuerdo de acuerdo Totalmente de acuerdo

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

81 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Restricciones

Figura 75. Mayores obstáculos para la seguridad


Figura 75 Los mayores obstáculos para la seguridad Figura 76 Número de proveedores y productos
Figura 76. Cantidad
de seguridad de por
empleados proveedores y productos
organizaciones
de seguridad utilizados por las organizaciones
2015 (n=2432) 2016 (n=2912)

Restricciones de presupuesto 39% 35% 1-5 productos 35%

Problemas de compatibilidad 32% 28% 6-10 productos 29%

Requisitos de certificación 25% 25%


11-25 productos 21%
Falta de personal capacitado 22% 25%
26-50 productos 11%
Prioridades contrapuestas 24% 24%
51-100 productos 4%
Carga de trabajo actual muy pesada 24% 23%

Más de 100 productos 2%


Falta de conocimiento 23% 22%

Reticencia a comprar hasta que 2016 (n=2860)


22% 22%
no se comprueben

Cultura/actitud de la organización 23% 22%


Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
La organización no es un objetivo
N/D 18%
de gran valor para los atacantes
La seguridad no es una prioridad
N/D 17%
de nivel ejecutivo

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura 77
77. Número
Cantidadde
deproveedores
proveedoresde deseguridad
seguridad Figura 78. Número
Figura 78 Cantidadde
deproductos
productosde deseguridad
seguridad
utilizados por
utilizados por tamaño
tamaño de
de la
la organización
organización utilizados por tamaño de la organización
utilizados por tamaño de la organización

Mercado de
Mercado de empresas Grandes
¿Cuántos diferentes proveedores empresas Grandes medianas Empresas empresas
medianas Empresas empresas ¿Cuántos productos de seguridad
de seguridad (es decir, marcas, entre 250 entre 1000 más de
entre 250 entre 1000 más de diferentes forman parte de su y 1000 y 10 000 10 000
fabricantes) forman parte de y 1000 y 10 000 10 000 entorno de seguridad? empleados empleados empleados
su entorno de seguridad? empleados empleados empleados

1-5 37.9% 32.7% 25.1%


1-5 46,9% 43,4% 39,9%

6-10 29.0% 30.1% 22.5%


6-10 28,4% 30,9% 21,3%

11-25 19.8% 20.4% 23.7%


11-20 17,6% 15,8% 23,1%

26-50 9.6% 10.5% 15.6%


21-50 5,6% 7,1% 8,7%

51-100 3.0% 4.3% 7.8%


Más de 50 1,4% 2,8% 6,9%

Más de 100 0.8% 1.9% 5.4%


Organizaciones totales 1435 1082 333

Organizaciones totales 1442 1084 334


Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

82 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 79 Disminución interanual del presupuesto de seguridad dentro del presupuesto de TI


Figura 79. Disminución interanual del presupuesto de seguridad que ingresa al presupuesto de TI
¿Forma parte del presupuesto de TI el presupuesto de seguridad?
(Miembros del departamento de TI) 2014 (n=1673) 2015 (n=2374) 2016 (n=2828)

Totalmente dentro de TI 61% 58% 55%

Parcialmente dentro de TI 33% 33% 36%

Completamente independiente 6% 9% 9%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura 80.Disminución
Figura 80 Disminucióninteranual
interanualdel
delgasto
gastodeen seguridad
seguridad como
como una proporción
proporción del presupuesto
del presupuesto de TI de TI

Presupuesto de TI dedicado a la seguridad como función 2014 (n=1673) 2015 (n=2374) 2016 (n=2828)

0% 7% 9% 10%

1-5% 4% 3% 4%

6-10% 12% 11% 16%

11-15% 23% 23% 27%

16-25% 29% 31% 26%

26%-50% 21% 19% 15%

51% o más 5% 4% 2%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

83 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Efectos

Figura
Figura81.
81 Porcentajes
Porcentajededelaoportunidades
organización Oportunidades
perdidas Figura 82
Figura 82. Porcentaje
Porcentajesde
deingresos
ingresosperdidos
perdidosde
de
perdidas como resultado de los ataques
de una organización como resultado de ataques la organización como resultado de los ataques
una organización como resultado de ataques

Ninguna (0%) 1% Ninguno (0%) 1%

Algunas, pero menos Algunos, pero menos


58% del 20% 62%
del 20%

Entre el 20% y el 40% 25% Entre el 20% y el 40% 20%

Entre el 40% y el 60% 9% Entre el 40% y el 60% 10%

Entre el 60% y el 80% 5% Entre el 60% y el 80% 4%

Entre el 80% y el 100% 3% Entre el 80% y el 100% 3%

Todas (100%) 0% Todos (100%) 1%

Encuestados de las organizaciones Encuestados de las organizaciones


que perdieron oportunidades durante que perdieron ingresos el año
el año pasado (n=625) pasado (n=778)

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura 83. Porcentaje


Figura 83 Porcentajesdedeclientes
clientesperdidos
de la organización
de una
perdidos como resultado de los ataques
organización como resultado de ataques

Ninguno (0%) 1%

Algunos, pero menos


del 20% 60%

Entre el 20% y el 40% 21%

Entre el 40% y el 60% 8%

Entre el 60% y el 80% 6%

Entre el 80% y el 100% 4%

Todos (100%) 1%

Encuestados de las organizaciones que


perdieron clientes el año pasado (n=641)

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

84 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Resultados

Figura 84.Porcentaje
Figura 84 Porcentajes de organizaciones
de dependencia que dependenende
de las organizaciones la tercerización
relación a la tercerización

¿Qué servicios de
seguridad se 2014 2015 2016 ¿Por qué se subcontratan 2015 2016
subcontratan? (n=1738) (n=2432) (n=2912) estos servicios? (n=2129) (n=2631)

Asesoramiento
51% 52% 51% Más rentable 53% 52%
y consultoría
Deseo de contar con una
Auditoría 41% 47% 46% perspectiva objetiva 49% 48%

Respuesta Una respuesta más


a incidentes 35% 42% 45% 46% 46%
oportuna a incidentes

Supervisión 42% 44% 45% Falta de experiencia interna 31% 33%

Inteligencia
de amenazas N/D 39% 41% Falta de recursos internos 31% 33%

Corrección 34% 36% 35%

Ninguno/
Todos internos 21% 12% 10%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura
Figura 85.
85 Porcentajes de la
Porcentaje de seguridad de de
seguridad la organización
una
que depende de proveedores de terceros
organización que depende de proveedores terceros

Ninguno (0%) 4%

Algunos, pero menos


del 20% 18%

Entre el 20% y el 40% 41%

Entre el 40% y el 60% 21%

Entre el 60% y el 80% 10%

Entre el 80% y el 100% 4%

Todos (100%) 1%

Personal de seguridad de TI
(n=2595)

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

85 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 86. Porcentajes de servicios de seguridad tercerizados por tamaño de la organización


Figura 86 Porcentaje de servicios de seguridad tercerizados por tamaño de la organización

¿Qué servicios de seguridad se subcontratan? Empresas medianas (n=1459) Grandes empresas (n=1102) Corporaciones (n=351)

Asesoramiento y consultoría 50% 52% 51%

Auditoría 44% 47% 50%

Supervisión 46% 43% 44%

Inteligencia de amenazas 41% 41% 40%

Respuesta a incidentes 48% 44% 39%

Corrección 35% 34% 37%

Ninguno/Todos internos 8% 11% 11%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura 87.Fuentes
Figura 87 Fuentesdede mayor
análisis escrutinio
aumentado

Líderes ejecutivos 2% 4% 20% 44% 30% 74%

Clientes 2% 4% 21% 41% 32% 73%

Empleados 2% 5% 22% 44% 28% 72%

Partners comerciales 2% 5% 22% 43% 29% 72%

Grupos guardianes y de interés 2% 5% 23% 44% 26% 70%

Reguladores 2% 4% 24% 43% 27% 70%

Inversionistas 3% 5% 23% 41% 28% 69%

Compañías de seguros 3% 5% 25% 41% 26% 67%

Oprima 4% 8% 28% 39% 21% 60%

2016 (n=2912),
gráficos redondeados al
Sin Con poco Algo Con mucho Con extremado % Con mucho +
número entero más cercano escrutinio escrutinio de escrutinio escrutinio escrutinio extremado escrutinio

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

86 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 88 Aumento de la nube privada fuera de las instalaciones y alojamiento en las instalaciones
Figura 88. Aumentoterceros
gestionado por de la nube privada fuera de las instalaciones y del alojamiento administrado de terceros en las instalaciones

Dónde se alojan las redes 2014 (n=1727) 2015 (n=2417) 2016 (n=2887)

En las instalaciones, como parte de una nube privada 50% 51% 50%

En las instalaciones 54% 48% 46%

En las instalaciones, pero administradas por un proveedor externo 23% 24% 27%

Nube privada fuera de las instalaciones 18% 20% 25%

Nube pública fuera de las instalaciones 8% 10% 9%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Operaciones, políticas, procedimientos y funcionalidades

Figura 89. Proporción de empresas con un ejecutivo de seguridad


Figura 89 Proporción de empresas con ejecutivo de seguridad

¿Cuenta su organización con un ejecutivo con Puesto del ejecutivo


responsabilidad directa sobre la seguridad? Encuestados que informaron un ejecutivo con responsabilidad
Encuestados que informaron funciones y responsabilidades aclaradas sobre la seguridad

No Sí
Gerente de seguridad 53%
2016 52%
8% 92%
(n=2754) (CSO) 53%

Director general 14%


15%
(CIO) 16%
2015
8% 92%
(n=2288) 10%
Director general (CEO)
11%
o equivalente 10%

2014 Vicepresidente Sénior (SVP) 8%


9% 91% 11%
(n=1603) o vicepresidente (VP) de TI 7%

Director general de 8%
8%
tecnología (CTO) 9%

Director de riesgos 4%
y cumplimiento (CRO) o (CCO) N/A
N/A

Director de 3%
2%
operaciones (COO) 4%

1%
Otro cargo 1%
1%

2016 (n=2530) 2015 (n=2095) 2014 (n=1465)

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

87 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 90. Porcentaje de empresas que tiene una estrategia de seguridad formal para toda la organización
Figura 90 Porcentaje
y que respetan de compañías
las prácticas que cuentan
de la política con una
de seguridad estrategia de seguridad formal en toda
estandarizada
la organización y observan prácticas de política de seguridad estandarizadas

Estándares de seguridad Práctica estandarizada de políticas de seguridad

Tener una estrategia de seguridad escrita 62% Preparación para


y formal para toda la organización que se 66% el proceso de
revisa periódicamente 59% certificación

Seguir una práctica estandarizada 55%


52%
de la política de seguridad informática,
52% 7%
como ISO 27001

Definir formalmente los recursos


empresariales críticos que requieren 43% Actualmente
consideraciones especiales para la 38% en proceso de
54% Respeta la práctica
administración de riesgos que son cruciales certificación 28% estandarizada de la
para el negocio o que están reguladas para
tener mayor protección. política de seguridad
de la información

Seguir las políticas estandarizadas de 2% 2016 (n=1596)


65% Ya certificada
seguridad enfocadas en la atención médica, N/A
como NIST 800‒66, ISO27799, ISO80001 N/A

1%
Ninguna de las opciones anteriores 1%
1%

2016 (n=2912) 2015 (n=2432) 2014 (n=1738)

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura 91. Porcentajes de encuestados que están completamente


Figura 91 Porcentaje de encuestados que están totalmente de acuerdo con las declaraciones
de acuerdo con las afirmaciones de los procesos de seguridad
de procesos de seguridad

Se estimula a los empleados de mi Los procedimientos y procesos de Se estimula a los gerentes de la línea de
organización a informar las fallas seguridad de mi organización son negocios a contribuir a los procedimientos
y los problemas de seguridad. claros e inequívocos. y las políticas de seguridad.

2016 1% 4% 38% 58% 96% <1% 4% 40% 55% 96% 1% 4% 43% 52% 95%

2015 1% 4% 33% 62% 95% 1% 4% 39% 57% 95% 1% 5% 40% 55% 94%

2014 3% 5% 32% 61% 92% 3% 6% 36% 56% 91% 3% 5% 39% 53% 92%

Los procesos de seguridad de mi organización Los procesos de seguridad de mi Mi organización ha optimizado sus
nos permiten anticipar y mitigar los posibles organización se miden y controlan procesos de seguridad y ahora se
problemas de seguridad de forma proactiva. mediante datos cuantitativos. centra en la mejora de dichos procesos.

2016 1% 4% 43% 53% 96% 1% 4% 45% 50% 95% 1% 4% 43% 52% 95%

2015 1% 4% 43% 53% 95% 1% 4% 42% 53% 95% 1% 4% 42% 53% 95%

2014 3% 7% 38% 53% 91% 3% 6% 37% 54% 91% 3% 5% 39% 53% 92%

Mi organización es capaz de detectar las Los gerentes de la línea de negocios involucran al


debilidades de seguridad antes de que se grupo de políticas de seguridad antes de tomar una
conviertan en incidentes completos. decisión sobre las aplicaciones de la línea de negocios

2016 1% 4% 46% 49% 96% 1% 5% 45% 49% 94% 51% 94%

2015 1% 4% 45% 51% 95% N/D

2014 3% 6% 41% 49% 91% N/D

2016 (n=2912)
2015 (n=2432) Totalmente En desacuerdo De acuerdo Totalmente % De acuerdo +
2014 (n=1738) en desacuerdo de acuerdo Totalmente de acuerdo

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

88 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 92.Porcentaje
Figura 92 Porcentajes de encuestados
de encuestados que están
que están completamente
totalmente de acuerdo
de acuerdo con con
las declaraciones
las afirmaciones de los
de procesos de seguridad procesos de seguridad

Los derechos de acceso a las redes, los


sistemas, las aplicaciones, las funciones Los controles de seguridad técnica de los Las instalaciones informáticas de mi
y los datos se controlan adecuadamente. sistemas y las redes están bien administrados. organización están bien protegidas.

2016 <1% 3% 41% 55% 97% <1% 4% 40% 56% 96% <1% 4% 41% 55% 96%

2015 1% 3% 38% 59% 97% 0% 4% 38% 57% 96% 1% 4% 40% 56% 96%

2014 2% 4% 33% 61% 94% 2% 3% 35% 60% 95% 2% 4% 36% 57% 94%
Realizamos un buen trabajo en la
Revisamos regularmente nuestras herramientas integración de la seguridad en los
y prácticas de seguridad para garantizar que Realizamos un buen trabajo en la integración procedimientos de adquisición, desarrollo
estén actualizadas y sean eficaces. de la seguridad en los sistemas y las aplicaciones. y mantenimiento de los sistemas.

2016 <1% 4% 40% 56% 96% <1% 4% 43% 53% 96% <1% 4% 43% 52% 96%

2015 1% 3% 37% 60% 97% 1% 4% 42% 54% 96% 1% 3% 41% 56% 96%

2014 2% 5% 35% 59% 93% 2% 5% 35% 58% 93% 2% 4% 38% 56% 94%

Realizamos un buen trabajo de creación


Se llevan a cabo clasificaciones claras Realizamos un excelente trabajo en el de seguridad en aplicaciones móviles
e inventarios de los recursos de información. manejo de la seguridad de RR. HH. externas de los clientes

2016 <1% 4% 44% 51% 95% 1% 5% 45% 49% 94% 1% 6% 43% 51% 94%

2015 1% 5% 42% 53% 95% 1% 5% 44% 51% 94% N/D

2014 2% 6% 39% 54% 93% 2% 5% 40% 53% 93% N/D

2016 (n=2912)
2015 (n=2432) Totalmente En desacuerdo De acuerdo Totalmente % De acuerdo +
2014 (n=1738) en desacuerdo de acuerdo Totalmente de acuerdo

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

89 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 93.Porcentaje
Figura 93 Porcentajes de encuestados
de encuestados que están
que están completamente
totalmente de acuerdo
de acuerdo con con
las declaraciones
las afirmaciones de los
de controles de seguridad controles de seguridad

Contamos con procedimientos y procesos bien Disponemos de buenos sistemas Realizamos un buen trabajo en la notificación
documentados para la respuesta ante los de comprobación de ocurrencia real a las partes interesadas y la colaboración con
incidentes y el seguimiento de estos. de incidentes de seguridad. ellas respecto de los incidentes de seguridad.

2016 <1% 4% 42% 53% 95% <1% 4% 42% 53% 95% 1% 5% 43% 52% 95%

2015 1% 4% 42% 54% 96% 1% 5% 41% 54% 95% 1% 4% 42% 53% 95%

2014 2% 5% 37% 56% 94% 1% 6% 38% 54% 93% 2% 5% 43% 51% 94%

Disponemos de un buen sistema Contamos con procesos eficaces para Seguimos prácticas de respuesta a incidentes
de categorización de información interpretar, priorizar y comprender los estandarizadas, como RFC2350, ISO/IEC
relacionada con incidentes. informes entrantes de incidentes. 27035:2011 o certificaciones de EE. UU.

2016 <1% 4% 44% 51% 96% <1% 4% 45% 50% 96% 1% 6% 44% 50% 93%

2015 1% 4% 43% 53% 96% 1% 5% 43% 52% 95% 1% 6% 44% 49% 93%

2014 2% 5% 40% 54% 93% 2% 5% 42% 51% 93% 2% 8% 41% 49% 90%

Disponemos de un buen protocolo


de respuesta para la gestión de
situaciones de crisis

2016 <1% 5% 44% 51% 95% 51% 94%

2015 N/D

2014 N/D

2016 (n=2912)
2015 (n=2432) Totalmente En desacuerdo De acuerdo Totalmente % De acuerdo +
2014 (n=1738) en desacuerdo de acuerdo Totalmente de acuerdo

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura
Figura94
94.Administración
Administracióny eficacia de tecnologías
y eficacia de seguridad
de las tecnologías de seguridad
¿Cuáles son las tecnologías de seguridad ¿Cuáles son las tecnologías de
que consumen más tiempo y que son más seguridad más eficaces utilizadas
difíciles de administrar para el personal? por la organización?
(Menciones superiores al 10%) 2016 (n=2895) 2016 (n=2895)

Firewall 20% 28%

Defensa de DDoS 16% 14%

Prevención de pérdida de datos 16% 14%

Cifrado/privacidad/protección de datos 15% 17%

Protección de terminales/antivirus, antimalware 12% 15%

Seguridad móvil 12% 10%

DNS seguro 12% 13%

Seguridad de mensajería/correo electrónico 11% 12%

Control de acceso/autorización 11% 14%

Prevención de intrusiones 11% 10%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

90 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 95.Uso
Figura 95 Uso interanual
interanual dede la defensa
defensa ante amenazas
ante amenazas de seguridad
de seguridad
Defensas
Defensas contra Defensas Defensas contra a través de
amenazas de a través de amenazas de servicios
seguridad utilizadas servicios basados seguridad utilizadas basados
por la organización en la nube* por la organización en la nube*

58% 34% 35% 20%


Firewall** 65% 31% Seguridad móvil 44% 24%
N/D N/D 51% 28%

45% N/D 32% 18%


Prevención de 56% N/D VPN 40% 21%
pérdida de datos 55% N/D 48% 26%

Cifrado/privacidad/ 44% N/D 32% N/D


53% N/D Informática forense de red 31% N/D
protección de datos 53% N/D 42% N/D

42% 22% Administración de información 32% N/D


DNS seguro N/D N/D y eventos de seguridad (SIEM) 38% N/D
N/D N/D 43% N/D

42% 27% 32% 15%


Seguridad de mensajería/ 52% 34% Análisis de vulnerabilidades 41% 21%
correo electrónico 56% 37% 48% 25%

41% 25% 30% N/D


Seguridad web 51% 31% Revisión y configuración 32% N/D
59% 37% 39% N/D

Protección terminal/ 41% 24% Autenticación de 29% N/D


49% 25% N/D N/D
anti-malware 49% 25% varios factores N/D N/D

Control de acceso/ 40% N/D 27% 12%


48% N/D Pruebas de penetración 34% 17%
autorización 53% N/D 38% 20%

38% N/D Informática forense 26% N/D


Defensa de DDoS 37% N/D de terminales 26% N/D
36% N/D 31% N/D

37% 19% N/D N/D


Tecnología 41% 19% de dos factores 53% N/D
inalámbrica protegida 50% 26% 52% N/D

Administración Seguridad de la red,


de identidad/ 35% N/D N/D N/D
45% N/D firewalls y prevención N/D N/D
aprovisionamiento
de usuarios 45% N/D de intrusiones** 60% 35%

Prevención 35% 17% 1% 8%


44% 20% Ninguna de las 1% 11%
de intrusiones** opciones anteriores
N/D N/D 1% 13%

2016 (n=2912) 2016 (n=2725) * Encuestados sobre seguridad que utilizan defensas
2015 (n=2432) 2015 (n=2268) contra amenazas de seguridad
2014 (n=1738) 2014 (n=1646) ** El firewall y la prevención de intrusiones constituían
un código en 2014: “Seguridad de la red, firewalls
y prevención de intrusiones”.
2016 2015 2014

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

91 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 96 Medida en la que los factores de protección de clientes influyen en la toma de decisiones
Figura 96. Alcance que tienen los factores de protección del cliente en la toma de decisiones de seguridad
de seguridad

¿Hasta qué punto influye el factor de protección


del cliente en la toma de decisiones de seguridad? 0% 1% 10% 45% 44% 89%

2016 (n=2878)
Gráfico redondeado Para nada Poco De alguna manera Mucho Extremadamente eficaces % Mucho +
al número entero extremadamente
más cercano

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Riesgos y vulnerabilidades

Figura 97 Los principales motivos de preocupación del personal de seguridad de TI en relación a los
Figura 97. Mayores fuentes de preocupación del personal de seguridad de TI relacionadas con los ataques cibernéticos
ataques informáticos

Ataques específicos 4% 18% 42% 36% 78%

Amenazas persistentes avanzadas 4% <1% 43% 33% 76%

Proliferación de BYOD y dispositivos inteligentes 6% 20% 45% 28% 74%

Viabilidad de recuperación tras un desastre y continuidad


5% 23% 47% 26% 72%
de los negocios

Exfiltración interna 6% 22% 42% 30% 72%

Tercerización de los procesos empresariales importantes


6% 23% 46% 26% 72%
(y falta de control sobre los servicios de terceros)

Ransomware 6% 23% 46% 25% 71%

Computación en la nube 7% 24% 43% 26% 69%

Restricciones del cumplimiento reglamentario 6% 25% 44% 25% 69%

2016 (n=2912)
Gráfico redondeado
al número entero Sin riesgo Riesgo leve Riesgo moderado Alto riesgo % Moderado + alto riesgo
más cercano

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

92 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 98 Los principales motivos de preocupación de los profesionales de la seguridad en relación a los
Figura 98. Las mayores fuentes de preocupación de los profesionales de seguridad relacionadas con los ataques cibernéticos
ataques informáticos

Dispositivos móviles 3% 10% 30% 38% 20% 58%

Datos en la nube pública 2% 10% 30% 36% 21% 57%

Infraestructura de la nube 2% 11% 30% 38% 19% 57%


Comportamiento del usuario (por ejemplo, hacer clic en
enlaces maliciosos en el correo electrónico o los sitios web) 2% 10% 31% 37% 20% 57%

Datos del cliente 2% 11% 32% 37% 18% 54%

Centros de datos/Servidores 3% 11% 32% 37% 18% 54%

Datos de la organización 2% 12% 32% 37% 17% 54%

Infraestructura de red 2% 11% 33% 37% 17% 54%

Aplicaciones 2% 11% 34% 36% 16% 52%

Sistemas operativos del cliente (p. ej., Windows 7,


3% 14% 32% 36% 16% 52%
Windows 10, MacOS, etc.)
2016 (n=2912)
Gráfico redondeado No desafiante Poco desafiante Algo desafiante Muy desafiante Extremadamente % Muy + extremadamente
al número entero desafiante desafiante
más cercano

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura 99 Distribución de esfuerzos de los equipos de seguridad


Figura 99. Distribución de los esfuerzos de los equipos de seguridad

Personal de seguridad de TI (n=2854) Terminales Datos del cliente Servidores

¿Dónde se esfuerza más el equipo de seguridad? 23% 29% 47%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

93 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Respuesta a incidentes

Figura100
Figura 100.Porcentaje
Porcentajes de alertas
de alertas de seguridad
de seguridad que seoinvestigan
investigadas corregidaso solucionan

no ha experimentado
El 7% una alerta de seguridad

ha experimentado una Alertas promedio vistas por


El 93% alerta de seguridad la organización a diario

de las alertas vistas


El 56% se investigan
Menos que 5000 50%

El 28% de las alertas investigadas


son legítimas
Entre 5000 y 10 000 15%

El 46% de alertas legítimas


se solucionan
Entre 10 000 y 50 000 11%
Entre 50 000 y 100 000 8%

2016 (n=2796) Entre 100 000 y 150 000 6%


Más de 150 000 4%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura 101 Tiempo promedio de detección de


Figura 101. Tiempo promedio para detectar
infracciones a la seguridad
infracciones a la seguridad
2016 (n=2860)

8 horas o menos 43%

Entre 9 y 24 horas 25%

Entre 25 y 48 horas 15%

Más de 2 días pero menos de 1 semana 7%

Entre 1 y 2 semanas 5%

Entre 3 semanas y un mes 3%

De 1 a 3 meses 1%

Más de 3 meses, pero menos de 1 año 1%

1 año o más 0%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

94 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 102.Grupos
Figura 102 Grupos notificados
notificados en en caso
caso deincidente
de un un incidente

46% 30% 22%


Oficina del CEO 45% Legales 32% Marketing 26%
o presidente N/D 36% 31%

40% 29% 21%


Operaciones 40% Ingeniería 33% Partners comerciales 21%
46% 38% 32%

37% 25% 15%


Departamento 40% Todos los empleados 27% Compañías de seguros 15%
de finanzas N/D 35% N/D

36% 25% 15%


Partners tecnológicos 34% Fabricación 28% Autoridades externas 18%
45% 33% 22%

31% 23%
Recursos humanos 33% Relaciones públicas 24%
36% 28%

2016 (n=2912) 2015 (n=2432) 2014 (n=1738)

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura
Figura 103
103. KPI
KPI utilizados por las
utilizados por las organizaciones
organizaciones para
para
evaluar el rendimiento de la seguridad
evaluar el rendimiento de la seguridad
2016 (n=2912)
Tiempo de detección (por ejemplo, tiempo desde que
la amenaza ingresó al entorno hasta que se detectó) 59%

Tiempo para implementar parches (por ejemplo, tiempo


desde el lanzamiento del parche hasta la implementación) 52%

Tiempo para contener (por ejemplo, tiempo desde


la detección hasta la contención/cuarentena) 44%

Tiempo de corrección (por ejemplo, tiempo desde


30%
la cuarentena hasta estar operativo)

Ninguna de las opciones anteriores 3%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

95 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 104.Uso
Figura 104 Uso interanual
interanual deldel proceso
proceso para analizar
de análisis los sistemas
de los sistemas afectados
en riesgo

Procesos de análisis de los sistemas en riesgo 2014 (n=1738) 2015 (n=2432) 2016 (n=2912)

Registros de firewall 61% 57% 56%

Análisis de registros de sistemas 59% 53% 50%

Análisis del flujo de red 53% 49% 49%

Análisis de regresión de archivos o malware 55% 48% 47%

Análisis de registros 50% 47% 43%

Análisis de captura de paquete completo 47% 38% 40%

Detección de indicadores de riesgo 38% 35% 38%

Análisis forense del disco 40% 36% 36%

Análisis de registros/eventos correlacionados 42% 37% 35%

Análisis forense de la memoria 41% 34% 34%

Equipos externos de análisis/respuesta ante los incidentes 37% 33% 34%

Ninguna de las opciones anteriores 2% 1% 1%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura 105.Uso
Figura 105 Uso interanual
interanual deldel proceso
proceso parapara eliminar
eliminar la causa
las causas de los incidentes
de incidentes de seguridad
de seguridad

Procesos para eliminar las causas de incidentes de seguridad 2014 (n=1738) 2015 (n=2432) 2016 (n=2912)

Cuarentena o eliminación de las aplicaciones maliciosas 58% 55% 52%

Análisis de causa raíz 55% 55% 51%

Detención de la comunicación del software malicioso 53% 53% 48%

Supervisión adicional 52% 48% 48%

Actualización de las políticas 51% 47% 45%

Detención de la comunicación de las aplicaciones comprometidas 48% 47% 43%

Desarrollo de correcciones a largo plazo 47% 40% 41%

Replicación de la imagen del sistema al estado anterior 45% 41% 39%

Ninguna de las opciones anteriores 2% 1% 1%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

96 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figure 106Uso
Figura 106 Year-over-Year Use of de
interanual del proceso Process to Restore
restauración de losAffected
sistemas Systems
afectados

Procesos de restauración de sistemas afectados 2014 (n=1738) 2015 (n=2432) 2016 (n=2912)

Implementación de detecciones y controles nuevos o adicionales en función


60% 56% 56%
de las debilidades identificadas posteriores a los incidentes

Restauración a partir de una copia de respaldo previa al incidente 57% 59% 55%

Revisión y actualización de aplicaciones consideradas vulnerables 60% 55% 53%

Restauración diferencial (eliminación de cambios producidos


56% 51% 50%
por un incidente)

Restauración mediante imagen de implementación virtual 35% 35% 34%

Ninguna de las opciones anteriores 2% 1% 1%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura 107 Simulaciones


Figura 107. Simulación de
delataques:
ataque: frecuencia
Frecuencia yy maneras
alcance de
de implementar mejoras
impulsar mejoras en la defensa
de defensa de la seguridad
de la seguridad
¿Con qué frecuencia su organización ejecuta simulaciones ¿En qué medida los resultados de las simulaciones
de un ataque? del ataque impulsan mejoras en sus políticas y procedimientos
de defensa de seguridad, o en sus tecnologías de seguridad?
2016 (n=2868)
2016 (n=2736)

Nunca 4%
44% 47%
Semanal 28%
Mensual 33%
Trimestral 21%
Semestral 8%
Anual 4% 8%
0% 1%
Regularmente, 3%
pero menos de
una vez al año 1 2 3 4 5
Para nada En gran medida

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura 108.Importancia
Figura 108 Importancia
dede asignar
atribuir el origen
el origen deinfracción
de una una infracción a la seguridad
a la seguridad

¿Cuán importante es la asignación de su empresa al


momento de responder a una infracción a la seguridad? 0% 1% 7% 41% 52% 92%

Personal de seguridad
de TI (n=2901), gráfico No es importante No muy Medianamente Muy Extremadamente % Muy + extremadamente
redondeado al número en absoluto importante importante importante importante importante
entero más cercano

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

97 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Infracciones y sus efectos

Figura 109. Porcentaje de organizaciones que Figura 110.


Figura 109 Porcentaje de organizaciones que sufren Figura 110 Qué generó
¿En qué la amenaza
medida la infracción motivó
experimenta
una infracciónuna infracción pública
pública ¿Mejoras en sus políticas, procedimientos
mejoras en materia de políticas, o tecnologías
procedimientos
de defensa contra amenazas de seguridad?
o tecnologías para la defensa ante amenazas
a la seguridad?
52%
38%

53% 48% 49% 9%


0% 1%
2014 2015 2016 1 2 3 4 5
(n=1701) (n=2347) (n=2824)
Para nada En gran medida
Encuestados afectados por una infracción a la seguridad (n=1388)

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura 111. Alcance de las interrupciones ocasionadas por infracciones a la seguridad


Figura 111 Longitud y alcance de las interrupciones causadas por infracciones a la seguridad

Duración de las interrupciones en el sistema debido a una infracción Porcentaje de sistemas afectados por la infracción

2016 (n=2665) 2016 (n=2463)


0 Horas, ninguna
7% 0% 1%
interrupción

Menos de 1 hora 13% 1‒10% 19%

Entre 1 y 4 horas 25% 11‒20% 22%

Entre 5 y 8 horas 20% 21‒30% 20%

Entre 9 y 16 horas 15% 31‒40% 15%

Entre 17 y 24 horas 11% 41‒50% 10%

Más de 24 horas 9% 51‒60% 6%

61% o más 9%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

98 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 112. Mejoras


Figura 112 Mejorashechas
realizadas
parapara proteger
proteger a la empresa
a su compañía contra las infracciones
de infracciones a la seguridad
a la seguridad

43% 42% 40% 37%


37% 38% 38% 38% 37% 37%

Separación del equipo Aumento de las capacitaciones Profundización del Aumento de las inversiones Aumento de las
de seguridad del para la concientización sobre enfoque sobre el análisis en tecnologías o soluciones inversiones en
departamento de TI la seguridad entre de riesgos y la para la defensa ante amenazas capacitación del
los empleados mitigación de riesgos de seguridad personal de seguridad

2015 (n=1109) 2016 (n=1375)

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

99 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Opción de proveedores y expectativas

Figura 113. Importancia de la protección de datos y la privacidad para los proveedores


Figura 113 Importancia de la protección de datos y la privacidad para los proveedores

¿Qué procesos y políticas de protección de datos y de ¿Qué protección de datos, normas de privacidad y certificaciones
privacidad son más importantes para un proveedor? necesita un proveedor para trabajar con su organización?

2016 (n=2912) 2016 (n=2870)

Políticas para toda la


organización sobre los 35% ISO 27001 39%
controles de acceso de datos

Programa de respuesta ante los


33% ISO 27018 34%
incidentes de datos

Políticas para toda la Marco/estándares de


organización sobre las 31% 28%
ciberseguridad de NIST
notificaciones de la infracción
Políticas para toda la
organización sobre el acceso 27% Escudo de la privacidad 28%
a los datos del proveedor
Cumplimiento de los
Capacitación de los empleados
obligatoria y continua 27% controles organizacionales 28%
de servicio (SOC)

Privacidad de diseño a nivel


26% Cumplimiento de TRUSTe 26%
de la organización

Evaluación del riesgo de datos GAPP (principios de privacidad


y de la madurez de la 25% 26%
organización generalmente aceptados)

Políticas sobre la distribución Cumplimiento de las


de la residencia y soberanía 24% 25%
de datos normas HIPAA

Diálogo activo con la junta


directiva con respecto a los 22% Cláusulas del modelo de la UE 25%
riesgos de datos

Políticas de conservación Cumplimiento de


13% las normas PCI-DSS 23%
de datos

Medición y supervisión/
cumplimiento de 9% Reglas corporativas obligatorias 23%
auditoría proactivos

Reglas fronterizas de
privacidad de APEC 18%

FedRAMP 18%

FISMA 17%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

100 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Modelo de madurez de funcionalidades de seguridad

Figura 114. Madurez de la seguridad por país


Figura 114 Madurez de la seguridad por país

EE. UU. Brasil Alemania Italia

2016 4% 25% 29% 41% 4% 25% 30% 41% 7% 31% 28% 34% 5% 36% 31% 28%
2015 4% 22% 27% 45% 9% 24% 26% 40% 12% 24% 24% 39% 7% 36% 23% 34%
2014 10% 16% 27% 44% 5% 35% 24% 34% 4% 25% 27% 43% 23% 25%13% 38%

Reino Unido Australia China India

2016 5% 38% 29% 28% 5% 31% 34% 31% 13% 35% 21% 31% 5% 17% 31% 47%
2015 14% 32% 22% 32% 5% 29% 36% 29% 6% 37% 25% 32% 4% 21% 34% 40%
2014 16% 18% 25% 41% 16% 35% 19% 30% 3% 29% 32% 36% 10% 16% 20% 54%

Japón México Rusia Francia

2016 7% 32% 26% 35% 4% 21% 26% 47% 4% 30% 27% 39% 6% 35% 26% 32%
2015 16% 34% 16% 32% 14% 20% 16% 50% 14% 27% 26% 32% 15% 35% 20% 29%
2014 22% 40% 14% 24% N/D N/D N/D

Canadá

2016 7% 36% 23% 33%

Bajo Medio-bajo Medio-Alto Alto

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura 115. El modelo de madurez clasifica a las organizaciones Figura 116. Estimación de tamaño del segmento para el modelo de madurez
Figuralos115
según El modelo
procesos de madurez clasifica a las
de seguridad Figura 116 Estimación de tamaño del segmento para
organizaciones según el proceso de seguridad el modelo de madurez

5 segmentos según 36%


la serie Q9 Alto 36%
39%

Nivel 5 Optimizado Alto 28%


Se enfoca en la mejora del proceso Medio-
alto 25%
23%
Administrado
Medio-
Nivel 4 cuantitativamente alto
30%
Procesos controlados Medio 28%
y medidos cuantitativamente 26%

Definido 6%
Nivel 3 Procesos caracterizado por la organización; Medio Medio-
bajo 9%
a menudo son proactivos
8%

1%
Repetible Medio-
Nivel 2 Procesos caracterizados por proyectos; Bajo 2%
bajo
a menudo son reactivos 4%

Nivel 1 Inicial Bajo 2016 (n=2852) 2015 (n=2401) 2014 (n=1637)


Los procesos son Ad Hoc; impredecibles

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

101 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Exclusivo del sector

Figura 117. Porcentaje de negocios de


Figura 117 Porcentaje de empresas de servicios Figura
Figura 118
118. Recursos
Recursos que
que utilizan las empresas
las empresas de
de servicios
servicios de salud que han implementado
de salud que han implementado políticas servicios de salud para evaluarse en relación
de salud usan para medirse en comparación con a las
políticas de seguridad estandarizadas
de seguridad estandarizadas Reglas de de
Privacidad HIPAA
las reglas privacidad HIPAA
Políticas de seguridad estandarizadas implementadas ¿Qué recursos se utilizan para medir las Empresas de
Los negocios de servicios de salud respetan la práctica de la política de empresas en comparación con las reglas servicios de salud
seguridad informática específica de los servicios de salud 2016 (n=65) y la seguridad de la privacidad HIPAA? 2016 (n=219)

SO80001 (dispositivo médico) 74% Orientación de seguridad HIT 52%

ISO27799 60% Documento actual HIPAA


52%
(actualmente Omnibus)
NIST 800-66 45%
Marcos de auditoría HHS.OCR 40%
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
HITRUST u otro marco privado 37%

Evaluaciones de terceros 24%

Ninguna de las opciones anteriores 6%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura119
Figura 119.Las
Medidas
medidas dedeseguridad
seguridad más comunes entreentre
más implementadas los negocios de servicios
las empresas de de
de servicios salud
salud con
con redes
redes de de dispositivos
dispositivos médicosmédicos

¿Su organización tiene una red de dispositivos médicos ¿Cuál de estas medidas de seguridad, si existen, ha implementado su
incluida en la red de un hospital principal? empresa para proteger y asegurar su red de dispositivos médicos?
Empresas con una red de dispositivos médicos en su organización
(n=207)

No, no hay una red Control de acceso a la red 59%


de dispositivos
médicos en nuestra Protección/Detección avanzadas
56%
organización de malware
Autenticación del dispositivo
49%
de varios factores
No, las redes de 6% IPS/IDS, Inspección profunda
48%
dispositivos de paquetes
médicos se aíslan 15% Defensa/Respuesta automatizada
y administran 48%
ante amenazas
internamente
Negocios de Análisis de tráfico/
45%
servicios de Detección de anomalías
16% salud (n=219) Evaluación del estado o perfiles
No, las redes 63% de dispositivos
40%
de dispositivos Sí
Segmentación/
médicos son 32%
Microsegmentación
independientes
y las administra Ninguna de las opciones anteriores 1%
un proveedor

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

102 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura120
Figura 120.Perfil
Perfildede muestra
muestra para
para telecomunicaciones
telecomunicaciones

¿De qué subsector de telecomunicaciones ¿Cuál de estos servicios ofrece su


participa su organización? empresa a sus clientes?
Empresas de telecomunicaciones (n=307) Empresas de telecomunicaciones (n=308)

Servicios de seguridad administrados


Equipo de comunicaciones 47% 71%
proporcionados a los clientes finales

Proveedor de servicios (tradicional) Principales redes de producción,


33% 60%
como IP (televisión incluida), móvil, etc.

Operador de cable/satelital 11% Entorno empresarial 59%

Medios/Transmisión 7% Centros de datos 57%

Proveedor de contenidos en línea (Netflix, Hulu, etc.) 2%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura121
Figura 121.Factores
Factoresdede las estrategias
estrategias de seguridad
de seguridad para telecomunicaciones
para telecomunicaciones

Prioridad relativa a las estrategias y los protocolos de seguridad


Empresas de telecomunicaciones (n=308)

Porcentaje promedio Porcentaje promedio Porcentaje promedio


de disponibilidad de confidencialidad de integridad

34% 36% 31%


Disponibilidad: Asegurar Confidencialidad: Garantizar que solo las Integridad: Garantizar que los datos
el acceso confiable a los datos partes apropiadas puedan acceder a los datos sean precisos y exactos

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura 122.Prioridades
Figura 122 Prioridadesdede seguridad
seguridad parapara telecomunicaciones
telecomunicaciones

Clasificar en términos de prioridad de la seguridad en la organización Empresas de telecomunicaciones (n=308)

Asegurar los centros de datos 34% 21% 24% 22%

En la red de producción principal que ofrece


26% 21% 29% 24%
servicios IP o móviles altamente disponibles

Brindar servicios de seguridad administrados 21% 30% 19% 30%

La red empresarial y los datos internos 20% 28% 29% 24%

Clasificada 1ª Clasificada 2ª Clasificada 3ª Clasificada 4ª

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

103 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 123. Perfil de muestra para transporte


Figura 123 Perfil de muestra para transporte

¿Su empresa utiliza un Centro de ¿Su empresa participa en Organismos de estándares


Operaciones de seguridad (SOC)? de seguridad o en Organizaciones industriales?

No, pero hay planes para


implementar un centro de No
operaciones de seguridad
el próximo año.
14% 12%

No, y no
hay planes
inmediatos para
11%
implementar Empresas Empresas
un centro de de transporte de transporte
operaciones (n=179) (n=179)
de seguridad. 75% Sí 88% Sí

¿De qué subsector de transporte ¿De cuál de las siguientes áreas de


participa su organización? seguridad es responsable?
Empresas de transporte (n=180) Empresas de transporte (n=180)

Fletes y logística 54% Seguridad de tecnología 84%


operativa

Transporte masivo 11% Seguridad de 71%


infraestructura crítica

Ferroviaria 9% Seguridad del vehículo 43%

Vial 9%

Aeronáutica 7%

Marítima 5%

Vehículos 5%

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

104 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura124
Figura 124.Perfil
Perfildede muestra
muestra para
para servicios
servicios públicos/energía
públicos/energía

¿Con qué frecuencia su organización realiza


¿De qué subsector de servicios un simulacro o ejercicio para probar el
públicos/energía participa principalmente plan de respuesta de su empresa frente Cuándo se realizan estos simulacros
su organización? a un incidente de ciberseguridad? o ejercicios, ¿qué partes participan?

Una vez cada 6 meses 55% Partners de seguridad 84%


Petróleo y gas
Personal interno que no
Una vez al año 37% 69%
pertenece a seguridad

Una vez cada 2 años 6% Partners comerciales 64%


Miembros que responden
Muy pocas veces 2% en primera instancia 33%

42% Nunca 0%
Organismos locales
31%
Empresas de o estatales
servicios públicos/
Empresas de servicios públicos/ Organismos federales 26%
energía (n=116)
58% energía (n=116)
Otros proveedores
de servicios públicos
20%

Ninguna de las
opciones anteriores
1%

Empresas de servicios públicos/energía (n=116)


Empresas
de electricidad

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura125
Figura 125.Perfil
Perfildede muestra
muestra para
para servicios
servicios financieros
financieros

¿De qué subsector de servicios financieros ¿En qué medida piensa que la seguridad se ve
participa principalmente su organización? influenciada por las siguientes tendencias?

Mercados financieros 52% 0% Negocios digitales 1% 1% 10% 41% 47% 88%

Sistema bancario minorista 25% FinTech 0% 2% 10% 46% 42% 88%

Operaciones de 85%
Seguros 23% 0% 1% 13% 47% 39%
desarrollo (DevOps)

TI bimodal 0% 2% 15% 48% 35% 82%

Empresas de servicios financieros (n=509)


Para nada En gran medida % Principales 2
Gráfico redondeado al número
opciones
entero más cercano

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

105 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 126.Seguridad
Figura 126 Seguridaddede
loslos datos
datos parapara comercios
el comercio minoristas
minorista

¿Hasta qué punto concuerda usted


o no con estas declaraciones?

Garantizar la seguridad de los datos de nuestros clientes minoristas


1% 2% 32% 66% 98%
es de extrema importancia para el liderazgo ejecutivo de mi organización.
Mi empresa puede cumplir por completo con la PCI
<1% 3% 36% 61% 97%
(industria de tarjetas de pago).
Los datos confidenciales de la tarjeta de crédito del cliente
se conservan seguros durante su ciclo de vida en mi empresa. 1% 3% 33% 63% 96%

Negocios minoristas (n=290),


Totalmente Relativamente Relativamente Totalmente % Un poco + completamente
gráfico redondeado al número
en desacuerdo en desacuerdo de acuerdo de acuerdo de acuerdo
entero más cercano

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

106 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Familias de malware

Figura 127 Extensión del archivo y combinaciones Figura 128.Antigüedades


Figura 128 Años de hash depara
hash la familia
para de del
la familia
Figura 127. Extensión
MIME para de archivoweb
Dridex (vectores y combinaciones
y de MIME malware de Dridex
malware Dridex y porcentaje
y porcentaje de volumen
de volumen total de
para Dridex (vectores de correo electrónico y web) total de hash observado
hash observado por mes por mes
correo electrónico)

100%

May

Ago
Sep

Nov
Mar
Feb
Ene

Abr

Jun

Oct
Jul

Porcentaje de los hashes Dridex


Vectores exclusivos
exe y aplicación/msdos-program
docm y aplicación/vnd.ms-word…
80%
docm y aplicación/vnd.openxml…
xls y aplicación/vnd.ms-excel
doc y aplicación/msword 60%
exe y aplicación/msdownload
doc y texto/sin formato
pxls y aplicación/vnd.ms-excel 40%
pdf y aplicación/msword
zip y aplicación/zip
zip y aplicación/zip
doc y aplicación/texto 20%
doc y aplicación/vnd.msword
doc y aplicación/winword
doc y aplicación/word 0%
doc y aplicación/x-msw6
doc y aplicación/documento Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
doc y aplicación/vnd.ms-word 2015 2016
doc y aplicación/x-msword
sin extensión y aplicación/msword < 24 horas Entre 1 y 2 días Entre 3 y 4 días
sin extensión y texto/sin formato
js y texto/sin formato
Entre 11 y 30 días Entre 31 y 90 días Más de 90 días
rtf y aplicación/vnd.openxml…
sin extensión y aplicación/rtf
Porcentaje de volumen

sin extensión y aplicación/vnd…


exe y aplicación/ejecutable 1%
total de hash

doc y aplicación/vnd.openxml…
doc y aplicación/xml
rtf y aplicación/xml
rtf y texto/sin formato
0.5%
rtf y aplicación/msword
pdf y aplicación/vnd.openxml…
dot y aplicación/vnd.openxml… 0%
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
Correo electrónico Web 2015 2016

Fuente: Cisco Security Research Fuente: Cisco Security Research

Figura 129. TTD


Figura 129 TTD de
dela
lafamilia
familia del
de malware
malware de Dridex
Dridex

20,4
Horas medianas

20 16,9
15
10,2
10 7,2
5,5
5
0
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
2015 2016

Fuente: Cisco Security Research

107 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 130. Extensión de archivo y combinaciones Figura 132


132. Antigüedades
Años de hash de
para la familia
Figura 130 la
MIME para Lafamilia
extensión del archivo
de amenazas y las
e indicadores Figura hash para lade malware
familia del
combinaciones de MIME para la familia de amenazas de Cerber y porcentaje de volumen total de
malware Cerber y porcentaje de volumen total hash
de
que generan e incluyen la carga de Cerber observado por mes
e indicadores que condujeron a, e
(vectores de correo electrónico y web)incluyen, la carga hash observado por mes
útil de Cerber (vectores web y de correo electrónico)
100%

Porcentaje de los hashes Cerber


May

Ago
Sep

Nov
Mar
Feb
Ene

Abr

Jun

Oct
Jul
Vectores exclusivos
80%
zip y aplicación/zip
doc y aplicación/msword
vbs y texto/sin formato
60%
rtf y aplicación/vnd.openxml…
dotm y aplicación/vnd.open…
exe y aplicación/msdownload 40%
js y texto/sin formato
sin extensión y aplicación/zip
html y aplicación/zip 20%
jpg e imagen/jpeg
rtf y aplicación/msword

0%
Correo electrónico Web
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
2015 2016
Fuente: Cisco Security Research
< 24 horas Entre 1 y 2 días Entre 3 y 10 días

Figura 131
131. TTD
TTD de la familia
familia de
delmalware
malwarede Cerber
Cerber Porcentaje de volumen
Entre 11 y 30 días Entre 31 y 90 días Más de 90 días

0.2%
total de hash

160
Horas medianas

120 0.1%

80
0%
116,1 Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
40 26,2
5,1 5,9 2015 2016

0
Fuente: Cisco Security Research
Ene Feb Mar Abr May Jun Jul Ago Sep Oct
2016

Fuente: Cisco Security Research


Figura 133. Años de hash para la familia de malware Figura 134. Años de hash para la familia de malware
de Locky por mes de Nemucod por mes
Figura 133 Antigüedades de hash para la familia del Figura 134 Antigüedades de hash para la familia del
malware Locky por mes malware Nemucod por mes

100% 100%
Porcentaje de los hashes Nemucod
Porcentaje de los hashes Locky

80% 80%

60% 60%

40% 40%

20% 20%

0% 0%
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
2015 2016 2015 2016

< 24 horas Entre 1 y 2 días Entre 3 y 10 días < 24 horas Entre 1 y 2 días Entre 3 y 10 días

Entre 11 y 30 días Entre 31 y 90 días Más de 90 días Entre 11 y 30 días Entre 31 y 90 días Más de 90 días

Fuente: Cisco Security Research Fuente: Cisco Security Research

108 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco

Figura 135. Años de hash para la familia de


malware de Adwind RAT por mes
Figura 136. Años de hash de malware de Kryptik
Figura 135 Antigüedades de hash para la familia del Familia porAntigüedades
Figura 136 mes de hash para la familia del
malware Adwind RAT por mes malware Kryptik por mes
Porcentaje de los hashes Adwind RAT

100% 100%

Porcentaje de los hashes Kryptik


80% 80%

60% 60%

40% 40%

20% 20%

0% 0%
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dec Jan Feb Mar Apr May Jun Jul Aug Sep Oct
2015 2016 2015 2016

< 24 horas Entre 1 y 2 días Entre 3 y 10 días < 24 horas Entre 1 y 2 días Entre 3 y 10 días

Entre 11 y 30 días Entre 31 y 90 días Más de 90 días Entre 11 y 30 días Entre 31 y 90 días Más de 90 días

Fuente: Cisco Security Research Fuente: Cisco Security Research

Descargue los gráficos Actualizaciones y correcciones

Todos los gráficos incluidos en este informe pueden Para ver actualizaciones y correcciones
descargarse en: de la información de este informe, visite:
www.cisco.com/go/acr2017graphics www.cisco.com/go/acr2017errata

109 Apéndice
Sede central en América Sede central en Asia Pacífico Sede central en Europa
Cisco Systems, Inc. Cisco Systems (EE. UU.) Pte. Ltd. Cisco Systems International BV Ámsterdam,
San Jose, CA Singapur Países Bajos

Cisco tiene más de 200 oficinas en todo el mundo. Las direcciones y los números de teléfono y de fax se pueden consultar en el sitio web de Cisco
www.cisco.com/go/offices.
Publicado en enero de 2017

© 2017 Cisco y/o sus filiales. Todos los derechos reservados.

Cisco y el logotipo de Cisco son marcas comerciales o marcas comerciales registradas de Cisco y/o de sus filiales en EE. UU. y en otros países. Para ver
una lista de las marcas comerciales de Cisco, visite: www.cisco.com/go/trademarks. Todas las marcas comerciales registradas de terceros mencionadas
en este documento pertenecen a sus respectivos propietarios. El uso de la palabra partner no implica una relación de asociación entre Cisco y cualquier
otra compañía. (1110R)

Adobe, Acrobat y Flash son marcas comerciales registradas o marcas comerciales de Adobe Systems Incorporated en los Estados Unidos y/o en otros países.