Академический Документы
Профессиональный Документы
Культура Документы
INFORME SOBRE
LAS AMENAZAS PARA
LA SEGURIDAD DE
LOS SITIOS WEB 2016
ÍNDICE
Symantec™ Global Intelligence Network 03 ¿Qué dispositivos pueden acabar en una botnet? 37
Publicidad dañina 38
Introducción del WSTR (informe sobre amenazas En el cliente 39
para la seguridad de los sitios web) Smartphones y otros dispositivos móviles 39
Los sitios web aún corren el riesgo de infectarse con malware y • Un teléfono por persona 39
sufrir fugas de datos 04 • Amenazas transversales 39
Seguridad completa para los sitios web 04 • Los ataques a dispositivos Android
Acontecimientos destacados del año 2015 05 se han vuelto más furtivos 42
Principales conclusiones 05 • Los usuarios de Android, víctimas
Transición a una autenticación más rigurosa 06 del phishing y el ransomware 42
Motivos para la esperanza 07 • Ahora los usuarios de Apple iOS
corren más riesgo que nunca 42
El año 2015 en cifras Protección de los dispositivos móviles 42
La situación actual 08 ¿Qué nos depara el futuro? 43
Las lagunas de seguridad 09 Amenazas por correo electrónico y
Las amenazas internas 10 otros sistemas de comunicación 43
El dinero lo es todo 10 • Ataques por correo electrónico 43
La economía sumergida y las fuerzas de seguridad 14 • Spam 44
• Empresas en la sombra 14 • Phishing 44
• Un negocio viento en popa 14 • Propagación de malware por
• Pueden intentar escapar, pero no esconderse 14 correo electrónico 44
• Reducción del riesgo 15 • El cifrado del correo electrónico 46
• Ataques que eluden el cifrado 46
La víctima no es solo el dispositivo o la red, • Consejos para garantizar la seguridad
sino también el individuo que está detrás del equipo al usar el correo electrónico 46
No hay que fiarse de nadie 16 ¿Qué nos depara el futuro? 46
Secretos y mentiras 17
Identidades engañosas 18 Los ordenadores, la informática en la nube y la
Apueste por el comercio electrónico 18 infraestructura de TI 47
La confianza de los consumidores se tambalea 19 • Sistemas virtualizados y en la nube 48
• La bolsa o la vida 19 • Vulnerabilidades en la nube 48
• Pero ¿por qué los delincuentes privilegian • Protección de la infraestructura de TI 48
este tipo de ataques? 19 Proteja la información esté donde esté 49
• Consecuencias de Dyre 20
• El idioma y la ubicación no constituyen obstáculos 20 La respuesta del sector
Leyes de privacidad 21 La evolución del cifrado 50
Evitemos la catástrofe cibernética 22 Las cifras de la solidez 50
Control y equilibrio 51
La víctima no es solo el dispositivo o la red, El salto a la tecnología SSL Always-On 51
sino también la entidad que está detrás de la red Mayor sensación de seguridad 52
Ataques persistentes 23
Diversidad en las vulnerabilidades de día cero 24 ¿Qué nos depara el futuro?
Grupos de ataque activos en 2015 24 Tendencias al alza 53
Terror global, ataques locales 25 • Aumento del phishing 53
El efecto mariposa 25 • HTTPS en todas partes y para todos 53
Ciberseguridad, cibersabotaje y cisnes negros 27 • Amenazas híbridas: ataques a sistemas móviles 53
La escasa visibilidad no es la solución 27 • Cada vez es más necesario contar con las
competencias adecuadas en materia de seguridad 53
Vectores de ataque Temas candentes
Ataques web, kits de herramientas • La autenticación ante todo 54
y explotación de vulnerabilidades online 28 • El Internet de las cosas desprotegidas 54
Linux en la línea de ataque 28 • «Hacktivismo», terrorismo, responsabilidad
Complementos problemáticos 29 gubernamental y derecho a la confidencialidads 54
• Se acerca el fin para Flash 29 Ivan Ristic nos habla de la tecnología TLS 1.3 55
• Explotación de complementos
para servidores web 29 Consejos y prácticas recomendadas
Infección por inyección 29 Adopte los estándares del sector 56
Kits de herramientas de ataque web 30 Utilice la tecnología SSL/TLS correctamente 56
Las estafas mediante servicios de asistencia técnica Adopte una solución completa para la seguridad
recurren al kit Nuclear para difundir ransomware 31 de los sitios web 56
Denegación de servicio distribuida 32 Conciencie a sus empleados 57
• El peligro de los ataques DDoS 32 Proteja los dispositivos móviles 57
• Sencillo pero eficaz 34 La seguridad es responsabilidad de todos 57
• Las aplicaciones web cada
vez corren más peligro 36
Symantec cuenta con la fuente de datos más completa que existe sobre las amenazas
en Internet: Symantec ™ Global Intelligence Network, un sistema formado por más de
63,8 millones de sensores de ataque que registra miles de incidencias por segundo.
Esta red supervisa las amenazas existentes en más de
157 países y regiones mediante una combinación de
productos y servicios de Symantec, como los siguientes:
23 980 proveedores
Los datos de spam, phishing o malware se
registran con recursos como los siguientes: 71 470 productos
• Se difundieron las indemnizaciones de los seguros • El fenómeno del ransomware perdió fuerza en 2015, y
contra ataques cibernéticos, lo que provocó un aumento los atacantes se centraron más en el crypto-ransomware.
de las primas y del coste global de las fugas de datos. También sufrieron ataques los servidores Linux de alo-
Según el estudio anual de NetDiligence, las indemniza- jamiento de sitios web. Asimismo, se detectaron infec-
ciones por ataques cibernéticos llegaron a alcanzar los ciones de smartphones y ataques de prueba de concepto
15 millones de dólares, mientras que las más habituales a televisiones inteligentes y relojes inteligentes.
oscilaron entre los 30 000 y los 263 000 dólares. • El sitio web de citas Ashley Madison sufrió un ataque que
• La media de las identidades afectadas por cada fuga se sacó a la luz los datos de numerosas personas dispuestas
redujo aproximadamente en un tercio para situarse en a engañar a sus parejas. Este caso tan sonado, junto con
4885. Sin embargo, aumentó en un 85 % el número de la difusión de las sextorsiones en Asia, demuestra que
fugas registradas sobre las cuales no se reveló cuántas el valor de los datos personales ha adquirido una nueva
identidades quedaron al descubierto. dimensión que permite sacar más provecho económico a
costa de las víctimas.
• Una víctima especialmente destacada de una incidencia
de seguridad fue Hacking Team, empresa italiana que Existen instrumentos y tácticas eficaces para defenderse
proporciona software de espionaje y vigilancia encu- de los ataques DDoS, pero es necesario que los adminis-
bierta a varios clientes gubernamentales. Varias de las tradores de los sitios web dediquen tiempo a conocerlos e
vulnerabilidades creadas por estos expertos para usarlas implantarlos.
como armas se publicaron en Internet y acabaron en kits
de herramientas de ataque web. Principales conclusiones
Este año las vulnerabilidades de día cero han alcanzado
• La publicidad dañina sigue invadiendo los sitios web,
niveles sin precedentes. Aunque siguen en el punto de mira
junto con los servidores Linux en que estos se alojan: el
las víctimas de siempre, como los complementos web y
número de infecciones volvió a aumentar en 2015.
los sistemas operativos, cada vez son más habituales los
• Aumentaron los ataques contra el sector sanitario y las
ataques contra objetivos como el software de código abier-
compañías de seguros: por ejemplo, Anthem sufrió una
to. Lo más preocupante es que en 2015 se descubrieron
grave fuga de datos en la que se perdieron los historiales
graves vulnerabilidades de día cero que se utilizaron para
médicos de casi 80 millones de pacientes. En 2015, la sa-
atacar sistemas ICS.
nidad fue el subsector que padeció más fugas de datos.
• Ya se habían producido otras veces ataques avanzados En los ataques dirigidos, siguen siendo fundamentales las
provocados por organizaciones dotadas de abundantes maniobras de reconocimiento, que permiten a los atacantes
recursos y medios económicos, y hace mucho tiempo recopilar información discretamente sobre los sistemas que
que sospechamos que cuentan con apoyo gubernamen- les interesan antes de lanzar el ataque propiamente dicho.
tal, pero en 2015 se descubrió el grupo Butterfly, que Las tácticas de este tipo han tenido mucho peso en ciertos
utilizaba técnicas con un nivel de complejidad similar casos de cibersabotaje de gran repercusión, como los ataques
para enriquecerse. lanzados con los troyanos Trojan.Laziok y BlackEnergy
contra centrales eléctricas de Oriente Medio y Ucrania
respectivamente.
http://netdiligence.com/downloads/NetDiligence_2015_Cyber_Claims_Study_093015.pdf
http://www.symantec.com/connect/blogs/how-my-tv-got-infected-ransomware-and-what-you-can-learn-it
https://www.sandvine.com/pr/2016/2/11/sandvine-70-of-global-internet-traffic-will-be-encrypted-in-2016.html
http://www.symantec.com/connect/blogs/dangers-domain-validated-ssl-certificates
https://googleonlinesecurity.blogspot.co.uk/2014/09/gradually-sunsetting-sha-1.html
»
AUTÉNTICA QUE HA SUPERADO UN
PROCESO DE VALIDACIÓN.
Robert Hoblit, vicepresidente de productos emergentes e ingresos de Symantec
FUGAS EN TOTAL
Fuente: Symantec | CCI
http://www-01.ibm.com/common/ssi/cgi-bin/ssialias?subtype=WH&infotype=SA&htmlfid=SEW03053WWEN&attachment=SEW03053WWEN.PDF
http://www.symantec.com/cyber-insurance/
http://netdiligence.com/downloads/NetDiligence_2015_Cyber_Claims_Study_093015.pdf
http://www.reuters.com/article/2015/10/12/us-cybersecurity-insurance-insight-idUSKCN0S609M20151012
«Durante el último año se ha prestado mucha más atención Aunque no hemos detectado vulnerabilidades tan peligrosas
a las bibliotecas de código con relación a las implantaciones como Heartbleed, que tanto protagonismo tuvo en 2014,
de certificados SSL/TLS», comenta Michael Klieman, a lo largo de 2015 OpenSSL proporcionó varias actualiza-
director general y ejecutivo de gestión de productos en ciones y revisiones. Se utiliza OpenSSL en dos tercios de los
Symantec. «En consecuencia, se han facilitado con una servidores web, lo que la convierte en una de las implanta-
frecuencia razonable actualizaciones y soluciones contra ciones más difundidas de los protocolos de cifrado SSL y
vulnerabilidades». TLS. El objetivo de las actualizaciones mencionadas era re-
solver vulnerabilidades con distintos niveles de riesgo, que
Eso es lo bueno, pero la otra cara de la moneda es que permitían a los delincuentes llevar a cabo ataques de inter-
los propietarios de sitios web no siempre mantienen posición Man-in-the-Middle o de denegación de servicio, así
al día sus sistemas de seguridad, tal como revelan las como interceptar comunicaciones en teoría seguras.
vulnerabilidades sin resolver más habituales que se han
Puesto Nombre
http://www.symantec.com/connect/blogs/critical-openssl-vulnerability-could-allow-attackers-intercept-secure-communications
http://www.symantec.com/connect/blogs/new-openssl-vulnerability-could-facilitate-dos-attacks
100 %
90 % 2013
80 % 2014
70 % 2015
60 %
49 %
50 % 46 %
40 % 34 %
29 % 27 %
30 %
22 % 22 % 21 % 21 %
20 %
10 %
10 % 6% 8%
0%
Atacantes Divulgación Robo o pérdida de un Apropiación por parte
accidental ordenador o unidad del personal interno
Números de identificación de
4 carácter administrativo (p. ej., de la 38,4 % Información financiera 35,5 %
seguridad social)
El sector de la venta al detalle sigue siendo muy lucrativo Por ejemplo, cabe señalar que el 48 % de las fugas de
para los delincuentes, aunque ahora que en Estados datos se debieron a descuidos. En estos casos, los datos
Unidos se ha adoptado el estándar EMV (es decir, se han personales salieron a la luz, bien porque la empresa
empezado a usar tarjetas de pago con chip y PIN), ha los compartió con quien no debía o bien porque los
perdido valor la información que se puede sacar de los registros privados pasaron a ser públicos por un error de
dispositivos de los puntos de venta. configuración del sitio web. Pero ¿llegó la información
a manos de personas con intenciones maliciosas? En
La tecnología EMV es un estándar global para las muchos casos, probablemente no. Si una anciana jubilada
tarjetas con microchip, utilizado en varios países desde recibe por error el historial médico de otra persona en su
los años noventa y principios del siglo XXI, que permite dirección de correo electrónico, no es fácil que aproveche
autenticar las transacciones mediante una combinación esta información para robar una identidad. Esto no
de chip y PIN. Tras las numerosas fugas de datos de gran significa que nunca ocurra, sino que la inmensa mayoría
envergadura que han tenido lugar en los últimos años de estas fugas de datos implican un riesgo reducido.
y la proliferación de estafas con tarjetas de crédito, las
entidades que emiten dichas tarjetas en EE. UU. están Lo que sí supone un riesgo mucho más alto son los casos
adoptando este sistema para tratar de paliar los efectos en que la fuga de datos se debe a un ataque llevado a
de este tipo de fraudes. cabo por hackers o desde dentro de la propia empresa.
Con toda probabilidad, en estas situaciones el objetivo es
Antes los delincuentes podían hacerse con los datos robar identidades.
llamados «Track 2», es decir, la información almacenada en
http://www.symantec.com/connect/blogs/demystifying-point-sale-malware-and-attacks
http://www.usatoday.com/story/money/personalfinance/2015/09/30/chip-credit-card-deadline/73043464/
http://arstechnica.com/business/2015/10/today-all-stores-in-the-us-should-accept-chip-and-pin-cards-yeah-right/
http://www.symantec.com/connect/blogs/hacking-team-woes-adds-dangers-faced-internet-using-public
Porcentaje de Porcentaje de
Puesto País o región (2015) Puesto País o región (2014)
bots (2015) bots (2014)
1 China 46,1 % 1 China 16,5 %
2 Estados Unidos 8,0 % 2 Estados Unidos 16,1 %
3 Taiwán 5,8 % 3 Taiwán 8.5 %
4 Turquía 4,5 % 4 Italia 5,5 %
5 Italia 2,4 % 5 Hungría 4,9 %
6 Hungría 2,2 % 6 Brasil 4,3 %
7 Alemania 2.0 % 7 Japón 3,4 %
8 Brasil 2,0 % 8 Alemania 3,1 %
9 Francia 1,7 % 9 Canadá 3,0 %
10 España 1,7 % 10 Polonia 2,8 %
http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services
http://www.symantec.com/connect/blogs/dridex-takedown-sinks-botnet-infections
http://www.symantec.com/connect/blogs/ramnit-cybercrime-group-hit-major-law-enforcement-operation
Algunos de los ataques y tácticas de los ciberdelincuentes en 2015 han sido tan complejos
e implacables que han puesto de manifiesto lo vulnerables que son los internautas y, en
consecuencia, han hecho que la confianza de los consumidores se tambalee.
En 2015 las fugas de datos, la vigilancia gubernamental y las estafas de toda la vida
se aliaron en contra de nuestra privacidad. Ya se trate de fotografías personales, datos
de acceso a cuentas bancarias o historiales médicos, podemos tener la certeza de que
nuestros datos no tienen nada de privados.
No hay que fiarse de nadie
En 2015 tuvieron lugar numerosos ataques con malware
y estafas tradicionales cuyo objetivo era conseguir datos
Cómo funciona la estafa de Gmail
personales. Por ejemplo, uno de los engaños consistía
en prometer grandes cantidades de seguidores gratis en 1. Un atacante consigue la dirección de correo
Instagram para conseguir que los usuarios revelaran su electrónico y el número de teléfono de la
contraseña o hacerse pasar por Hacienda en un mensaje de víctima (ambos suelen ser públicos).
correo electrónico para que los destinatarios descargaran
archivos adjuntos infectados. 2. El atacante se hace pasar por la víctima y pide
a Google que le envíe su contraseña.
Las estafas más sencillas siguen aprovechando la escasa
3. A continuación, el atacante envía a la víctima
prudencia que suele tener la gente, pero también hay casos
el siguiente mensaje de texto (o uno similar):
en que los datos de los clientes salen a la luz porque el sitio
«Google ha detectado actividad inusual no
web en cuestión carece de un buen sistema de seguridad.
autorizada en su cuenta. Para impedirla,
En este último supuesto, se pueden producir fugas de datos
responda con el código que hemos enviado a
independientemente de lo segura que sea la contraseña que su dispositivo móvil».
elija el usuario.
4. Así, la víctima se espera recibir el código para
De todos modos, quizá sean más preocupantes los restablecer la contraseña que envía Google y
ataques producidos en 2015 que recurrieron a técnicas se lo pasa al atacante.
avanzadas de ingeniería social para sortear los sistemas de
autenticación de dos factores concebidos para proteger a 5. El atacante restablece la contraseña y, cuando
los usuarios. ha conseguido lo que buscaba o ha configurado
el reenvío, comunica la nueva contraseña
temporal (de nuevo, haciéndose pasar por
Sin embargo, también hubo una estafa que aprovechó
Google) a la víctima, que no se dará cuenta de
precisamente la confianza del público en ciertas entidades:
lo que ha ocurrido.
el atacante se hizo pasar por Google en un mensaje de
texto imitando el proceso legítimo de recuperación de la
contraseña para acceder a la cuenta de correo electrónico
de la víctima sin despertar sospechas. (Más información en
la columna de la derecha).
http://www.symantec.com/connect/blogs/free-instagram-followers-compromised-accounts-phishing-sites-and-survey-scams
http://www.symantec.com/connect/blogs/australians-beware-scammers-are-impersonating-australian-taxation-office
http://www.symantec.com/connect/blogs/password-recovery-scam-tricks-users-handing-over-email-account-access
100 %
90 % 2013
81 %
80 % 76 % 2014
70 %
70 % 2015
60 %
50 %
40 %
30 % 23 %
20 % 17 %
10 % 7%
2% 5% 5% 2% 1% 2%
0%
Incitación a compartir conteni-
Ofertas falsas Secuestro del botón Aplicaciones
dos dañinos de forma manual «Me gusta» falsas
http://www.symantec.com/connect/blogs/online-criminal-group-uses-android-app-sextortion
http://www.nytimes.com/2015/07/21/technology/hacker-attack-reported-on-ashley-madison-a-dating-service.html?_r=0
http://www.symantec.com/connect/blogs/scammers-quick-capitalize-ashley-madison-breach
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/uncovering-a-persistent-diet-spam-operation-on-twitter.pdf
https://nrf.com/media/press-releases/thanksgiving-weekend-shopping-brings-big-store-and-online-crowds-according-nrf
http://www.ecommerce-europe.eu/news/2015/global-e-commerce-turnover-grew-by-24.0-to-reach-1943bn-in-2014
http://www.frost.com/sublib/display-report.do?id=MA4E-01-00-00-00&src=PR
https://gds.blog.gov.uk/2015/10/23/how-digital-and-technology-transformation-saved-1-7bn-last-year/
CRECIENTE
GROWING DOMINANCE OF CRYPTORANSOMWARE
DOMINIO DEL RANSOMWARE
Fuente: Symantec
Source: Symantec
Percentage of new
Porcentaje families
de nuevas of misleading
gamas apps, fake
de aplicaciones AV, locker
engañosas, ransomware
antivirus falsos,
and ransomware
crypto ransomware identified
de bloqueo betweende2005
y ransomware anddetectadas
cifrado 2015 entre 2005 y 2015
100%
100 %
90% 90 %
80% 80 %
70% 70 %
60% 60 %
50% 50 %
[ FIGURES TBC ]
40% 40 %
30% 30 %
20% 20 %
10% 10 %
0% 0%
2005 2006
2005 2007 2007
2006 2008 20082009 2009 20102010 2011
2011 2012 2013 2013 20142014
2012 2015
2015
Aplicaciones Antivirus Cryptoransomware
Misleading Apps FakeAV Lockers Cryptoransomware
Cryptoransomware
engañosas falsos de bloqueo
http://www.symantec.com/connect/blogs/how-my-tv-got-infected-ransomware-and-what-you-can-learn-it
http://www.computerworld.com/article/3002120/security/new-ransomware-program-threatens-to-publish-user-files.html
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-evolution-of-ransomware.pdf
35
30
25
20
Millares
15
10
0
Jun 14 Ago 14 Oct 14 Dic 14 Feb 15 Abr 15 Jun 15 Ago 15 Oct 15 Dic 15
Además de secuestrar navegadores web de uso habitual e troyano Dyre y otro malware relacionado. Anteriormente,
interceptar sesiones de banca online para robar datos, Dyre a principios de 2015, se calculaba que el número de
también consiguió instalar malware en el ordenador de la infecciones al mes superaba las 9000, mientras que en
víctima y, muchas veces, añadir el equipo en cuestión a la noviembre del mismo año no llegaba a las 600.
botnet del atacante.
El idioma y la ubicación no constituyen obstáculos
En un principio, Dyre surgió como una de las operaciones Otros ataques perpetrados en 2015 también demuestran
de fraude financiero más peligrosas de todos los tiempos, el grado de maldad y complejidad al que se puede llegar
ideada para estafar a los clientes de más de 1000 bancos y para hacer dinero. Independientemente de dónde viva y
otras empresas de todo el mundo. del idioma que hable, corre peligro de sufrir un ataque
cibernético. Por ejemplo, baste pensar en Boleto, un sistema
Sin embargo, los ciberdelincuentes que controlaban el de pago que se utiliza solo en Brasil. A pesar de lo específico
troyano Dyre sufrieron un duro golpe tras una operación de que es, este año han aparecido tres tipos de malware
seguridad rusa que tuvo lugar en noviembre. Tal como se creados en especial para atacarlo.
destaca en el blog Security Response, según la telemetría
de Symantec el grupo prácticamente ha dejado de actuar. En todo el mundo se están llevando a cabo ataques localiza-
Dyre (detectado por Symantec como Infostealer.Dyre) se dos similares, lo que demuestra que los ciberdelincuentes
difundió mediante campañas por correo electrónico y, desde hacen todo lo posible por manipular a las víctimas estén
el 18 de noviembre de 2015, no se han observado mensajes donde estén y sea cual sea su idioma.
de correo electrónico relacionados con Dyre. Poco después,
se redujo drásticamente la cantidad de detecciones del
http://www.symantec.com/connect/blogs/dyre-emerges-main-financial-trojan-threat
http://www.symantec.com/connect/blogs/dyre-operations-bank-fraud-group-grind-halt-following-takedown
http://www.symantec.com/security_response/writeup.jsp?docid=2014-061713-0826-99
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/boleto-malware.pdf
60
50
40
Miles
30
20
10
0
2010 2011 2012 2013 2014 2015
En la tabla se muestra el papel crucial que han desempeñado las redes sociales en los ataques de ingeniería social
del pasado. Durante los últimos años, estos sitios web han tomado medidas drásticas al respecto y ahora a los
ciberdelincuentes les resulta mucho más difícil atacarlos.
Con los kits de herramientas de phishing, es facilísimo llevar pedían eliminar datos de contacto, direcciones postales
a cabo una campaña en un país concreto y, a continuación, o «contenido relativo únicamente a la salud, orientación
cambiar de plantilla para atacar a otro objetivo. Muchas sexual, raza, etnia, religión, y afiliación política y sindical de
veces el idioma utilizado en dichos ataques localizados se un individuo».
traduce automáticamente mediante las plantillas y, para
un destinatario que no sea nativo, resulta suficientemente Además, este año el Tribunal de Justicia Europeo volvió
convincente. a hacer que aumentara el interés de la opinión pública
en la cuestión de la privacidad cuando declaró nulo el
Leyes de privacidad acuerdo de «puerto seguro» del año 2000. Según explicó
Monique Goyens, directora general de la Organización
«A la gente no solo le interesa quién puede atacar, sino
de Consumidores Europea, esta resolución confirma que
también quién puede filtrar información», explica Shankar
«un acuerdo que permite a las empresas estadounidenses
Somasundaram, director ejecutivo de gestión de productos
declarar que respetan las normas de protección de datos
e ingeniería en Symantec.
de la Unión Europea sin que ninguna autoridad compruebe
que eso es cierto no vale ni siquiera el papel en el que está
En mayo de 2014 el eco la resolución del Tribunal de
escrito».
Justicia Europeo sobre el «derecho al olvido» se propagó
entre quienes recopilan datos y, a finales de 2015, Google
Tal como comentó en su momento el periódico The
ya había recibido 348 085 solicitudes de eliminación de
Guardian, tal vez esto «contribuya a evitar que el gobierno
resultados de búsquedas.
estadounidense acceda a datos de usuarios en manos de la
Unión Europea» y «abra las puertas a más investigaciones,
Aunque muchos pensaban que esto solo resultaría venta-
reclamaciones y juicios por parte de los usuarios y de las
joso para quienes quisieran ocultar escándalos o evitar
autoridades encargadas de cuestiones relativas a los datos».
acusaciones, según las preguntas frecuentes de Google,
entre las solicitudes más habituales se encontraban las que
http://www.cio.com/article/3008661/google-receives-steady-stream-of-right-to-be-forgotten-requests.html#tk.rss_all
http://www.google.com/transparencyreport/removals/europeprivacy/faq/?hl=en#common_delisting_scenarios
http://www.beuc.eu/publications/beuc-pr-2015-020_historic_victory_for_europeans_personal_data_rights.pdf
http://www.theguardian.com/technology/2015/oct/06/safe-harbour-european-court-declare-invalid-data-protection
En cuanto al mundo empresarial, hay que empezar a Symantec cree firmemente en la confidencialidad y
abordar la seguridad desde el punto de vista de la formación la defiende con uñas y dientes en todo el mundo. No
y la epidemiología. Todos los empleados tienen que deberíamos resignarnos a la idea errónea de que la
colaborar para garantizar el buen estado de las tecnologías privacidad ya no existe: al contrario, se trata de algo muy
digitales, mientras que los directores informáticos y los valioso que hay que proteger con atención.
Nos corresponde a todos a hacer cuanto esté en nuestra mano por evitar que ocurra algo así.
En lo que se refiere a los consumidores, ha llegado el momento de abandonar las malas costumbres. Mucha
gente conoce las normas básicas para garantizar la ciberseguridad y, sin embargo, más de un tercio de los
estadounidenses que comparten contraseñas han revelado la que permite acceder a su cuenta bancaria
online. Si queremos reforzar la seguridad en Internet, es imprescindible que todo el mundo asuma su parte
de responsabilidad.
LA CIBERDELINCUENCIA TIENE
UN COSTE DE HASTA 575 000
MILLONES DE DÓLARES AL AÑO
PARA LA ECONOMÍA GLOBAL
MILLONES DE DÓLARES
http://us.norton.com/cyber-security-insights?inid=us_hho_nortoncom_clp_norton-hp-ribbon-award_nrpt
Entre las víctimas de ciberespionaje del año 2015, también En los ataques watering hole avanzados, los sitios web
se encuentran la Casa Blanca, el Pentágono, el Bundestag afectados se activan solo cuando el visitante procede de una
alemán y la Oficina de Gestión del Personal del gobierno dirección IP en concreto. Al reducir así los daños colaterales,
estadounidense, que perdió 21, 5 millones de archivos es menos probable que salga a la luz la vulnerabilidad. Es
personales con datos confidenciales como historiales más, este sistema también dificulta la tarea de los expertos
sanitarios y financieros, registros de detenciones e incluso en seguridad que visiten el sitio web desde un lugar
huellas dactilares. diferente. Cuando el proveedor interesado revela un ataque,
con frecuencia estos sitios web infectados pasan a usar otra
Todo esto se enmarca en una creciente oleada mundial vulnerabilidad aún desconocida para seguir actuando sin
de ataques de ciberespionaje avanzados, persistentes y que nadie se dé cuenta.
dotados de importantes recursos. En el punto de mira de los
espías se encuentran los secretos de Estado, la propiedad Symantec sigue investigando el troyano Regin y analiza
intelectual empresarial (como diseños, patentes y planos) las capacidades técnicas de los atacantes que cuentan con
y, tal como se ha observado en recientes fugas de datos, la apoyo estatal. Así, se han detectado 49 nuevos módulos,
información personal. cada uno de los cuales añade nuevas funciones como el
registro de pulsaciones de teclas, el acceso a archivos y al
Las vulnerabilidades de día cero son especialmente valiosas correo electrónico, y una amplia infraestructura de control.
para los atacantes. En el pasado hemos visto cómo han Según nuestros analistas, el troyano Regin es tan avanzado
conseguido aprovecharlas para atacar un organismo y complejo que podría ser fruto de meses o incluso años de
gubernamental a través de un simple documento de Word trabajo por parte de equipos de desarrolladores dotados de
infectado enviado por correo electrónico. Es más, son tan buenos recursos.
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-black-vine-cyberespionage-group.pdf
http://edition.cnn.com/2015/04/07/politics/how-russians-hacked-the-wh/
http://www.wsj.com/articles/nsa-chief-says-cyberattack-at-pentagon-was-sophisticated-persistent-1441761541
http://ca.reuters.com/article/technologyNews/idCAKBN0OQ2GA20150610
http://www.wired.com/2015/06/opm-breach-security-privacy-debacle/
http://www.symantec.com/connect/blogs/regin-further-unravelling-mysteries-cyberespionage-threat
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-black-vine-cyberespionage-group.pdf
http://www.symantec.com/connect/blogs/iran-based-attackers-use-back-door-threats-spy-middle-eastern-targets
http://www.symantec.com/connect/blogs/forkmeiamfamous-seaduke-latest-weapon-duke-armory
https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/waterbug-attack-group.pdf
http://www.symantec.com/connect/blogs/butterfly-profiting-high-level-corporate-attacks
http://www.symantec.com/connect/blogs/turla-spying-tool-targets-governments-and-diplomats
http://www.symantec.com/connect/blogs/terror-alert-spam-targets-middle-east-canada-spread-malware
0% 10 % 20 % 30 % 40 %
2014
Fabricación 20 %
Servicios no tradicionales 20 %
Finanzas, seguros y bienes raíces 18 %
Servicios profesionales 11 %
Venta al por mayor 10 %
Transporte y servicios públicos 7%
Administración pública (gob.) 5%
Venta al detalle 3%
Minería 1%
Construcción 1%
2015
Finanzas, seguros y bienes raíces 35 %
Servicios 22 %
Fabricación 14 %
Transporte y servicios públicos 13 %
Venta al por mayor 9%
Venta al detalle 3%
Administración pública 2%
Establecimientos no clasificables 2%
Minería 1%
Construcción 1%
100 %
50 % 50 % 39 % 41 % 35 %
0%
2011 2012 2013 2014 2015
https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/478933/52309_Cm_9161_NSS_SD_Review_web_only.pdf
http://www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99
http://www.bbc.co.uk/news/technology-30575104
https://www.symantec.com/content/en/us/about/media/pdfs/b-istr_18_watering_hole_edits.en-us.pdf
https://www.symantec.com/content/en/us/enterprise/images/mktg/Symantec/Email/13927/WSTR_SYM_Spear_Phishing.pdf
78 % +2 % pts. 76 % -1 % pts. 77 %
15 % -5 % pts. 20 % +4 % pts. 16 %
Una vulnerabilidad crítica es aquella que, en caso de ser alojamiento es mucho mayor que el de un usuario domésti-
explotada, podría hacer que se ejecutara código malicioso co con una conexión de banda ancha.
sin necesidad de la interacción de un usuario, lo cual podría
desembocar en una fuga de datos y poner en peligro a los Últimamente están proliferando los kits de herramientas
internautas que visiten los sitios web afectados. de ataque automatizadas y especializadas, que buscan
sistemas de gestión de contenidos desprotegidos y otras
Como siempre, las cifras confirman que los propietarios de aplicaciones web en peligro. De este modo, ayudan a los
los sitios web no instalan las revisiones y actualizaciones en ciberdelincuentes a detectar servidores potencialmente
sus sitios web y servidores con la frecuencia que deberían. vulnerables y facilitan los ataques a sistemas Linux.
http://www.symantec.com/connect/tr/blogs/phishing-economy-how-phishing-kits-make-scams-easier-operate
https://www.symantec.com/security_response/writeup.jsp?docid=2015-110911-5027-99
http://w3techs.com/blog/entry/wordpress-powers-25-percent-of-all-websites
https://wordpress.org/plugins/logout-roulette/
http://www.symantec.com/connect/blogs/team-ghostshell-hacking-group-back-bang
Sukura
23 % Sukura
Nuclear
Styx
Otros
50 % Nuclear
10 % Orange Kit
Blackhole
Styx
Otros
7%
Orange
Blackhole Kit 5 %
5%
Angler
23 % Angler
Nuclear
Magnitude
Otros Nuclear
64 % 6%
Rig
Magnitude
2% Neutrino
Rig 4 %
Neutrino
Otros
1%
http://www.symantec.com/connect/blogs/hacking-team-woes-adds-dangers-faced-internet-using-public
1200
1000
800
Millares
600
400
200
0
May 15 Jun 15 Jul 15 Ago 15 Sep 15 Oct 15 Nov 15
http://www.symantec.com/connect/blogs/what-symantec-s-intrusion-prevention-system-did-you-2015
http://www.symantec.com/connect/blogs/when-tech-support-scams-meet-ransomlock
http://www.symantec.com/connect/blogs/tech-support-scams-redirect-nuclear-ek-spread-ransomware
https://www.symantec.com/security_response/vulnerability.jsp?bid=77081
https://www.symantec.com/security_response/writeup.jsp?docid=2014-061923-2824-99
https://www.symantec.com/security_response/writeup.jsp?docid=2015-032402-2413-99
http://www.bbc.co.uk/news/technology-35204915
http://www.techradar.com/news/internet/attack-against-bbc-website-was-the-biggest-volley-of-ddos-fire-ever-seen--1312864
http://www.americanbanker.com/news/bank-technology/banks-lose-up-to-100khour-to-shorter-more-intense-ddos-attacks-1073966-1.html?pg=1
https://www.symantec.com/security_response/writeup.jsp?docid=2014-061923-2824-99
18 000
16 000
14 000
12 000
10 000
8000
6000
4000
2000
0
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
En el gráfico se aprecia cómo aumentó la cantidad de ataques DDoS en el segundo semestre del año, antes de disminuir
drásticamente en noviembre y diciembre. En 2015 hubo más picos de actividad, conforme los ataques se volvieron más breves
y discretos.
Porcentaje Porcentaje
Puesto Ataques de 2015 en 2015
Ataques de 2015 en 2014
Ataque de amplificacion
1 Ataque ICMP Flood genérico 85,7 % 29,44 %
de DNS
La mayoría de los ataques DDoS consistieron en avalanchas de ICMP, por lo general mediante envíos masivos de solicitudes
de ping que sobrecargan el objetivo hasta impedirle gestionar el tráfico legítimo.
https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol
60 % 58,1 %
50 %
40 %
30 %
20 %
9,9 %
10 % 6,7 % 6,4 % 3,1 % 3,9 % 3,5 %
1,1 % 1,2 % 0.8 % 1,8 % 1,5 % 0,7 % 1,1 %
0%
Menos de 30 min- 1-3 3-6 6-12 12-24 24-48 48-72 72-96 96-120 120-240 240-480 480-720 Más de
30 min 1hora horas horas horas horas horas horas horas horas horas horas horas 720
horas
En el gráfico se aprecia que, a finales del segundo trimestre de 2015, seguía habiendo una cantidad considerable de ataques
DDoS que duraban horas, días, semanas o incluso meses.
http://www.symantec.com/connect/articles/barbarians-gate-introduction-distributed-denial-service-attacks
https://www.incapsula.com/blog/ddos-global-threat-landscape-report-q2-2015.html
http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services
90 %
80 % 76,9 %
70 %
60 %
50 %
40 %
30 %
20 % 11,3 %
10 % 8,2 %
1,3 % 1,4 % 0,5 % 0,4 %
0%
Menos de 30 min - 1-3 3-6 6-12 12-24 Más de
30 min. 1 hora horas horas horas horas 24
horas
Tal como se aprecia en el gráfico, a finales del tercer trimestre prácticamente ya no se producían ataques DDoS que durasen
más de un día: no llegaban al 0,5 %.
https://www.incapsula.com/blog/ddos-report-q4-2015.html
http://www.symantec.com/connect/blogs/mysql-servers-hijacked-malware-perform-ddos-attacks
https://www.incapsula.com/blog/cctv-ddos-botnet-back-yard.html
https://technology.ihs.com/532501/245-million-video-surveillance-cameras-installed-globally-in-2014
http://www.imperva.com/Products/DDosProtection
En 2015, la mayoría del contenido malicioso y de la publicidad dañina afectó a sitios web relacionados con tecnologías y
negocios.
http://www.symantec.com/connect/blogs/malvertising-campaign-targets-brazilian-users
http://www.idc.com/getdoc.jsp?containerId=prUS40980416
http://www.idc.com/prodserv/smartphone-os-market-share.jsp
http://www.ericsson.com/mobility-report
https://www.census.gov/population/international/data/idb/worldpopgraph.php
350
250 231
200
174
150
100
71
50
0
2011 2012 2013 2014 2015
La cantidad de tipos de malware utilizados contra Android en 2015 aumentó un 6 %, mientras que el año anterior el
crecimiento había sido del 20 %.
16 000
14 000 13 783
12 000
9839
10 000
7612
8 000
6 000
4350
4 000
2 000
567
0
2011 2012 2013 2014 2015
Por otro lado, el volumen de variantes de Android aumentó un 40 % en 2015, mientras que el año anterior había crecido
un 29 %.
100 %
90 %
84,0 % 83,5 %
82,0 %
80 %
70 %
60 %
50 %
40 %
30 %
20 % 16,3 %
13,0 % 11,0 %
10 %
4,0 %
0% 1,0 % 0,0 % 0,0 % 1,0 % 0,2 %
iOS Android BlackBerry OS Teléfonos
Windows
Durante los últimos años, la mayor parte de las vulnerabilidades detectadas en sistemas móviles se han encontrado en la
plataforma iOS, y ha habido un gran interés por realizar jailbreaking en los dispositivos o instalar malware.
http://www.symantec.com/security_response/writeup.jsp?docid=2012-083015-4511-99&tabid=2
https://www.symantec.com/security_response/writeup.jsp?docid=2014-110618-0523-99
Ahora los usuarios de Apple iOS corren más riesgo que nunca Protección de los dispositivos móviles
Gracias al rigor con el que Apple controla su sistema Recomendamos tanto a los particulares como a las empre-
operativo y su tienda de aplicaciones, las amenazas contra sas que traten los dispositivos móviles como lo que son:
los iPhones y iPads han sido poco frecuentes y de alcance potentes ordenadores de pequeñas dimensiones. Para prote-
limitado, pero en 2015 la situación cambió: gerlos como les corresponde, tome las siguientes medidas:
• Controle el acceso, incluso con tecnología biométrica
• En 2015 se detectaron nueve gamas nuevas de amena-
cuando sea posible.
zas para iOS, mientras que hasta entonces solo se
• Adopte un sistema para evitar las pérdidas de datos (por
conocían cuatro en total.
ejemplo, el cifrado en el dispositivo).
• El software para desarrolladores de contrabando deno-
• Haga copias de seguridad del dispositivo de forma
minado XcodeGhost infectó 4000 aplicaciones.
automatizada.
• El malware YiSpecter eludió la tienda de aplicaciones gra-
• Implante un sistema que permita encontrar el dispositivo
cias al marco de distribución de aplicaciones empresarial.
y borrar sus datos a distancia, lo cual resultará muy útil
• Los expertos en seguridad encontraron Youmi incrustado en caso de extravío.
en 256 aplicaciones iOS. Se trata de un software utiliza- • Actualice el software periódicamente. Por ejemplo, la
do para mostrar anuncios publicitarios, pero también
última versión de Android, lanzada en octubre con el
envía datos personales a una ubicación remota sin el
nombre en clave de Marshmallow (versión 6.0), incluye
consentimiento de los usuarios.
una serie de funciones diseñadas especialmente para de-
• Las vulnerabilidades detectadas en AirDrop, el siste-
tener a los atacantes. Según Statista, en octubre de 2015
ma inalámbrico de transferencia de archivos de Apple,
la versión de Android más difundida seguía siendo KitKat
podrían permitir a un atacante instalar malware en un
(la 4.4), utilizada en un 38,9 % de los casos, mientras
dispositivo Apple.
que un 15,6 % de los dispositivos Android funcionaban
Conforme aumenta la cantidad de iPads y iPhones que
con Lollipop (versión 5.0).
vende Apple, probablemente interesarán cada vez más a
http://www.symantec.com/connect/blogs/android-banking-trojan-delivers-customized-phishing-pages-straight-cloud
http://www.symantec.com/connect/blogs/android-ransomware-uses-material-design-scare-users-paying-ransom
http://www.symantec.com/security_response/landing/azlisting.jsp?azid=I
http://www.symantec.com/connect/tr/blogs/new-xcodeghost-malware-variant-discovered
http://www.bbc.co.uk/news/technology-34338362
http://www.symantec.com/connect/blogs/yispecter-threat-shows-ios-now-firmly-attackers-agenda
http://www.symantec.com/connect/blogs/ad-library-behind-pulled-ios-apps-also-used-android-development
http://www.symantec.com/connect/blogs/airdrop-vulnerability-poses-threat-iphone-and-mac-users
http://www.statista.com/statistics/271774/share-of-android-platforms-on-mobile-devices-with-android-os/
https://support.apple.com/en-us/HT201355/
https://support.google.com/accounts/answer/41078?hl=en
Por lo general, estos kits se venden a un precio de entre 2 y El grupo de ciberdelincuentes responsables de este ataque
10 USD, y no se necesitan grandes competencias técnicas en concreto ha utilizado todo tipo de spam y de vectores
para utilizarlos ni para personalizar sus páginas web según de difusión de malware: desde simples archivos adjuntos
las necesidades particulares de cada uno. A continuación, maliciosos hasta enlaces en el cuerpo del mensaje que
los estafadores pueden utilizar los datos robados con estos llevan a la página de entrada de un kit de ataque, pasando
ataques para sus propios propósitos o bien venderlos en el por archivos PDF dañinos y macros.
mercado negro.
La propagación de malware por correo electrónico no se ha
Propagación de malware por correo electrónico reducido como el spam general y, dado su volumen relativa-
mente bajo, es más proclive a las fluctuaciones. Se producen
Como ocurre con el phishing, cuando se distribuye malware
picos cuando se llevan a cabo campañas de gran envergadura.
por correo electrónico, se necesitan ciertos conocimientos de
100 %
90 %
80 %
70 %
60 %
50 %
40 %
30 %
20 %
10 %
0%
E 2013 M M J S N E 2014 M M J S N E 2015 M M J S N
No es de extraañar que siga siendo uno de los métodos preferidos de los cibercriminales para enviar spam, phishing y
malware. Sin embargo, en 2015 estas tres técnicas declinaron.
http://www.symantec.com/connect/blogs/phishing-economy-how-phishing-kits-make-scams-easier-operate
http://www.symantec.com/connect/blogs/dridex-and-how-overcome-it
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/dridex-financial-trojan.pdf
0
200
400
600
800
1000
1 de cada
1200
1400
1600
1800
2000
2200
2400
2600
2800
3000
50
100
1 de cada
150
200
250
300
350
400
http://www.google.com/transparencyreport/saferemail/
http://www.symantec.com/en/uk/desktop-email-encryption/
http://www.symantec.com/en/uk/gateway-email-encryption/
http://www.symantec.com/connect/blogs/logjam-latest-security-flaw-affect-secure-communication-protocols
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
http://www.symantec.com/connect/blogs/when-defenses-fail-case-incident-response
La ciberseguridad afecta a todo el mundo. Las empresas Una de las formas de atacar un sistema consiste en
tienen que proteger sus equipos y su infraestructura de TI aprovechar las vulnerabilidades que presenta, y son pocos
para impedir los robos de datos, los fraudes y los ataques los que carecen de ellas. Estas vulnerabilidades, un aspecto
con malware. Asimismo, tanto las empresas como los muy importante de la ciberseguridad, se encuentran tanto
consumidores deberían tener en cuenta las amenazas que en los sistemas operativos como en las aplicaciones que se
los acechan: los ciberdelincuentes podrían cifrar sus datos ejecutan en ellos. Si no se resuelven, dejan la pista libre a
y exigir el pago de un rescate para descifrarlos, robarles la todo el que quiera atacar un sistema, que podrá aprovechar-
identidad o usar sus equipos como trampolín para atacar a las y utilizarlas con fines maliciosos. Cada año los expertos
otros objetivos. descubren nuevas vulnerabilidades de distintos tipos: las
más codiciadas son las de día cero, es decir, aquellas para
las que todavía no existe una revisión de seguridad.
7000
6253 6436 6204
6000
5562 5291 5685
5000 4842 4814 4989
4644
4000
3000
2000
1000
0
2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
Tal como se aprecia en el gráfico, parece que desde el año 2013 se impuso una tendencia a la baja, que se ha acentuado
claramente en 2015.
https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/mistakes-in-the-iaas-cloud-could-put-your-data-at-risk.pdf
http://www.symantec.com/connect/blogs/venom-vulnerability-could-expose-virtual-machines-unpatched-host-systems
http://www.symantec.com/connect/blogs/monitoring-shadow-it
Al día siguiente, en el New York Times se publicaba lo Symantec ofrece un servicio de actualización gratuito, pero
siguiente: «Como cada vez se habla más de las incidencias de las grandes empresas tienen que garantizar que cuentan con
seguridad que tienen lugar en Internet, muchas personas y un plan de migración para poner al día todos los dispo-
empresas son reticentes a enviar datos confidenciales, como sitivos y aplicaciones que en este momento no reconozcan el
números de tarjeta de crédito, información sobre ventas o algoritmo SHA 2.
mensajes de correo electrónico privados».
-
¿Hay motivos para el pánico?
Veinte años después, las preocupaciones siguen siendo las
mismas, pero parece que estamos dispuestos a asumir el La vulnerabilidad denominada FREAK, descubierta
riesgo, con la esperanza de que el banco venga en nuestro en marzo de 2015, permitía forzar el uso del cifrado
auxilio si algo sale mal. Sin embargo, sin una infraestructura de exportación (mucho menos eficaz del que se suele
SSL/TLS segura y sólida, esta frágil confianza se derrumbará usar hoy) a los atacantes que interceptaran la confi-
y el comercio electrónico sencillamente dejará de funcionar. guración de una conexión segura entre un cliente y un
servidor afectado. De este modo, resultaba fácil des-
Las cifras de la solidez cifrar el mensaje de la transacción con los recursos
La eficacia de la tecnología SSL/TLS ha avanzado muchísimo informáticos disponibles en la actualidad.
desde 1994, y lo sigue haciendo: este mismo año el sector ha
pasado del estándar SHA-1 al SHA-2. SE CALCULA QUE INICIALMENTE
ERAN VULNERABLES A ESTE
Gracias al aumento de la potencia de procesamiento, ahora
a los hackers les resulta más fácil descifrar algoritmos hash
ATAQUE LOS SERVIDORES DEL
mediante ataques de fuerza bruta y, según numerosos exper- 9,6 % DEL MILLÓN DE DOMI-
tos, los certificados basados en SHA-1 serán vulne- NIOS DE SITIOS WEB PRINCIPA-
rables dentro de muy poco tiempo. Por eso, los principales LES. NUEVE MESES DESPUÉS, LO
navegadores han decidido dejar de admitir los certificados
SHA 1 durante los próximos dos años, así que si un inter-
SIGUE SIENDO EL 8,5 %.
nauta intenta acceder a un sitio web que los utilice, verá una
advertencia de seguridad.
http://www.fastcompany.com/3054025/fast-feed/youll-never-guess-what-the-first-thing-ever-sold-on-the-internet-was?partner=rss
http://www.nytimes.com/1994/08/12/business/attention-shoppers-internet-is-open.html
http://www.infoworld.com/article/2879073/security/all-you-need-to-know-about-the-move-to-sha-2-encryption.html
https://blog.mozilla.org/security/2014/09/23/phasing-out-certificates-with-sha-1-based-signature-algorithms/
http://www.symantec.com/connect/blogs/freak-vulnerability-can-leave-encrypted-communications-open-attack
https://freakattack.com
Símbolo del
Tipo de certi- Validación Cifrado Validación de Validación de candado en Barra de
ficado del dominio «https» la identidad la dirección la interfaz de direcciones
usuario del verde*
navegador
DV Sí Sí Ninguna No Sí No
OV Sí Sí Buena Sí Sí No
EV Sí Sí Muy buena Sí Sí Sí
*O un candado verde o algún signo verde en la barra de direcciones.
https://casecurity.org/2013/09/25/what-is-certification-authority-authorization/
https://knowledge.symantec.com/support/ssl-certificates-support/index?page=content&id=AR2177
https://www.certificate-transparency.org
https://www.sandvine.com/pr/2016/2/11/sandvine-70-of-global-internet-traffic-will-be-encrypted-in-2016.html
http://fortune.com/2015/04/30/netflix-internet-traffic-encrypted/
http://googlewebmastercentral.blogspot.co.uk/2014/08/https-as-ranking-signal.html
http://tools.ietf.org/pdf/draft-ietf-httpbis-http2-17.pdf
https://www.mnot.net/blog/2015/06/15/http2_implementation_status
https://www.hostpoint.ch/en/ssl/freessl.html
https://blog.mozilla.org/security https://blog.mozilla.org/security
https://people.mozilla.org/domainnametogohere https://people.mozilla.org/domainnametogohere.htr
https://people.mozilla.org/domainnametogohere.html https://people.mozilla.org/domainnametogohere.ht
https://blog.mozilla.org/security/2015/11/03/updated-firefox-security-indicators-2/
https://www.nortonshoppingguarantee.com/
En esta sección, abordamos lo que nos espera a partir de 2016, desde las tendencias
emergentes hasta los temas de debate nuevos y actuales. Hemos recopilado los asuntos
relacionados con la seguridad de los sitios web que sin duda darán que hablar y que
conviene tener presentes. Si quiere consultar periódicamente las últimas novedades en
materia de seguridad, visite nuestro blog en Symantec Connect.
Tendencias al alza Amenazas híbridas: ataques a sistemas móviles
Como cabía esperar, se prevé que las amenazas a disposi-
Aumento del phishing
tivos móviles sigan proliferando en 2016. Tal vez pronto se
A pesar de la tendencia general a la baja de los últimos
vendan en el mercado negro kits de intrusión para teléfonos
años, ahora prevemos que el phishing aumente, por dos
similares a los que se utilizan para atacar ordenadores.
motivos: por un lado, porque la gente cada vez consume
más en Internet; por el otro, porque el acceso a Internet y
Durante los últimos tres años, la cantidad de vulnerabili-
las transacciones electrónicas se están difundiendo también
dades de los sistemas móviles ha ido aumentando, lo cual
en los países en vías de desarrollo.
tal vez sea un indicio de avance más que un motivo de alar-
ma. Si los expertos en seguridad, los sistemas operativos,
Si a todo esto le sumamos que se están creando servicios en
los desarrolladores y los creadores de aplicaciones detectan
Internet para todo tipo de tareas cotidianas (pagar facturas,
y resuelven más problemas, es porque prestan más atención
pedir citas médicas, solicitar plaza en la Universidad, gestio-
a la seguridad móvil. Aunque se prevé que durante el próxi-
nar cuentas de programas de fidelización, contratar un se-
mo año aumenten los ataques contra estos dispositivos,
guro, etc.), es evidente que los hackers se estarán frotando
también se espera que, si toman las medidas preventivas
las manos mientras planean ataques de phishing.
adecuadas y siguen invirtiendo en seguridad, los usuarios
gocen de un buen nivel de protección.
HTTPS en todas partes y para todos
Están aumentando de forma considerable la promoción y
Cada vez es más necesario contar con las com-
adopción de certificados SSL/TLS (tanto entre particulares
petencias adecuadas en materia de seguridad
como en las empresas) y están surgiendo nuevas iniciati-
Las amenazas cibernéticas evolucionan muchísimo más
vas para que todo el mundo pueda acceder al cifrado. Por
rápido que nuestros conocimientos sobre ellas y nuestra
ejemplo, con los servicios de alojamiento o en la nube se
capacidad de tomar medidas de forma proactiva. No se trata
ofrece la posibilidad de adquirir también la tecnología SSL/
solo de que aumente la creatividad de los hackers, sino que
TLS. Es muy probable que esta tendencia siga creciendo,
además surge a diario una enorme cantidad de servicios
sobre todo en el mercado de los certificados con validación
nuevos en Internet, y por lo general la prioridad para quien
de dominio (DV).
los concibe es ofrecer algo nuevo, exclusivo, útil o innova-
dor. La seguridad siempre es una cuestión secundaria.
Otro ámbito que ahora despierta gran interés es la comple-
jidad de la gestión de certificados SSL/TLS debido al flujo
Otra triste realidad que explica esta situación es que las
interminable de hosts que hay que autenticar, proteger
competencias necesarias para construir una red blindada
y supervisar (véase la sección relativa al Internet de las
las tienen los malhechores del sector. Los empleados encar-
cosas). De hecho, prevemos que siga aumentando el número
gados de la seguridad de TI suelen contar con la formación
de servicios y herramientas de gestión, al tiempo que
necesaria más que nada para crear y mantener una buena
mejora la concienciación sobre las exigencias en materia
infraestructura de red, pero muchas veces no están prepa-
de seguridad. Podemos afirmar que esta tendencia se debe
rados para afrontar todas las amenazas y vulnerabilidades
en gran parte a que los medios de comunicación cada vez
que afectan a una red empresarial. Es más, rara vez saben
dedican más espacio a las fugas de datos y a las amenazas
reconocer el perfil de un potencial hacker y no siempre
existentes para la seguridad informática.
comprenden los motivos que podrían llevarle a atacar a
la empresa. El hecho de que no se instalen las revisiones
necesarias en los servidores o se configuren mal las redes
http://www.symantec.com/connect/symantec-blogs/symantec-security-response no suele deberse solo a la pereza, sino a la desinformación.
https://help.yahoo.com/kb/SLN25781.html
http://www.theguardian.com/media-network/2015/mar/31/the-internet-of-things-is-revolutionising-our-lives-but-standards-are-a-must
tecnología TLS 1.3 20 años, tenemos que ponerlo a prueba ahora, antes de
que se implante. Al contrario de lo que parece sugerir el
La historia de la tecnología Transport Layer Security discreto número de la versión, en realidad el protocolo
(TLS) comenzó en 1994, con el lanzamiento de SSL TLS 1.3 presenta diferencias considerables. Aparte de
2.0, un protocolo mal diseñado pero suficientemente mejorar la seguridad, presenta otra ventaja crucial:
eficaz como para sustentar un boom de transacciones también será más rápido (principalmente en lo que se
electrónicas y uso comercial de Internet. A lo largo refiere a la latencia de la red, que es el único cuello de
de los siguientes 22 años, seguimos perfeccionando botella que sigue existiendo hoy).
la seguridad conforme fuimos conociendo mejor la
criptografía, y la versión estable más reciente con la que En la práctica, el efecto inmediato más relevante del
contamos hoy es TLS 1.2, creada en 2008. Esta versión, protocolo TLS 1.3 será la eliminación del código basura
cuya adopción se generalizó en 2013, hoy garantiza un acumulado desde la primera versión de SSL, que seguía
nivel de seguridad razonable para fines comerciales. presente en la 1.2 y en las anteriores versiones. En
realidad, el mayor obstáculo práctico que existe hoy a
A pesar de lo mucho que se ha criticado al protocolo TLS la hora de garantizar la seguridad es la formación: el
durante los últimos años, este ha resultado muy útil, protocolo TLS 1.2 se puede configurar de forma que
como demuestra el ingente crecimiento que ha experi- garantice una buena protección, pero para ello hay que
mentado Internet y las pocas incidencias de seguridad saber evitar los numerosos escollos existentes. Aunque
que se han producido por motivos relacionados con el existen manuales que explican cómo lograrlo, el proceso
cifrado. Si acaso, podríamos decir que la mayor parte de no es nada sencillo. En la mayoría de los casos, los
los problemas de seguridad que tienen lugar en Internet operadores del sitio web carecen de las competencias
se deben a nuestra reticencia a implantar el cifrado o necesarias o simplemente no están suficientemente
a adoptar los protocolos más recientes y eficaces. En motivados para abordar el problema. La respuesta a
Internet se está avanzando bastante en este sentido, corto plazo de la comunidad ha consistido en vincular
pues los sitios web más importantes están mejorando su la seguridad a las mejoras de rendimiento. Por ejemplo,
seguridad a buen ritmo. Sin embargo, es probable que el protocolo HTTP/2 solo se puede implantar con TLS
la cantidad de sitios web cifrados no llegue al 10 % del 1.2 y siempre que se use un subconjunto de funciones
total. En lo que se refiere al correo electrónico, también suficientemente seguras. A largo plazo, el protocolo TLS
queda mucho por hacer. Por ejemplo, en enero de 2016 1.3 será seguro de forma predeterminada, independien-
Gmail distribuyó de forma segura el 82 % de su correo temente de la configuración.
electrónico, pero solo el 58 % de los mensajes entrantes
estaban cifrados. A diferencia de lo que ocurre con los ¿Qué podemos hacer para prepararnos a la inminente
sitios web en general, cifrar correctamente el correo elec- llegada de TLS 1.3? La clave está en empezar a pensar
trónico es una tarea fácil, porque una pequeña cantidad dónde necesita garantizar la seguridad y cómo va a
de proveedores manejan un gran porcentaje del correo conseguirlo. Si los lugares críticos dependen de terceros
electrónico mundial. Por otro lado, la mayoría de las em- (por ejemplo, si ha externalizado el alojamiento del sitio
presas siguen prefiriendo que sus correos se envíen sin web o utiliza aparatos de hardware), es imprescindible
protección a que se produzcan fallos en la entrega. que se ponga en contacto con sus proveedores cuanto
antes. Hágales saber que se preocupa por la seguridad,
Pero ahora las tornas han cambiado: es evidente que en y pídales que se comprometan a admitir las nuevas
el Internet del futuro la información se cifrará de forma funciones de seguridad en cuanto estén disponibles.
eficaz. Al fin y al cabo, no solo está en juego su
seguridad, sino también el rendimiento
A finales de 2012 se empezó a trabajar en la próxima de sus sitios web.
versión del protocolo TLS, la 1.3, que estará lista dentro
de poco. Recientemente los desarrolladores han invita-
do a una serie de criptógrafos a examinar con atención
los borradores del protocolo. Si aspiramos a crear un
Para que los sistemas que garantizan la seguridad de los sitios web sean eficaces, hay
que implantarlos con cuidado, así como llevar a cabo una supervisión y mantenimiento
constantes. Existen herramientas que contribuyen a proteger el ecosistema del sitio web,
pero todo empieza por la formación. Ahora que ya conoce los riesgos, descubra lo que
puede hacer al respecto.
Adopte los estándares del sector herramientas de automatización que facilitan esta tarea,
• Utilice la tecnología SSL Always-On. Proteja con con lo que tendrá más tiempo para abordar cuestiones
el protocolo SSL/TLS todas las páginas para que de seguridad de forma proactiva.
se cifren todas las interacciones entre el sitio web • Muestre distintivos de confianza conocidos (como el
y el internauta. Al adoptar este sistema, también sello Norton Secured) en zonas bien visibles de su sitio
llamado «HTTPS Everywhere», con certificados SSL/ web para demostrar a los clientes que se toma en serio
TLS OV o EV, demostrará su credibilidad y mejorará su su seguridad.
posicionamiento en los resultados de las búsquedas. • Gestione las claves SSL/TLS correctamente. Limite
Además, allanará el camino para la adopción de HTTP/2, el número de personas con acceso a ellas; compruebe
que mejora el rendimiento. que quien se ocupa de administrar las contraseñas del
• Migre al algoritmo SHA-2. Tal como se explica en servidor donde se guardan las claves no sea el mismo
este informe, las autoridades de certificación deberían que gestiona los sistemas en los que se almacenan las
haber dejado de emitir certificados SHA-1 a partir del claves; y utilice sistemas automatizados de gestión
1 de enero de 2016, pero tiene que comprobar que se de claves y certificados para reducir la necesidad de
actualicen también todos los certificados antiguos, al intervenciones humanas.
igual que los dispositivos y las aplicaciones que en este
momento no reconozcan el algoritmo SHA-2. Adopte una solución completa para la seguridad
• Considere la posibilidad de adoptar el algoritmo de los sitios web
ECC. Symantec también ofrece la posibilidad de usar el • Haga análisis periódicos. Vigile sus servidores web para
algoritmo de cifrado ECC. Los principales navegadores, detectar posibles vulnerabilidades o infecciones con
incluidos los móviles, admiten certificados ECC en todas malware. Para ello, resultan muy útiles las herramientas
las plataformas recientes, y las claves ECC de 256 bits de automatización.
son 64 000 veces más difíciles de descifrar que las claves • Utilice un antivirus. El software antivirus no es solo
RSA de 2084 bits de uso estándar en el sector. para los ordenadores y smartphones, sino también para
los servidores, y podría ayudar a evitar un grave ataque
Utilice la tecnología SSL/TLS correctamente con malware contra toda la infraestructura del sitio web.
Los certificados SSL y TLS son eficaces solo si se instalan y • Instale solo los complementos realmente útiles.
mantienen correctamente, así que no olvide lo siguiente: También el software que utiliza para gestionar el sitio
web presenta vulnerabilidades. Cuantos más programas
• Mantenga actualizadas las bibliotecas de protocolos. de terceros utilice, mayor será la superficie de ataque,
La implantación de SSL/TLS es una tarea constante así que implante solo lo que sea imprescindible.
y resulta imprescindible instalar lo antes posible las • Tenga en cuenta todo el ecosistema. ¿Ha implantado
actualizaciones y revisiones del software que utilice. un firewall para aplicaciones web que evite los daños de
• No permita que sus certificados caduquen. Tenga los ataques de inyección? ¿Su sistema de firma de código
siempre bajo control los certificados con los que cuenta, garantiza la seguridad de sus aplicaciones web? ¿Cuenta
la autoridad de certificación que los ha emitido y su con herramientas automatizadas que detecten y eviten
fecha de caducidad. Symantec ofrece una serie de los ataques DDoS, un problema cada vez más habitual?
Symantec ofrece una gama de herramientas con las que la tarea de garantizar la seguridad
completa de los sitios web resulta sencilla y eficiente.
http://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsa
https://www.symantec.com/en/uk/complete-website-security/
http://www.symantec.com/page.jsp?id=seal-transition
• Controle el acceso, a ser posible con tecnología Adopte Symantec Website Security en 2016 y, con nuestra
biométrica. ayuda, haga que sea un año positivo para la seguridad
• Adopte un sistema para evitar las pérdidas de datos (por informática y pésimo para los ciberdelincuentes.
ejemplo, el cifrado en el dispositivo).
• Haga copias de seguridad del dispositivo de forma
automatizada.
http://www.symantec.com/connect/blogs/how-android-s-evolution-has-impacted-mobile-threat-landscape
http://www.symantec.com/mobility/
https://us.norton.com/norton-mobile-security
Symantec España
Symantec Spain S.L.
Parque Empresarial La Finca – Somosaguas
Paseo del Club Deportivo, Edificio 13, oficina D1, 28223
Pozuelo de Alarcón, Madrid, España
www.symantec.es/ssl
Queda prohibida la reproducción total o parcial de este documento técnico sin el consentimiento previo por escrito de su autor.
Copyright © 2016 Symantec Corporation. Reservados todos los derechos. Symantec, el logotipo de Symantec, el logotipo de la
marca de comprobación, Norton Secured y el logotipo de Norton Secured son marcas comerciales o marcas comerciales registradas
en los Estados Unidos y en otros países por Symantec Corporation o sus filiales. Los demás nombres pueden ser marcas comerciales
de sus respectivos propietarios