Вы находитесь на странице: 1из 58

INFORME COMPLETO

INFORME SOBRE
LAS AMENAZAS PARA
LA SEGURIDAD DE
LOS SITIOS WEB 2016
ÍNDICE
Symantec™ Global Intelligence Network 03 ¿Qué dispositivos pueden acabar en una botnet? 37
Publicidad dañina 38
Introducción del WSTR (informe sobre amenazas En el cliente 39
para la seguridad de los sitios web) Smartphones y otros dispositivos móviles 39
Los sitios web aún corren el riesgo de infectarse con malware y • Un teléfono por persona 39
sufrir fugas de datos 04 • Amenazas transversales 39
Seguridad completa para los sitios web 04 • Los ataques a dispositivos Android
Acontecimientos destacados del año 2015 05 se han vuelto más furtivos 42
Principales conclusiones 05 • Los usuarios de Android, víctimas
Transición a una autenticación más rigurosa 06 del phishing y el ransomware 42
Motivos para la esperanza 07 • Ahora los usuarios de Apple iOS
corren más riesgo que nunca 42
El año 2015 en cifras Protección de los dispositivos móviles 42
La situación actual 08 ¿Qué nos depara el futuro? 43
Las lagunas de seguridad 09 Amenazas por correo electrónico y
Las amenazas internas 10 otros sistemas de comunicación 43
El dinero lo es todo 10 • Ataques por correo electrónico 43
La economía sumergida y las fuerzas de seguridad 14 • Spam 44
• Empresas en la sombra 14 • Phishing 44
• Un negocio viento en popa 14 • Propagación de malware por
• Pueden intentar escapar, pero no esconderse 14 correo electrónico 44
• Reducción del riesgo 15 • El cifrado del correo electrónico 46
• Ataques que eluden el cifrado 46
La víctima no es solo el dispositivo o la red, • Consejos para garantizar la seguridad
sino también el individuo que está detrás del equipo al usar el correo electrónico 46
No hay que fiarse de nadie 16 ¿Qué nos depara el futuro? 46
Secretos y mentiras 17
Identidades engañosas 18 Los ordenadores, la informática en la nube y la
Apueste por el comercio electrónico 18 infraestructura de TI 47
La confianza de los consumidores se tambalea 19 • Sistemas virtualizados y en la nube 48
• La bolsa o la vida 19 • Vulnerabilidades en la nube 48
• Pero ¿por qué los delincuentes privilegian • Protección de la infraestructura de TI 48
este tipo de ataques? 19 Proteja la información esté donde esté 49
• Consecuencias de Dyre 20
• El idioma y la ubicación no constituyen obstáculos 20 La respuesta del sector
Leyes de privacidad 21 La evolución del cifrado 50
Evitemos la catástrofe cibernética 22 Las cifras de la solidez 50
Control y equilibrio 51
La víctima no es solo el dispositivo o la red, El salto a la tecnología SSL Always-On 51
sino también la entidad que está detrás de la red Mayor sensación de seguridad 52
Ataques persistentes 23
Diversidad en las vulnerabilidades de día cero 24 ¿Qué nos depara el futuro?
Grupos de ataque activos en 2015 24 Tendencias al alza 53
Terror global, ataques locales 25 • Aumento del phishing 53
El efecto mariposa 25 • HTTPS en todas partes y para todos 53
Ciberseguridad, cibersabotaje y cisnes negros 27 • Amenazas híbridas: ataques a sistemas móviles 53
La escasa visibilidad no es la solución 27 • Cada vez es más necesario contar con las
competencias adecuadas en materia de seguridad 53
Vectores de ataque Temas candentes
Ataques web, kits de herramientas • La autenticación ante todo 54
y explotación de vulnerabilidades online 28 • El Internet de las cosas desprotegidas 54
Linux en la línea de ataque 28 • «Hacktivismo», terrorismo, responsabilidad
Complementos problemáticos 29 gubernamental y derecho a la confidencialidads 54
• Se acerca el fin para Flash 29 Ivan Ristic nos habla de la tecnología TLS 1.3 55
• Explotación de complementos
para servidores web 29 Consejos y prácticas recomendadas
Infección por inyección 29 Adopte los estándares del sector 56
Kits de herramientas de ataque web 30 Utilice la tecnología SSL/TLS correctamente 56
Las estafas mediante servicios de asistencia técnica Adopte una solución completa para la seguridad
recurren al kit Nuclear para difundir ransomware 31 de los sitios web 56
Denegación de servicio distribuida 32 Conciencie a sus empleados 57
• El peligro de los ataques DDoS 32 Proteja los dispositivos móviles 57
• Sencillo pero eficaz 34 La seguridad es responsabilidad de todos 57
• Las aplicaciones web cada
vez corren más peligro 36

Symantec WSTR 2016 2


Symantec™ Global Intelligence Network

Symantec cuenta con la fuente de datos más completa que existe sobre las amenazas
en Internet: Symantec ™ Global Intelligence Network, un sistema formado por más de
63,8 millones de sensores de ataque que registra miles de incidencias por segundo.
Esta red supervisa las amenazas existentes en más de
157 países y regiones mediante una combinación de
productos y servicios de Symantec, como los siguientes:

• Symantec DeepSight™ Intelligence,


• Symantec™ Managed Security Services,
países
• productos de consumo Norton™,
• Symantec Website Security
• y otras fuentes de datos externas.
Symantec también mantiene una de las bases de datos
sobre vulnerabilidades más completas del mundo. En este
momento, hay registradas más de 74 180 vulnerabilidades
(a lo largo de dos décadas) que afectan a más de 71 470 Symantec mantiene una de las
bases de datos sobre vulnerabili-
productos de más de 23 980 proveedores.
dades más completas del mundo.

23 980 proveedores
Los datos de spam, phishing o malware se
registran con recursos como los siguientes: 71 470 productos

• Symantec Probe Network, un sistema que abarca más de 74 180 vulnerabilidades


cinco millones de cuentas señuelo;
• Symantec.cloud;
Skeptic™, la tecnología heurística
• Symantec Website Security; patentada de Symantec.cloud
• y otras tecnologías de seguridad de Symantec.
13 centros de datos
La tecnología heurística patentada de Symantec.cloud, de-
1.8 millones de solicitudes
nominada Skeptic™, detecta los ataques dirigidos más nuevos
y avanzados antes de que lleguen a la red del cliente. En 13 9 millones de mensajes de
centros de datos, se procesan más de 9000 millones de correo electrónico
mensajes de correo electrónico al mes y se filtran más
de 1800 millones de solicitudes por Internet al día. Secured aparece casi mil millones de veces al día en sitios
Symantec también recopila información sobre phishing a web de 170 países, así como en los resultados de las
través de una amplia comunidad antifraude de empresas, búsquedas si se utilizan navegadores compatibles.
proveedores de seguridad y más de 50 millones de consu-
midores. Gracias a estos recursos, los analistas de Symantec cuentan
con fuentes de información insuperables para detectar,
Symantec Website Security protege más de un millón de analizar e interpretar las nuevas tendencias en materia de
servidores web y garantiza una disponibilidad ininterrum- ataques, malware, phishing y spam. Con todos estos datos,
pida desde el año 2004. Esta infraestructura de validación elaboran el informe anual sobre las amenazas para la segu-
permite comprobar si un certificado digital X.509 se ha ridad de los sitios web, que ofrece a las empresas de todos
revocado o no mediante el protocolo de estado de certifica- los tamaños y a los consumidores información esencial para
dos en línea (OCSP) y procesa a diario más de 6000 millones proteger sus sistemas de forma eficaz tanto ahora como en
de consultas de este tipo en todo el mundo. El sello Norton™ el futuro.

Symantec WSTR 2016 3


Introducción del WSTR (informe sobre amenazas
para la seguridad de los sitios web)
Independientemente de que se trate de hacer compras, trabajar o pagar una factura,
hoy en día es imprescindible que los servicios online inspiren confianza. Por suerte, la
forma de utilizar y proteger Internet está cambiando para que los internautas se sientan
seguros en todo momento, hagan transacciones con plena tranquilidad y no teman por la
confidencialidad de sus datos. La seguridad de los sitios web abarca mucho más que los
datos que se transfieren entre el servidor y los internautas. Si quieren seguir inspirando
confianza, las empresas tienen que considerar su sitio web como parte de un ecosistema
que hay que cuidar con atención y constancia.
Ahora que la presencia del comercio electrónico en nuestra Las tres cuartas partes de los sitios web analizados por
vida diaria no deja de aumentar, hay mucho en juego. Cada Symantec en 2015 presentaban vulnerabilidades: un dato
vez son más las actividades que realizamos en Internet, que lleva años sin cambiar.
desde hacer la compra hasta reservar unas vacaciones. De
hecho, según Ecommerce Europe, la facturación global del En lugar de pensar solo en la protección, los administra-
comercio electrónico de la empresa al consumidor aumentó dores de los sitios web deberían tener en cuenta también la
un 24 % para llegar a los 1,943 billones de dólares en el año detección y la respuesta a los ataques. Necesitan herramien-
2014, mientras que se prevé que el comercio electrónico tas de automatización que permitan supervisar los sitios
entre empresas alcance los 6,7 billones de aquí a 2020. En web de forma constante para detectar indicios de vulnera-
consecuencia, hoy en día, la seguridad de los sitios web es bilidades o ataques, bloquear los ataques en cuestión y, a
más importante y pertinente que nunca. continuación, elaborar informes e instalar las actualizacio-
nes y revisiones pertinentes.
Si una empresa no logra reforzar la protección de su sitio
web, no será la única afectada; la confianza de los consumi­ Seguridad completa para los sitios web
dores también se verá perjudicada y podría haber enormes En el año 2015 los delincuentes siguieron encontrando vul-
repercusiones económicas de gran alcance. nerabilidades en la infraestructura subyacente de la segu-
ridad de los sitios web, como «FREAK», que permitía forzar
Los sitios web aún corren el riesgo de infectarse el uso de un protocolo más fácil de descifrar a los atacantes
con malware y sufrir fugas de datos que interceptaran la configuración de una conexión segura.
Los sitios web constituyen un elemento crucial en los ataques
de gran envergadura, ya que permiten acceder a la red y a Si bien es cierto que periódicamente salen actualizaciones
los datos de las empresas, así como a sus clientes y socios. para proteger las bibliotecas de protocolos SSL/TLS como
OpenSSL, los propietarios de los sitios web tienen que insta-
Por ejemplo, el hecho de que haya aumentado el uso de larlas si quieren evitar las vulnerabilidades. Asimismo, se
malware contra servidores web Linux (incluidos aquellos está acelerando la transición de SHA-1 a SHA-2, un sistema
que alojan sitios web) demuestra que los delincuentes se mucho más eficaz, pero para que el cambio sirva de algo las
han dado cuenta de que la infraestructura que hay detrás empresas tienen que implantar correctamente los nuevos
de los sitios web es tan valiosa como los datos cifrados con certificados.
certificados SSL/TLS o incluso más.
En 2015 los ataques distribuidos de denegación de servicio
Bastaría llevar a cabo un mantenimiento periódico para (Distributed Denial of Service o DDoS) han seguido causando
evitar muchos de los ataques de este tipo, pero las cifras estragos en las empresas. Los ataques de gran enverga-
observadas parecen indicar que los propietarios de sitios dura, como el que sufrió la BBC a finales de 2015, suelen
web no logran estar siempre al día. tener mucho eco, pero en realidad en el punto de mira de
los delincuentes están las empresas de todos los tamaños
y muchas veces las de pequeñas dimensiones sufren daños
www.ecommerce-europe.eu/news/2015/global-e-commerce-turnover-
colaterales cuando un servidor tiene que cerrar y deja fuera
grew-by-24.0-to-reach-1943bn-in-2014 de combate numerosos sitios web solo porque uno de sus
www.frost.com/sublib/display-report.do?id=MA4E-01-00-00-00
www.bbc.co.uk/news/technology-35204915
clientes ha sido atacado.

Symantec WSTR 2016 4


La conclusión es evidente: las empresas tienen que adoptar • La seguridad del Internet de las cosas adquirió prota-
una actitud más proactiva en lo que se refiere a la implanta- gonismo, pues se empezó a atacar a coches, electro-
ción de los certificados SSL/TLS. No basta con instalarlos una domésticos inteligentes y dispositivos sanitarios, por no
vez y olvidarse del asunto, así que es imprescindible contar hablar de los sistemas de control industrial.
con herramientas que automaticen y agilicen el proceso. • Se generalizaron los ataques a teléfonos, ya que aumen-
taron drásticamente las vulnerabilidades de los sistemas
Acontecimientos destacados del año 2015 móviles y el número de aplicaciones Android maliciosas.
• Se redujo el precio de los datos robados, como las direc- Los ataques se volvieron más furtivos y avanzados y, por
ciones de correo electrónico o los números de tarjeta de primera vez, los dispositivos Apple iOS empezaron a caer
crédito, lo que parece indicar un aumento en la oferta. en las redes de los delincuentes aunque no hubieran
• China fue el origen del 46 % de las actividades realiza- sido objeto de jailbreak (proceso que modifica el sistema
das con bots maliciosas en 2015 (el año anterior la cifra operativo para permitir la instalación de aplicaciones no
solo llegaba al 16 %), mientras que Estados Unidos pasó autorizadas por el fabricante), como ocurría en los años
del 16 % al 8 % en ese mismo período. anteriores.

• Se difundieron las indemnizaciones de los seguros • El fenómeno del ransomware perdió fuerza en 2015, y
contra ataques cibernéticos, lo que provocó un aumento los atacantes se centraron más en el crypto-ransomware.
de las primas y del coste global de las fugas de datos. También sufrieron ataques los servidores Linux de alo-
Según el estudio anual de NetDiligence, las indemniza- jamiento de sitios web. Asimismo, se detectaron infec-
ciones por ataques cibernéticos llegaron a alcanzar los ciones de smartphones y ataques de prueba de concepto
15 millones de dólares, mientras que las más habituales a televisiones inteligentes y relojes inteligentes.
oscilaron entre los 30 000 y los 263 000 dólares. • El sitio web de citas Ashley Madison sufrió un ataque que
• La media de las identidades afectadas por cada fuga se sacó a la luz los datos de numerosas personas dispuestas
redujo aproximadamente en un tercio para situarse en a engañar a sus parejas. Este caso tan sonado, junto con
4885. Sin embargo, aumentó en un 85 % el número de la difusión de las sextorsiones en Asia, demuestra que
fugas registradas sobre las cuales no se reveló cuántas el valor de los datos personales ha adquirido una nueva
identidades quedaron al descubierto. dimensión que permite sacar más provecho económico a
costa de las víctimas.
• Una víctima especialmente destacada de una incidencia
de seguridad fue Hacking Team, empresa italiana que Existen instrumentos y tácticas eficaces para defenderse
proporciona software de espionaje y vigilancia encu- de los ataques DDoS, pero es necesario que los adminis-
bierta a varios clientes gubernamentales. Varias de las tradores de los sitios web dediquen tiempo a conocerlos e
vulnerabilidades creadas por estos expertos para usarlas implantarlos.
como armas se publicaron en Internet y acabaron en kits
de herramientas de ataque web. Principales conclusiones
Este año las vulnerabilidades de día cero han alcanzado
• La publicidad dañina sigue invadiendo los sitios web,
niveles sin precedentes. Aunque siguen en el punto de mira
junto con los servidores Linux en que estos se alojan: el
las víctimas de siempre, como los complementos web y
número de infecciones volvió a aumentar en 2015.
los sistemas operativos, cada vez son más habituales los
• Aumentaron los ataques contra el sector sanitario y las
ataques contra objetivos como el software de código abier-
compañías de seguros: por ejemplo, Anthem sufrió una
to. Lo más preocupante es que en 2015 se descubrieron
grave fuga de datos en la que se perdieron los historiales
graves vulnerabilidades de día cero que se utilizaron para
médicos de casi 80 millones de pacientes. En 2015, la sa-
atacar sistemas ICS.
nidad fue el subsector que padeció más fugas de datos.
• Ya se habían producido otras veces ataques avanzados En los ataques dirigidos, siguen siendo fundamentales las
provocados por organizaciones dotadas de abundantes maniobras de reconocimiento, que permiten a los atacantes
recursos y medios económicos, y hace mucho tiempo recopilar información discretamente sobre los sistemas que
que sospechamos que cuentan con apoyo gubernamen- les interesan antes de lanzar el ataque propiamente dicho.
tal, pero en 2015 se descubrió el grupo Butterfly, que Las tácticas de este tipo han tenido mucho peso en ciertos
utilizaba técnicas con un nivel de complejidad similar casos de cibersabotaje de gran repercusión, como los ataques
para enriquecerse. lanzados con los troyanos Trojan.Laziok y BlackEnergy
contra centrales eléctricas de Oriente Medio y Ucrania
respectivamente.
http://netdiligence.com/downloads/NetDiligence_2015_Cyber_Claims_Study_093015.pdf
http://www.symantec.com/connect/blogs/how-my-tv-got-infected-ransomware-and-what-you-can-learn-it

Symantec WSTR 2016 5


En 2015 aumentaron prácticamente todos los indicadores Cuando emite certificados con validación de dominio (DV),
relacionados con las fugas de datos; en particular, se la autoridad de certificación comprueba que el contacto del
batie-ron récords en la cantidad de ataques, identidades dominio en cuestión apruebe la solicitud del certificado (por
robadas y «megafugas». En cuanto a las fugas de alto ries- lo general, por correo electrónico o por teléfono), algo que
go, resulta sorprendente el puesto destacado que ocupan suele ser automático. En consecuencia, estas soluciones sue-
sectores como el de las aseguradoras y el de la hostelería, len ser más baratas que los certificados SSL con Extended
que despiertan el interés de los delincuentes porque son Validation (EV), los cuales exigen un proceso de validación y
una fuente de datos privados, como números de tarjeta autenticación más riguroso.
de crédito o información sanitaria. Es probable que los
atacantes aprovechen con más frecuencia estos datos que los Es cierto que, cuando se utilizan certificados con DV, se
de otros sectores. comprueba que el propietario del dominio dé su consenti-
miento, pero no se verifica quién es realmente dicho
Transición a una autenticación más rigurosa propietario, con lo que se deja la pista libre para los delin-
No todo son malas noticias. En 2015 se ha avanzado tanto cuentes que quieran lanzar ataques de interposición Man-
en lo que se refiere a la eficacia como a la adopción de los in-the-Middle y de phishing. Symantec prevé que las em-
certificados SSL/TLS, y las autoridades de certificación han presas, en especial las que tienen que cumplir la normativa
tomado medidas para que el proceso de emisión sea más relativa a los pagos con tarjeta de crédito, intensifiquen los
transparente. requisitos de autenticación y empiecen a adoptar certifica-
dos SSL con EV, que garantizan un nivel de seguridad más
Según un estudio de Sandvine, hoy se cifra casi el 40 % alto.
del tráfico de Internet descendente en Estados Unidos, y
se prevé que a lo largo del próximo año este dato aumente Por otro lado, el cifrado SSL/TLS será más eficaz gracias a la
para superar el 70 % del tráfico mundial. transición del algoritmo SHA-1 a SHA-2. Con la función hash
SHA 1, que se ha utilizado con mucha frecuencia, cada hash
Por desgracia, según las palabras de Robert Hoblit, vicepre- generado por una fuente debería ser único. En teoría, nunca
sidente de productos emergentes e ingresos de Symantec: debería ocurrir que dos fuentes diferentes generaran el mis-
«Ahora que se cifra todo, los consumidores tienen una falsa mo hash, pero ya en 2005 se detectaron los primeros puntos
sensación de seguridad y creen que siempre que ven la indi- débiles de este sistema. La situación llegó a un punto crítico
cación HTTPS se encuentran en un sitio web de una empre- en 2014, cuando Google anunció que dejaría de admitir los
sa auténtica que ha superado un proceso de validación». sitios web que utilizasen el algoritmo SHA 1 y que mostraría
avisos de seguridad a los internautas que intentasen acce-
En realidad, la inmensa mayoría de los fraudes siempre han der a sitios web con certificados de este tipo que caducaran
tenido lugar en sitios web con validación de dominio, es de- después del 1 de enero de 2017. Pronto otros proveedores
cir, sin que la empresa en cuestión haya superado validación de navegadores siguieron el ejemplo, con lo que quedó claro
alguna. «Creo que la exigencia de cumplir la normativa que el algoritmo SHA 1 estaba destinado a desaparecer.
relativa a los pagos con tarjeta de crédito va a llevar a las
empresas a intensificar los requisitos de la autenticación», En el sector de la seguridad se está avanzando mucho y
comenta Hoblit. existe la posibilidad concreta de reducir de forma consi­de-
rable el número de ataques que se salen con la suya, pero
solo se conseguirá si también los propietarios de los sitios
web dan un paso al frente y toman medidas.

https://www.sandvine.com/pr/2016/2/11/sandvine-70-of-global-internet-traffic-will-be-encrypted-in-2016.html
http://www.symantec.com/connect/blogs/dangers-domain-validated-ssl-certificates
https://googleonlinesecurity.blogspot.co.uk/2014/09/gradually-sunsetting-sha-1.html

Symantec WSTR 2016 6


Motivos para la esperanza
A pesar de que abundan las malas noticias, si las empresas Asimismo, los desarrolladores de software, teléfonos y
están bien gestionadas y los usuarios actúan con prudencia, sistemas del Internet de las cosas están mejorando la
solo las amenazas más implacables se saldrán con la suya. seguridad de sus productos (si bien en ciertos casos partían
Y hay más motivos para la esperanza. Por ejemplo, hoy de un nivel muy bajo). Y, por supuesto, empresas como
se cifra casi el 40 % del tráfico de Internet descendente Symantec están luchando con todos sus medios contra los
en Estados Unidos, y se prevé que este dato aumente a lo ciberdelincuentes, espías y malhechores.
largo del año. Los estándares más recientes en materia de
navegadores y sitios web ponen de relieve la importancia
del cifrado y la seguridad.

« AHORA QUE SE CIFRA TODO,


LOS CONSUMIDORES TIENEN UNA
FALSA SENSACIÓN DE SEGURIDAD
Y CREEN QUE SIEMPRE QUE VEN LA
INDICACIÓN HTTPS SE ENCUENTRAN
EN UN SITIO WEB DE UNA EMPRESA

»
AUTÉNTICA QUE HA SUPERADO UN
PROCESO DE VALIDACIÓN.
Robert Hoblit, vicepresidente de productos emergentes e ingresos de Symantec

Symantec WSTR 2016 7


El año 2015 en cifras

En 2015 las fugas de datos, originadas internamente o provocadas por estafadores,


siguieron causando estragos tanto en los sitios web como en los dispositivos de los
puntos de venta, y salieron más caras que nunca a las víctimas.
La situación actual
El coste medio total de cada fuga de datos ha aumentado un 23 % en los últimos dos años, hasta alcanzar los 3,79 millones
de dólares, tal como revela el este estudio sobre el coste de las fugas de datos de 2015. Como hemos observado una ligera
caída en el número total de fugas y la mediana de las identidades afectadas por cada fuga se ha reducido aproximadamente
en un tercio para situarse en 4885, podemos concluir que los datos robados en cada ocasión son más valiosos o más
confidenciales y las consecuencias para las empresas son más graves que en el pasado.

FUGAS EN TOTAL
Fuente: Symantec | CCI

2015 Diferencia 2014 Diferencia 2013

305 -2 % 312 +23 % 253

IDENTIDADES AFECTADAS EN TOTAL


Fuente: Symantec | CCI

2015 Diferencia 2014 Diferencia 2013

429 millones +23 % 348 millones -37 % 552 millones

En consecuencia, se están difundiendo las indemnizaciones En el primer semestre de 2015, aumentó en un 32 % el


de los seguros contra ataques cibernéticos y, según el valor medio de las primas para comerciantes, mientras que
estudio de NetDiligence, estas han llegado a alcanzar los en el sector sanitario algunas de ellas incluso se triplicaron.
15 millones de dólares, mientras que las más habituales Además, según Reuters, ahora los deducibles tienden a
se encuentran entre los 30 000 y los 263 000 dólares. Al ser más altos e incluso las mayores aseguradoras no dan
mismo tiempo, cada vez sale más caro asegurar los activos pólizas de más de 100 millones de dólares a los clientes en
digitales, lo cual contribuye a que crezca aún más el coste situaciones de riesgo.
global de las fugas de datos.

http://www-01.ibm.com/common/ssi/cgi-bin/ssialias?subtype=WH&infotype=SA&htmlfid=SEW03053WWEN&attachment=SEW03053WWEN.PDF
http://www.symantec.com/cyber-insurance/
http://netdiligence.com/downloads/NetDiligence_2015_Cyber_Claims_Study_093015.pdf
http://www.reuters.com/article/2015/10/12/us-cybersecurity-insurance-insight-idUSKCN0S609M20151012

Symantec WSTR 2016 8


Las lagunas de seguridad observado en los servidores web durante el último año. Es
A pesar de que los sistemas de cifrado cada vez son más imprescindible que los responsables de gestionar los sitios
eficaces, este año muchos de los ataques contra certificados web mantengan la integridad de las implantaciones SSL/
SSL/TLS han aprovechado puntos débiles del ecosistema TLS: no basta con instalar los certificados y luego olvidarse
SSL/TLS general. del asunto.

«Durante el último año se ha prestado mucha más atención Aunque no hemos detectado vulnerabilidades tan peligrosas
a las bibliotecas de código con relación a las implantaciones como Heartbleed, que tanto protagonismo tuvo en 2014,
de certificados SSL/TLS», comenta Michael Klieman, a lo largo de 2015 OpenSSL proporcionó varias actualiza-
director general y ejecutivo de gestión de productos en ciones y revisiones. Se utiliza OpenSSL en dos tercios de los
Symantec. «En consecuencia, se han facilitado con una servidores web, lo que la convierte en una de las implanta-
frecuencia razonable actualizaciones y soluciones contra ciones más difundidas de los protocolos de cifrado SSL y
vulnerabilidades». TLS. El objetivo de las actualizaciones mencionadas era re-
solver vulnerabilidades con distintos niveles de riesgo, que
Eso es lo bueno, pero la otra cara de la moneda es que permitían a los delincuentes llevar a cabo ataques de inter-
los propietarios de sitios web no siempre mantienen posición Man-in-the-Middle o de denegación de servicio, así
al día sus sistemas de seguridad, tal como revelan las como interceptar comunicaciones en teoría seguras.
vulnerabilidades sin resolver más habituales que se han

PRINCIPALES VULNERABILIDADES SIN RESOLVER DETECTADAS


EN LOS SERVIDORES WEB ANALIZADOS
Fuente: Symantec | Trusted Services

Puesto Nombre

1 Vulnerabilidad POODLE (protocolos SSL y TLS)

2 Ausencia del encabezado de opciones X-Content-Type

3 Ausencia del encabezado de opciones X-Frame

4 Certificado SSL firmado con un algoritmo hash débil

5 Vulnerabilidad frente a ataques de secuencias de comandos entre sitios

6 Ausencia del encabezado Strict-Transport-Security

7 Compatibilidad con SSL v2

8 Cookie de sesión SSL cifrada sin el atributo «Secure»

9 Compatibilidad con conjuntos de cifrado SSL poco seguros

10 Vulnerabilidad en el proceso de renegociación de los protocolos SSL y TLS

http://www.symantec.com/connect/blogs/critical-openssl-vulnerability-could-allow-attackers-intercept-secure-communications
http://www.symantec.com/connect/blogs/new-openssl-vulnerability-could-facilitate-dos-attacks

Symantec WSTR 2016 9


MOTIVOS PRINCIPALES DE FUGAS DE DATOS POR TIPO DE
INCIDENTES, 2013–2015
Fuente: Symantec | CCI

100 %

90 % 2013

80 % 2014

70 % 2015

60 %
49 %
50 % 46 %
40 % 34 %
29 % 27 %
30 %
22 % 22 % 21 % 21 %
20 %
10 %
10 % 6% 8%

0%
Atacantes Divulgación Robo o pérdida de un Apropiación por parte
accidental ordenador o unidad del personal interno

Las amenazas internas El dinero lo es todo


Si bien solo en torno al 10 % de las fugas de datos de 2015 El principal motivo que impulsa las fugas de datos sigue
se debieron a causas internas, el estudio de NetDiligence siendo económico: cuantos más datos tenga alguien sobre un
revela que, en el 32 % de las indemnizaciones de los seguros individuo, más fácil le resultará robar su identidad, así que las
contra ataques cibernéticos, intervino algún factor interno. Por aseguradoras, los organismos gubernamentales y las entidades
ejemplo, la fuga de datos sufrida en Ashley Madison, una sanitarias están en el punto de mira de los delincuentes, que
de las más sonadas del año, al parecer fue provocada por aspiran a conseguir perfiles personales más completos.
alguien descontento que se encontraba dentro de la propia
empresa, según afirma su director ejecutivo. Si bien no se ha El tipo de información que interesa a los delincuentes no cam-
confirmado qué ocurrió exactamente, si la hipótesis mencio- bió en 2015; únicamente se produjeron pequeños cambios en la
nada es cierta, este caso destaca el daño que se puede llegar a clasificación. Los nombres de personas siguen siendo el tipo de
infligir desde dentro de una empresa. dato que sale a la luz con más frecuencia: está presente en más
del 78 % de las fugas de datos. Los domicilios, las fechas de
nacimiento, los números de identificación de carácter adminis-
Las amenazas internas siempre han sido un tema candente en
trativo (por ejemplo, de la seguridad social), los historiales mé-
el campo de la seguridad informática, pero en 2015 los orga-
dicos y la información financiera se encuentran entre el 30 y el
nismos gubernamentales, además de percatarse del problema,
40 %, igual que en 2014, aunque el puesto que ocupa cada tipo
empezaron a tomar medidas.
de dato ha variado ligeramente. Completan la lista de los 10
• Más de tres cuartos de los organismos gubernamentales
principales tipos de datos afectados las direcciones de correo
estadounidenses encuestados en el informe federal sobre
electrónico, los números de teléfono, la información relacionada
amenazas internas de MeriTalk aseguran que ahora se esfuer-
con planes de seguros y los nombres de usuario y contraseñas.
zan más que hace un año por combatir las amenazas internas.
Todos ellos vuelven a situarse entre el 10 y el 20 %.
• El Centre for Defence Enterprise del Reino Unido en 2015
patrocinó varios proyectos destinados a supervisar el com­ Esto no significa que los datos de las tarjetas de crédito hayan
portamiento digital de los empleados para prevenir y detec­­ dejado de interesar a los atacantes. Sin embargo, su valor en
tar amenazas internas en tiempo real, así como simuladores el mercado negro no es especialmente alto, pues las empresas
de aprendizaje para enseñar a reconocer los riesgos. que emiten las tarjetas, al igual que los propietarios de estas,
detectan muy pronto los gastos anómalos, y los datos robados
http://netdiligence.com/downloads/NetDiligence_2015_Cyber_Claims_Study_093015.pdf
http://uk.businessinsider.com/ashley-madison-ceo-says-hack-was-an-inside-job-2015-7 tienen una vida útil limitada. En cualquier caso, el mercado de
http://cdn2.hubspot.net/hubfs/407136/PDFs/Symantec/MeriTalk_-_Symantec_-_Inside_
los datos de tarjetas de crédito no desaparece.
Job_Report_-_FINAL.pdf?t=1445970735623
https://www.gov.uk/government/news/protecting-information-from-an-insider-threat
https://www.gov.uk/government/news/identifying-cyber-insider-threats-in-real-time
https://www.gov.uk/government/news/securing-against-the-insider-threat

Symantec WSTR 2016 10


SECTORES EN LOS QUE SE DEJARON AL DESCUBIERTO MÁS IDENTIDADES
(2 CIFRAS)
Fuente: Symantec | CCI

Número de identidades Porcentaje de identidades


Puesto Sector
afectadas afectadas

1 Servicios sociales 191 035 533 44,5 %

2 Aseguradoras 100 436 696 23,4 %

3 Servicios personales 40 500 000 9,4 %

4 Gestión de recursos humanos 21 501 622 5,0 %

Agentes, corredores y servicios de


5 19 600 000 4,6 %
seguros

6 Servicios empresariales 18 519 941 4,3 %

7 Venta al por mayor - Bienes duraderos 11 787 795 2,7 %

Servicios ejecutivos, legislativos y


8 6 017 518 1,4 %
generales

9 Servicios de enseñanza 5 012 300 1,2 %

10 Servicios sanitarios 4 154 226 1,0 %

PRINCIPALES TIPOS DE DATOS AFECTADOS


Fuente: Symantec | CCI

Puesto Tipo (2015) 2015 % Tipo (2014) 2014 %

1 Nombres de personas 78,3 % Nombres de personas 68,9 %

Números de identificación de carácter ad-


2 Domicilios 43,7 % 44,9 %
ministrativo (p. ej., de la seguridad social)

3 Fechas de nacimiento 41,2 % Domicilios 42,9 %

Números de identificación de
4 carácter administrativo (p. ej., de la 38,4 % Información financiera 35,5 %
seguridad social)

5 Historiales médicos 36,2 % Fechas de nacimiento 34,9 %

6 Información financiera 33,3 % Historiales médicos 33,7 %

7 Direcciones de correo electrónico 20,8 % Números de teléfono 21,2 %

8 Números de teléfono 18,6 % Direcciones de correo electrónico 19,6 %

Información relacionada con


9 13,2 % Nombres de usuario y contraseñas 12,8 %
planes de seguros
Información relacionada con planes de
10 Nombres de usuario y contraseñas 11,0 % 11,2 %
seguros

Symantec WSTR 2016 11


En cuanto a los sectores más afectados, las empresas de las bandas magnéticas de las tarjetas, para luego clonarlas
servicios fueron las que sufrieron más fugas de datos, y usarlas en tiendas o incluso en cajeros automáticos, si
tanto si se tiene en cuenta el número de incidencias como conseguían el PIN. Los datos «Track 1» contienen más
si nos basamos en la cantidad de identidades que salieron información que los «Track 2», como el nombre del titular,
a la luz. Sin embargo, dentro de esta clasificación general, el número de cuenta y otros datos discrecionales, que a
el motivo del ataque es diferente en cada subsector. veces utilizan las aerolíneas al hacer reservas con tarjeta
de crédito. El valor de estos datos se refleja en los precios
El número de incidencias más alto se registró en el de venta que alcanzan en el mercado negro de Internet,
subsector de los servicios sanitarios, donde se produjeron donde llegan a costar 100 $ por tarjeta.
el 39 % de las fugas del año. Esto entra dentro de lo
esperado, dado el rigor de las normas que exigen a las Desde octubre de 2015, el 40 % de los consumidores
entidades sanitarias informar de las fugas de datos estadounidenses disponen de tarjetas EMV, y se calcula
sufridas. Sin embargo, la cantidad de identidades que el 25 % de los comerciantes cumplen el estándar EMV.
afectadas es relativamente baja en este sector. El hecho Sin embargo, con el estándar EMV resulta mucho más difícil
de que se produzcan tantas fugas en las que salen a la luz clonar tarjetas. Si bien es cierto que tendrán que pasar
pocas identidades parece indicar que los datos robados unos años antes de que concluya la transición, hay que
son muy valiosos. señalar que el nuevo sistema, junto con otras mejoras de la
seguridad de los puntos de venta, debería hacer que este
El subsector en el que se robaron más identidades fue el tipo de robos de gran envergadura resultaran más difíciles y
de los servicios sociales, pero esto se debe en gran parte a sin duda menos rentables para los delincuentes.
una sola fuga que batió récords al afectar a 191 millones Esto nos lleva a cuestionarnos la forma de valorar el nivel
de identidades. Si excluimos este caso concreto, el sector de riesgo de una fuga de datos. Es posible que en un sector
de los servicios sociales pasa al último puesto de la lista. concreto se produzca una gran cantidad de robos o queden
(Por cierto, este es el puesto que ocupa en la clasificación al descubierto numerosas identidades, pero ¿significa eso
según el número de fugas). que los datos se estén utilizando para fines delictivos?

El sector de la venta al detalle sigue siendo muy lucrativo Por ejemplo, cabe señalar que el 48 % de las fugas de
para los delincuentes, aunque ahora que en Estados datos se debieron a descuidos. En estos casos, los datos
Unidos se ha adoptado el estándar EMV (es decir, se han personales salieron a la luz, bien porque la empresa
empezado a usar tarjetas de pago con chip y PIN), ha los compartió con quien no debía o bien porque los
perdido valor la información que se puede sacar de los registros privados pasaron a ser públicos por un error de
dispositivos de los puntos de venta. configuración del sitio web. Pero ¿llegó la información
a manos de personas con intenciones maliciosas? En
La tecnología EMV es un estándar global para las muchos casos, probablemente no. Si una anciana jubilada
tarjetas con microchip, utilizado en varios países desde recibe por error el historial médico de otra persona en su
los años noventa y principios del siglo XXI, que permite dirección de correo electrónico, no es fácil que aproveche
autenticar las transacciones mediante una combinación esta información para robar una identidad. Esto no
de chip y PIN. Tras las numerosas fugas de datos de gran significa que nunca ocurra, sino que la inmensa mayoría
envergadura que han tenido lugar en los últimos años de estas fugas de datos implican un riesgo reducido.
y la proliferación de estafas con tarjetas de crédito, las
entidades que emiten dichas tarjetas en EE. UU. están Lo que sí supone un riesgo mucho más alto son los casos
adoptando este sistema para tratar de paliar los efectos en que la fuga de datos se debe a un ataque llevado a
de este tipo de fraudes. cabo por hackers o desde dentro de la propia empresa.
Con toda probabilidad, en estas situaciones el objetivo es
Antes los delincuentes podían hacerse con los datos robar identidades.
llamados «Track 2», es decir, la información almacenada en

http://www.symantec.com/connect/blogs/demystifying-point-sale-malware-and-attacks
http://www.usatoday.com/story/money/personalfinance/2015/09/30/chip-credit-card-deadline/73043464/
http://arstechnica.com/business/2015/10/today-all-stores-in-the-us-should-accept-chip-and-pin-cards-yeah-right/

Symantec WSTR 2016 12


Fuera de lo común
En 2015 el ataque de Hacking Team llamó especialmente la atención
porque los delincuentes no buscaban dinero ni identidades, sino
armas cibernéticas. También dio mucho que hablar porque fue un
ataque de hacking contra hackers.
Hacking Team es un equipo italiano que vende cero y numerosos troyanos utilizados como armas
software de espionaje y vigilancia encubierta a por el grupo, mientras que bastaron unas horas
usuarios gubernamentales. para que acabaran entrando en varios kits de
herramientas de ataque.
En el ataque, salieron a la luz vulnerabilidades de
día cero desconocidas hasta entonces.

En cuestión de días, se publicaron en una serie de


foros los datos de varias vulnerabilidades del día

http://www.symantec.com/connect/blogs/hacking-team-woes-adds-dangers-faced-internet-using-public

Symantec WSTR 2016 13


La economía sumergida y las fuerzas de seguridad
La economía sumergida prospera y la ciberdelincuencia crece a un ritmo vertiginoso, pero tal como
hemos visto, en 2015 también aumentaron las detenciones y los desmantelamientos de gran relevancia.
En definitiva, estén donde estén los malhechores, ahora las fuerzas de seguridad los encuentran con más
rapidez. Es cierto que los ataques de ransomware han disminuido, pero también se han diversificado y
ahora afectan también a los servidores web Linux.
Empresas en la sombra mismos datos alcanzan un precio muy alto si contienen
Hoy los ciberdelincuentes son más profesionales y mucho información «de lujo» (por ejemplo, si se comprueba que
más audaces tanto a la hora de elegir a sus víctimas como las cuentas del vendedor siguen activas o que la tarjeta de
en lo que se refiere a las cantidades de dinero que aspiran crédito no se ha bloqueado).
a amasar. Estas empresas delictivas se consideran negocios
propiamente dichos que abarcan una gran variedad de Por ejemplo, basta pagar entre 100 y 700 dólares estadouni-
áreas, cada una con sus propios campos de especialización, denses a la semana para alquilar un kit de herramientas
y que cuentan con colaboradores, socios, distribuidores, web que infecte a las víctimas con descargas no autoriza-
proveedores, etc., tal como ocurre en el mercado legal. das, con derecho a actualizaciones y asistencia ininterrum­
pida, mientras que los ataques distribuidos de denegación
Un negocio viento en popa de servicio (DDoS) cuestan entre 10 y 1000 dólares al día.
Así como durante los últimos años los precios de las direc- Por otro lado, en la gama más alta del mercado se encuen-
ciones de correo electrónico se han reducido de forma con- tran las vulnerabilidades de día cero, que pueden llegar a
siderable, los de las tarjetas de crédito se han mantenido venderse por cientos de miles de dólares. Cabe señalar que
relativamente bajos pero estables. De todos modos, estos estas cifras han cambiado muy poco desde el año 2014.

PRINCIPALES FUENTES DE ACTIVIDAD DELICTIVA: BOTS, 2014–2015


Fuente: Symantec | GIN

Porcentaje de Porcentaje de
Puesto País o región (2015) Puesto País o región (2014)
bots (2015) bots (2014)
1 China 46,1 % 1 China 16,5 %
2 Estados Unidos 8,0 % 2 Estados Unidos 16,1 %
3 Taiwán 5,8 % 3 Taiwán 8.5 %
4 Turquía 4,5 % 4 Italia 5,5 %
5 Italia 2,4 % 5 Hungría 4,9 %
6 Hungría 2,2 % 6 Brasil 4,3 %
7 Alemania 2.0 % 7 Japón 3,4 %
8 Brasil 2,0 % 8 Alemania 3,1 %
9 Francia 1,7 % 9 Canadá 3,0 %
10 España 1,7 % 10 Polonia 2,8 %

Pueden intentar escapar, pero no esconderse


«Durante el último año, los cuerpos de seguridad se han vuelto más eficaces en la lucha contra este tipo de delincuencia ―declara
Dick O’Brien, desarrollador informático sénior de Symantec―. Las operaciones de este tipo exigen actuar de forma coordinada
en el ámbito internacional, porque rara vez el grupo de delincuentes pertenece a un solo país, pero cuando salen bien suponen un
duro golpe para los atacantes y hacen que las actividades ilegales se vuelvan más arriesgadas y potencialmente costosas».

http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services

Symantec WSTR 2016 14


Reducción del riesgo
Hay que recordar que gran parte de las fugas de datos se
Entre los éxitos logrados en 2015, cabe podrían haber evitado con una serie de medidas básicas de
destacar los siguientes: sentido común, como las siguientes:
• Aplicar revisiones para resolver vulnerabilidades
El desmantelamiento de la botnet Dridex.
• 
• Mantener el software en buen estado
En el marco de una operación de seguridad
• Implantar filtros de correo electrónico eficaces
internacional realizada en octubre, se detuvo
• Utilizar software de detección y prevención de las
a un hombre y se actuó de forma coordinada
intrusiones
para arrebatar de las manos de la botnet
• Limitar el acceso a los datos empresariales por parte de
Dridex miles de ordenadores atacados.
terceros
El desmantelamiento de Simda. En abril
•  • Cifrar los datos confidenciales para protegerlos
los cuerpos de seguridad confiscaron la • Instalar una tecnología de prevención de pérdidas de
infraestructura en manos de los controladores datos (o DLP)
de la botnet Simda, que abarcaba una serie de
servidores de control. Obviamente, estas medidas sirven para prevenir los ataques
procedentes del exterior. Cuando se trata de evitar las
La incautación de Ramnit. En el marco de una
•  amenazas internas, tanto malintencionadas como involun-
operación de seguridad realizada en febrero tarias, las empresas tienen que centrarse en formar debida-
bajo la batuta de Europol y con la asistencia mente a los empleados e impedir las pérdidas de datos.
de Symantec y Microsoft entre otros, las
autoridades se incautaron de una serie de Del mismo modo que nos dicen que tenemos que taparnos
servidores y otra infraestructura que estaba en la boca al toser o lavarnos bien las manos en los hospitales,
manos del grupo de ciberdelincuentes autores habría que concienciar a los empleados sobre la impor-
de la botnet Ramnit. tancia de las medidas de seguridad básicas. Además, las
empresas deberían contar con herramientas de prevención
La acusación de ataques de hacking
• 
de pérdidas de datos que permitan localizar, supervisar y
contra JP Morgan Chase. Con relación a
proteger su información independientemente de dónde se
varios ataques en los que se robaron más
encuentre, para saber en todo momento quién está utilizan-
de 100 millones de registros de clientes, las
do cuáles datos y qué está haciendo con ellos.
autoridades federales acusaron al menos
a cuatro hombres de infiltración en varias
La seguridad se debería considerar una parte esencial de las
instituciones financieras y de manipulación
operaciones y del comportamiento de los empleados, y
bursátil.
no un mero complemento que sirve para complacer a los
auditores. No parece probable que las fugas de datos de-
saparezcan a corto plazo, pero sin duda podría reducirse
su gravedad y los daños que provocan si las empresas
comprendieran que la seguridad no es solo responsabi-
lidad del director de sistemas y el gestor de TI, sino que
está en manos de todos los empleados.

http://www.symantec.com/connect/blogs/dridex-takedown-sinks-botnet-infections
http://www.symantec.com/connect/blogs/ramnit-cybercrime-group-hit-major-law-enforcement-operation

Symantec WSTR 2016 15


La víctima no es solo el dispositivo o la red,
sino también el individuo que está detrás del equipo

Algunos de los ataques y tácticas de los ciberdelincuentes en 2015 han sido tan complejos
e implacables que han puesto de manifiesto lo vulnerables que son los internautas y, en
consecuencia, han hecho que la confianza de los consumidores se tambalee.

En 2015 las fugas de datos, la vigilancia gubernamental y las estafas de toda la vida
se aliaron en contra de nuestra privacidad. Ya se trate de fotografías personales, datos
de acceso a cuentas bancarias o historiales médicos, podemos tener la certeza de que
nuestros datos no tienen nada de privados.
No hay que fiarse de nadie
En 2015 tuvieron lugar numerosos ataques con malware
y estafas tradicionales cuyo objetivo era conseguir datos
Cómo funciona la estafa de Gmail
personales. Por ejemplo, uno de los engaños consistía
en prometer grandes cantidades de seguidores gratis en 1.  Un atacante consigue la dirección de correo
Instagram para conseguir que los usuarios revelaran su electrónico y el número de teléfono de la
contraseña o hacerse pasar por Hacienda en un mensaje de víctima (ambos suelen ser públicos).
correo electrónico para que los destinatarios descargaran
archivos adjuntos infectados. 2. El atacante se hace pasar por la víctima y pide
a Google que le envíe su contraseña.
Las estafas más sencillas siguen aprovechando la escasa
3. A continuación, el atacante envía a la víctima
prudencia que suele tener la gente, pero también hay casos
el siguiente mensaje de texto (o uno similar):
en que los datos de los clientes salen a la luz porque el sitio
«Google ha detectado actividad inusual no
web en cuestión carece de un buen sistema de seguridad.
autorizada en su cuenta. Para impedirla,
En este último supuesto, se pueden producir fugas de datos
responda con el código que hemos enviado a
independientemente de lo segura que sea la contraseña que su dispositivo móvil».
elija el usuario.
4.  Así, la víctima se espera recibir el código para
De todos modos, quizá sean más preocupantes los restablecer la contraseña que envía Google y
ataques producidos en 2015 que recurrieron a técnicas se lo pasa al atacante.
avanzadas de ingeniería social para sortear los sistemas de
autenticación de dos factores concebidos para proteger a 5. El atacante restablece la contraseña y, cuando
los usuarios. ha conseguido lo que buscaba o ha configurado
el reenvío, comunica la nueva contraseña
temporal (de nuevo, haciéndose pasar por
Sin embargo, también hubo una estafa que aprovechó
Google) a la víctima, que no se dará cuenta de
precisamente la confianza del público en ciertas entidades:
lo que ha ocurrido.
el atacante se hizo pasar por Google en un mensaje de
texto imitando el proceso legítimo de recuperación de la
contraseña para acceder a la cuenta de correo electrónico
de la víctima sin despertar sospechas. (Más información en
la columna de la derecha).

http://www.symantec.com/connect/blogs/free-instagram-followers-compromised-accounts-phishing-sites-and-survey-scams
http://www.symantec.com/connect/blogs/australians-beware-scammers-are-impersonating-australian-taxation-office
http://www.symantec.com/connect/blogs/password-recovery-scam-tricks-users-handing-over-email-account-access

Symantec WSTR 2016 16


Secretos y mentiras Por último, el malhechor amenaza con enviar el contenido
En 2015 las estafas tradicionales siguieron al orden del día, sexual a toda la lista de contactos de la víctima a menos
pero además aparecieron amenazas a la privacidad más que pague una cantidad de dinero. Debido a la naturaleza
maliciosas. tan delicada del contenido afectado, a las víctimas les suele
costar denunciar el ataque y acaban enviando al hacker
Por ejemplo, las sextorsiones, especialmente habituales cientos de dólares, si no miles.
en Asia, consisten en usar un alias atractivo para que la
víctima acceda a enviar vídeos sexualmente explícitos. A En la misma línea, el ataque a Ashley Madison provocó
continuación, los delincuentes piden al internauta que un pico de mensajes no deseados con asuntos como
descargue una aplicación para continuar con la relación los siguientes: «¿Cómo comprobar si el ataque a Ashley
y, de este modo, consiguen los datos telefónicos y los Madison te ha afectado?» o «Ashley Madison, víctima
contactos de la víctima. de un ataque: ¿quieres saber si tu cónyuge te engaña?».
Este ataque fue inusual, pues sus repercusiones llegaron
mucho más allá de la esfera económica para afectar a las
relaciones personales y la reputación de la gente.

ESTAFAS EN LAS REDES SOCIALES, 2013–2015


Fuente: Symantec | Safe Web

100 %
90 % 2013
81 %
80 % 76 % 2014
70 %
70 % 2015
60 %
50 %
40 %
30 % 23 %
20 % 17 %

10 % 7%
2% 5% 5% 2% 1% 2%
0%
Incitación a compartir conteni-
Ofertas falsas Secuestro del botón Aplicaciones
dos dañinos de forma manual «Me gusta» falsas

http://www.symantec.com/connect/blogs/online-criminal-group-uses-android-app-sextortion
http://www.nytimes.com/2015/07/21/technology/hacker-attack-reported-on-ashley-madison-a-dating-service.html?_r=0
http://www.symantec.com/connect/blogs/scammers-quick-capitalize-ashley-madison-breach

Symantec WSTR 2016 17


Identidades engañosas Apueste por el comercio electrónico
Las redes sociales siguieron siendo un terreno fértil para los En el fin de semana de Acción de Gracias de 2015, el
delincuentes en 2015, pues estos lograron difundir estafas, número de consumidores que compraron por Internet
enlaces falsos y ataques de phishing aprovechando la superó al de quienes acudieron a las tiendas, según los
confianza que tiene la gente en sus contactos. cálculos de la National Retail Foundation (fundación
nacional de venta al detalle).
Ahora los atacantes utilizan tácticas más ingeniosas y
avanzadas y, para salirse con la suya, tienen que recurrir a Según Ecommerce Europe, la facturación global del
una ingeniería social convincente. comercio electrónico de la empresa al consumidor aumentó
un 24 % para llegar a los 1943 millones de dólares en
Hubo una estafa en concreto que llegó a crear toda una 2014, pero eso no es gran cosa en comparación con los
red de cientos de miles de cuentas de Twitter falsas, en la 6,7 billones que, según los cálculos de Frost and Sullivan,
que cada nivel reforzaba la credibilidad del nivel superior, alcanzará de aquí al año 2020 el comercio electrónico
para conseguir seguidores y retuiteos entre los usuarios entre empresas. Esta última previsión abarca todo tipo
de Twitter auténticos. En la cumbre de dicha red había de comercio electrónico, incluido el uso de sistemas de
cuentas falsas que se hacían pasar por cabeceras de prensa intercambio de datos electrónicos y de Internet.
y personajes famosos, y los delincuentes incluso llegaron a
imitar las publicaciones de las cuentas auténticas para que Incluso los gobiernos cada vez recurren más a los servicios
los tuiteos resultaran más creíbles. digitales para cuadrar las cuentas. Por ejemplo, el gobierno
británico ha revelado recientemente que en 2014 se
ahorró 1700 millones de libras esterlinas gracias a la
Para decidir quién es digno de confianza
transformación digital y tecnológica.
en las redes sociales, tenga en cuenta los
siguientes consejos:
Si bien es cierto que los certificados SSL/TLS, los distintivos
de confianza y la protección de los sitios web contribuyen
a mantener la economía online, todo este negocio podría
• Busque el correr peligro si la gente deja de fiarse de los sistemas de
símbolo azul de verificación. Antes de empezar a seguir seguridad en que se basa el sector.
a un personaje famoso o una marca, los usuarios de
Twitter deberían siempre ver si aparece el símbolo azul
de verificación, que indica que Twitter ha comprobado la
autenticidad del propietario de la cuenta en cuestión.

• No se fíe de los nuevos seguidores. Si una persona


cualquiera se suma a sus seguidores, no corresponda
automáticamente siguiéndola a ella. Antes, observe
sus publicaciones. ¿Retuitea contenido de aspecto
sospechoso? Si es así, lo más probable es que se trate de
un bot.

• A veces los números engañan. Aunque los usuarios que


empiecen a seguir su cuenta tengan a su vez miles de
seguidores, no se base en este dato para decidir si son
de fiar, pues es muy fácil falsificar estas cifras.

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/uncovering-a-persistent-diet-spam-operation-on-twitter.pdf
https://nrf.com/media/press-releases/thanksgiving-weekend-shopping-brings-big-store-and-online-crowds-according-nrf
http://www.ecommerce-europe.eu/news/2015/global-e-commerce-turnover-grew-by-24.0-to-reach-1943bn-in-2014
http://www.frost.com/sublib/display-report.do?id=MA4E-01-00-00-00&src=PR
https://gds.blog.gov.uk/2015/10/23/how-digital-and-technology-transformation-saved-1-7bn-last-year/

Symantec WSTR 2016 18


La confianza de los consumidores se tambalea «En la historia de la humanidad, nunca hasta ahora se ha
Otros ataques perpetrados en 2015 también demuestran el sometido a la gente a una extorsión a tan enorme escala».
grado de maldad y complejidad al que se puede llegar para
hacer dinero. Pero ¿por qué los delincuentes privilegian este tipo de
ataques?

La bolsa o la vida • Ante el exceso de oferta de datos robados en el mercado


El ransomware se ha difundido cada vez más en los negro y la aparición en Estados Unidos del estándar
últimos años y en 2015 muchos preveían que la tendencia EMV, que mejora la seguridad de los pagos con tarjeta,
continuase. Sin embargo, los ataques de este tipo se han se han reducido las ganancias que se pueden conseguir
diversificado, pero su volumen no ha aumentado. Ahora mediante el robo de datos de tarjetas de crédito.
los ciberdelincuentes cifran archivos almacenados en • Los fraudes con tarjetas de crédito implican la
dispositivos móviles y cualquier recurso por el que la intervención de muchas personas y la legislación al
víctima esté dispuesta a pagar. De hecho, un estudio de respecto garantiza que la pérdida económica de la
Symantec ha llegado a demostrar que también la televisión víctima sea mínima. En cambio, es muy fácil conseguir en
inteligente puede ser víctima de este tipo de ataques. el mercado negro un kit de herramientas de ransomware
para atacar a las víctimas, que con toda probabilidad
Ahora también hay ransomware que amenaza con publicar acabarán pagando. El delincuente no tendrá que gastar
los archivos de la víctima en Internet a menos que pague en los servicios de ningún intermediario y no hay ningún
una suma de dinero: se trata de una interesante y siniestra sistema que limite las pérdidas de la víctima, con lo que
novedad que con toda probabilidad está destinada a la ganancia será máxima.
generalizarse, ya que en estos casos no sirve de nada el
típico consejo de hacer copias de seguridad.

CRECIENTE
GROWING DOMINANCE OF CRYPTORANSOMWARE
DOMINIO DEL RANSOMWARE
Fuente: Symantec
Source: Symantec

Percentage of new
Porcentaje families
de nuevas of misleading
gamas apps, fake
de aplicaciones AV, locker
engañosas, ransomware
antivirus falsos,
and ransomware
crypto ransomware identified
de bloqueo betweende2005
y ransomware anddetectadas
cifrado 2015 entre 2005 y 2015

100%
100 %
90% 90 %
80% 80 %
70% 70 %
60% 60 %
50% 50 %
[ FIGURES TBC ]
40% 40 %
30% 30 %
20% 20 %
10% 10 %
0% 0%
2005 2006
2005 2007 2007
2006 2008 20082009 2009 20102010 2011
2011 2012 2013 2013 20142014
2012 2015
2015
Aplicaciones Antivirus Cryptoransomware
Misleading Apps FakeAV Lockers Cryptoransomware
Cryptoransomware
engañosas falsos de bloqueo

http://www.symantec.com/connect/blogs/how-my-tv-got-infected-ransomware-and-what-you-can-learn-it
http://www.computerworld.com/article/3002120/security/new-ransomware-program-threatens-to-publish-user-files.html
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-evolution-of-ransomware.pdf

Symantec WSTR 2016 19


Consecuencias de Dyre
Después de que la policía cerrara varias botnets financieras muy importantes, Dyre ha ocupado su lugar.

DETECCIONES DE DYRE, 2014–2015


Fuente: Symantec

35

30

25

20
Millares

15

10

0
Jun 14 Ago 14 Oct 14 Dic 14 Feb 15 Abr 15 Jun 15 Ago 15 Oct 15 Dic 15

Además de secuestrar navegadores web de uso habitual e troyano Dyre y otro malware relacionado. Anteriormente,
interceptar sesiones de banca online para robar datos, Dyre a principios de 2015, se calculaba que el número de
también consiguió instalar malware en el ordenador de la infecciones al mes superaba las 9000, mientras que en
víctima y, muchas veces, añadir el equipo en cuestión a la noviembre del mismo año no llegaba a las 600.
botnet del atacante.
El idioma y la ubicación no constituyen obstáculos
En un principio, Dyre surgió como una de las operaciones Otros ataques perpetrados en 2015 también demuestran
de fraude financiero más peligrosas de todos los tiempos, el grado de maldad y complejidad al que se puede llegar
ideada para estafar a los clientes de más de 1000 bancos y para hacer dinero. Independientemente de dónde viva y
otras empresas de todo el mundo. del idioma que hable, corre peligro de sufrir un ataque
cibernético. Por ejemplo, baste pensar en Boleto, un sistema
Sin embargo, los ciberdelincuentes que controlaban el de pago que se utiliza solo en Brasil. A pesar de lo específico
troyano Dyre sufrieron un duro golpe tras una operación de que es, este año han aparecido tres tipos de malware
seguridad rusa que tuvo lugar en noviembre. Tal como se creados en especial para atacarlo.
destaca en el blog Security Response, según la telemetría
de Symantec el grupo prácticamente ha dejado de actuar. En todo el mundo se están llevando a cabo ataques localiza-
Dyre (detectado por Symantec como Infostealer.Dyre) se dos similares, lo que demuestra que los ciberdelincuentes
difundió mediante campañas por correo electrónico y, desde hacen todo lo posible por manipular a las víctimas estén
el 18 de noviembre de 2015, no se han observado mensajes donde estén y sea cual sea su idioma.
de correo electrónico relacionados con Dyre. Poco después,
se redujo drásticamente la cantidad de detecciones del

http://www.symantec.com/connect/blogs/dyre-emerges-main-financial-trojan-threat
http://www.symantec.com/connect/blogs/dyre-operations-bank-fraud-group-grind-halt-following-takedown
http://www.symantec.com/security_response/writeup.jsp?docid=2014-061713-0826-99
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/boleto-malware.pdf

Symantec WSTR 2016 20


NÚMERO DE URL DE PHISHING EN LAS REDES SOCIALES, 2009-2015
Fuente: Safe Web

60

50

40
Miles

30

20

10

0
2010 2011 2012 2013 2014 2015

En la tabla se muestra el papel crucial que han desempeñado las redes sociales en los ataques de ingeniería social
del pasado. Durante los últimos años, estos sitios web han tomado medidas drásticas al respecto y ahora a los
ciberdelincuentes les resulta mucho más difícil atacarlos.

Con los kits de herramientas de phishing, es facilísimo llevar pedían eliminar datos de contacto, direcciones postales
a cabo una campaña en un país concreto y, a continuación, o «contenido relativo únicamente a la salud, orientación
cambiar de plantilla para atacar a otro objetivo. Muchas sexual, raza, etnia, religión, y afiliación política y sindical de
veces el idioma utilizado en dichos ataques localizados se un individuo».
traduce automáticamente mediante las plantillas y, para
un destinatario que no sea nativo, resulta suficientemente Además, este año el Tribunal de Justicia Europeo volvió
convincente. a hacer que aumentara el interés de la opinión pública
en la cuestión de la privacidad cuando declaró nulo el
Leyes de privacidad acuerdo de «puerto seguro» del año 2000. Según explicó
Monique Goyens, directora general de la Organización
«A la gente no solo le interesa quién puede atacar, sino
de Consumidores Europea, esta resolución confirma que
también quién puede filtrar información», explica Shankar
«un acuerdo que permite a las empresas estadounidenses
Somasundaram, director ejecutivo de gestión de productos
declarar que respetan las normas de protección de datos
e ingeniería en Symantec.
de la Unión Europea sin que ninguna autoridad compruebe
que eso es cierto no vale ni siquiera el papel en el que está
En mayo de 2014 el eco la resolución del Tribunal de
escrito».
Justicia Europeo sobre el «derecho al olvido» se propagó
entre quienes recopilan datos y, a finales de 2015, Google
Tal como comentó en su momento el periódico The
ya había recibido 348 085 solicitudes de eliminación de
Guardian, tal vez esto «contribuya a evitar que el gobierno
resultados de búsquedas.
estadounidense acceda a datos de usuarios en manos de la
Unión Europea» y «abra las puertas a más investigaciones,
Aunque muchos pensaban que esto solo resultaría venta-
reclamaciones y juicios por parte de los usuarios y de las
joso para quienes quisieran ocultar escándalos o evitar
autoridades encargadas de cuestiones relativas a los datos».
acusaciones, según las preguntas frecuentes de Google,
entre las solicitudes más habituales se encontraban las que

http://www.cio.com/article/3008661/google-receives-steady-stream-of-right-to-be-forgotten-requests.html#tk.rss_all
http://www.google.com/transparencyreport/removals/europeprivacy/faq/?hl=en#common_delisting_scenarios
http://www.beuc.eu/publications/beuc-pr-2015-020_historic_victory_for_europeans_personal_data_rights.pdf
http://www.theguardian.com/technology/2015/oct/06/safe-harbour-european-court-declare-invalid-data-protection

Symantec WSTR 2016 21


A medida que proliferan las fugas de datos y que aumenta la responsables de TI tienen que ser conscientes de los riesgos
parte de nuestra vida personal que tiene lugar en Internet, que corren y supervisar los síntomas de forma proactiva
es probable que en 2016 aumente el interés judicial por la con el fin de diagnosticar las enfermedades digitales antes
protección de la privacidad individual, así como la cantidad de que pongan en peligro los datos y la tranquilidad de los
de normas sobre la cuestión. clientes.

En cuanto al mundo empresarial, hay que empezar a Symantec cree firmemente en la confidencialidad y
abordar la seguridad desde el punto de vista de la formación la defiende con uñas y dientes en todo el mundo. No
y la epidemiología. Todos los empleados tienen que deberíamos resignarnos a la idea errónea de que la
colaborar para garantizar el buen estado de las tecnologías privacidad ya no existe: al contrario, se trata de algo muy
digitales, mientras que los directores informáticos y los valioso que hay que proteger con atención.

Evitemos la catástrofe cibernética


Según un informe de BofA Merrill Lynch Global, la ciberdelincuencia roba 575 000 millones de dólares al
año a la economía global y, en una hipotética catástrofe cibernética de alcance universal, en 2020 podría
llegar a llevarse un quinto del valor creado por Internet.

Nos corresponde a todos a hacer cuanto esté en nuestra mano por evitar que ocurra algo así.

En lo que se refiere a los consumidores, ha llegado el momento de abandonar las malas costumbres. Mucha
gente conoce las normas básicas para garantizar la ciberseguridad y, sin embargo, más de un tercio de los
estadounidenses que comparten contraseñas han revelado la que permite acceder a su cuenta bancaria
online. Si queremos reforzar la seguridad en Internet, es imprescindible que todo el mundo asuma su parte
de responsabilidad.

LA CIBERDELINCUENCIA TIENE
UN COSTE DE HASTA 575 000
MILLONES DE DÓLARES AL AÑO
PARA LA ECONOMÍA GLOBAL

MILLONES DE DÓLARES

http://us.norton.com/cyber-security-insights?inid=us_hho_nortoncom_clp_norton-hp-ribbon-award_nrpt

Symantec WSTR 2016 22


La víctima no es solo el dispositivo o la red,
sino también la entidad que está detrás de la red

En resumen, los ataques tan frecuentes, persistentes y avanzados contra organismos


gubernamentales y empresas de todos los tamaños constituyen una amenaza más
grave para la seguridad y la economía nacionales. El número de vulnerabilidades de día
cero ha aumentado y se sabe que se han utilizado como armas. Las campañas de spear-
phishing se han vuelto más difíciles de detectar, pues se utilizan para atacar a menos
individuos dentro de una menor cantidad de entidades previamente seleccionadas.
Ataques persistentes interesantes para los delincuentes que estos hacen todo
La importante fuga de datos que sufrió Anthem, el segundo lo posible por evitar que salgan a la luz y mantener así su
proveedor de servicios sanitarios más grande de Estados posición de ventaja. Por ejemplo, a veces los atacantes
Unidos, afectó a los historiales médicos de 78 millones diseñan malware que se activa solo en un momento
de pacientes. El ataque salió a la luz en febrero de 2015 concreto o en ciertas zonas geográficas. De este modo, no
y, según averiguó Symantec, fue perpetrado por un grupo lo descubren los expertos en seguridad que ejecuten el
llamado Black Vine que cuenta con recursos económicos software en otro lugar o a otra hora.
considerables y colabora con Topsec, una empresa de
seguridad informática con sede en China. Black Vine utiliza Como las vulnerabilidades de día cero son una fuente
malware avanzado hecho a medida para llevar a cabo de riqueza aparentemente tan difícil de conseguir, los
campañas de ciberespionaje contra distintos sectores, como delincuentes las protegen como oro en paño para poder
el aeroespacial y el de la energía. usarlas más tiempo sin que nadie las detecte.

Entre las víctimas de ciberespionaje del año 2015, también En los ataques watering hole avanzados, los sitios web
se encuentran la Casa Blanca, el Pentágono, el Bundestag afectados se activan solo cuando el visitante procede de una
alemán y la Oficina de Gestión del Personal del gobierno dirección IP en concreto. Al reducir así los daños colaterales,
estadounidense, que perdió 21, 5 millones de archivos es menos probable que salga a la luz la vulnerabilidad. Es
personales con datos confidenciales como historiales más, este sistema también dificulta la tarea de los expertos
sanitarios y financieros, registros de detenciones e incluso en seguridad que visiten el sitio web desde un lugar
huellas dactilares. diferente. Cuando el proveedor interesado revela un ataque,
con frecuencia estos sitios web infectados pasan a usar otra
Todo esto se enmarca en una creciente oleada mundial vulnerabilidad aún desconocida para seguir actuando sin
de ataques de ciberespionaje avanzados, persistentes y que nadie se dé cuenta.
dotados de importantes recursos. En el punto de mira de los
espías se encuentran los secretos de Estado, la propiedad Symantec sigue investigando el troyano Regin y analiza
intelectual empresarial (como diseños, patentes y planos) las capacidades técnicas de los atacantes que cuentan con
y, tal como se ha observado en recientes fugas de datos, la apoyo estatal. Así, se han detectado 49 nuevos módulos,
información personal. cada uno de los cuales añade nuevas funciones como el
registro de pulsaciones de teclas, el acceso a archivos y al
Las vulnerabilidades de día cero son especialmente valiosas correo electrónico, y una amplia infraestructura de control.
para los atacantes. En el pasado hemos visto cómo han Según nuestros analistas, el troyano Regin es tan avanzado
conseguido aprovecharlas para atacar un organismo y complejo que podría ser fruto de meses o incluso años de
gubernamental a través de un simple documento de Word trabajo por parte de equipos de desarrolladores dotados de
infectado enviado por correo electrónico. Es más, son tan buenos recursos.

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-black-vine-cyberespionage-group.pdf
http://edition.cnn.com/2015/04/07/politics/how-russians-hacked-the-wh/
http://www.wsj.com/articles/nsa-chief-says-cyberattack-at-pentagon-was-sophisticated-persistent-1441761541
http://ca.reuters.com/article/technologyNews/idCAKBN0OQ2GA20150610
http://www.wired.com/2015/06/opm-breach-security-privacy-debacle/
http://www.symantec.com/connect/blogs/regin-further-unravelling-mysteries-cyberespionage-threat
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf

Symantec WSTR 2016 23


En la actualidad, los ataques de spear phishing y watering La mayoría de las vulnerabilidades de día cero detectadas
hole que utilizan sitios web infectados son los sistemas en 2015 se utilizaron contra tecnologías «de toda la vida»
preferidos para llevar a cabo ataques dirigidos. De todos que sufren ataques desde hace años. A lo largo del año,
modos, a medida que una empresa añade capas de tec- los ciberdelincuentes acumularon diez vulnerabilidades
nología, se amplía también su superficie de ataque. Ahora de día cero contra Adobe Flash Player. También Microsoft
que cada vez se utilizan más sistemas en la nube y que se despertó el interés de los malhechores, si bien las 10
van imponiendo los dispositivos del Internet de las cosas, vulnerabilidades de día cero que se estaban usando contra
prevemos que durante los próximos dos años los ataques su software se distribuyeron mediante Microsoft Windows
dirigidos traten de aprovechar las vulnerabilidades de (6), Internet Explorer (2) y Microsoft Office (2). El sistema
estas tecnologías. Con toda probabilidad, se empezará por operativo Android también sufrió ataques con cuatro
atacar a los servicios en la nube especialmente vulnerables vulnerabilidades de día cero a lo largo de 2015.
a ataques como la inyección SQL. Los atacantes se saldrán
con la suya fácilmente mediante campañas de spear phishing Grupos de ataque activos en 2015
que explotarán la seguridad insuficiente y los errores Algunos de los grupos más destacados que llevaron a cabo
de configuración debidos a los usuarios, más que a los ataques dirigidos en 2015 fueron los siguientes:
proveedores de servicios en la nube. • Black Vine: grupo con sede en China que ha atacado
principalmente a entidades de los sectores aeroespacial
Para evitar ser detectadas, ahora las campañas de spear y sanitario, como Anthem y la Oficina de Administración
phishing son más numerosas pero afectan a menos de Personal (ambas estadounidenses), en busca de
individuos cada una. Es posible que muy pronto cada una propiedad intelectual e identidades.
ataque solo a un objetivo o a varios individuos concretos de • Rocket Kitten: grupo iraní con apoyo estatal que lanza
una misma empresa. Por otro lado, las campañas de spear ataques de espionaje a periodistas, activistas defensores
phishing de mayor envergadura probablemente se lleven a de los derechos humanos y científicos.
cabo con ataques watering hole, mediante sitios web infecta- • Cadelle and Chafer: grupo iraní que ha atacado princi-
dos aprovechando codiciadas vulnerabilidades de día cero. palmente aerolíneas y empresas de los sectores de la
energía y las telecomunicaciones en Oriente Medio, así
como una empresa estadounidense.
VULNERABILIDADES DE DÍA CERO • Duke y Seaduke: grupo con apoyo estatal que al parecer
Fuente: Symantec I SDAP, Wiki
actúa desde 2010 y ataca principalmente a agencias
2013 Cambio 2014 Cambio 2015 gubernamentales europeas, individuos muy destacados,
así como organizaciones de investigación privadas y de
23 +4 % 24 +125 % 54 política internacional.
• Emissary Panda: grupo chino que ataca con el fin de ro-
Diversidad en las vulnerabilidades de día cero bar propiedad intelectual a entidades de varios sectores
En 2015 se detectaron 54 vulnerabilidades de día cero, una (financiero, aeroespacial, inteligencia, telecomunica-
cifra sin precedentes que duplicaba la del año anterior. Es ciones, energía e ingeniería nuclear). Se lo conoce sobre
evidente que descubrir vulnerabilidades desconocidas y dar todo por haber aprovechado la vulnerabilidad de día
con la forma de aprovecharlas se ha convertido en una de cero CVE-2015-5119, que salió a la luz en el ataque de
las técnicas preferidas de los delincuentes más avanzados, y Hacking Team.
nada parece indicar que la tendencia vaya a cambiar. • Waterbug y Turla: grupo ruso de espionaje que lanza
ataques de spear phishing y watering hole contra emba-
jadas e instituciones gubernamentales. Se cree que lleva
Las vulnerabilidades de día cero alcanzan precios
activo desde el año 2005.
muy altos en el mercado negro. Por este motivo y • Butterfly: ataques a grandes empresas multimillonarias
por su propia naturaleza, creemos que el número de varios sectores (TI, farmacéutico y materias primas),
de vulnerabilidades de día cero detectadas no como Facebook y Apple, con el objetivo de obtener in-
refleja la magnitud real del problema. formación privilegiada para aprovecharse en el mercado
bursátil.

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-black-vine-cyberespionage-group.pdf
http://www.symantec.com/connect/blogs/iran-based-attackers-use-back-door-threats-spy-middle-eastern-targets
http://www.symantec.com/connect/blogs/forkmeiamfamous-seaduke-latest-weapon-duke-armory
https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/waterbug-attack-group.pdf
http://www.symantec.com/connect/blogs/butterfly-profiting-high-level-corporate-attacks
http://www.symantec.com/connect/blogs/turla-spying-tool-targets-governments-and-diplomats

Symantec WSTR 2016 24


Terror global, ataques locales El efecto mariposa
«Los ciberdelincuentes se están volviendo más profesio- Butterfly (literalmente, mariposa) es un grupo de hackers
nales y más osados en cuanto a las víctimas que eligen y muy bien organizados y con una excelente preparación
las cantidades de dinero que manejan», comenta Stephen que se dedican a espiar a las empresas con el objetivo de
Doherty, analista sénior de información sobre amenazas de aprovecharse en el mercado bursátil, ya sea vendiendo
Symantec. datos confidenciales o realizando ellos mismos operaciones
con información privilegiada. Los primeros ataques de este
Ahora que se acercan las elecciones presidenciales tipo que se conocen tuvieron lugar en 2013 y afectaron a
de Estados Unidos, han circulado mensajes de correo empresas tan famosas como Apple, Microsoft y Facebook.
no deseado que utilizan como cebo el tema de las De todos modos, los delincuentes suelen tomar medidas
primarias para infectar al destinatario con malware. Los estratégicas para no dejar rastro, como el uso de servidores
ciberdelincuentes que recurren al spam saben jugar con las de control virtuales cifrados. El hecho de que estos hackers
emociones y las reacciones viscerales de los destinatarios aprovechen vulnerabilidades de día cero revela un nivel
recurriendo a temas como los eventos globales, la crisis de de complejidad nunca visto hasta ahora en los ataques
los refugiados de Oriente Medio, la inmigración, la política realizados con fines comerciales.
exterior, la economía e incluso el terrorismo.

En una campaña reciente de correo no deseado llevada


a cabo en Oriente Medio y Canadá, los malhechores se
hacían pasar por agentes de policía y recomendaban a los
destinatarios que descargaran supuestas soluciones de
seguridad, que en realidad no eran más que malware. Todos
los nombres utilizados correspondían a funcionarios reales
en activo y, en muchos casos, en el asunto del mensaje
aparecía el nombre de un empleado de la empresa atacada.

Para que un ataque de este tipo resulte convincente, es


necesario investigar previamente, como hizo este grupo
antes de enviar los mensajes de phishing. Además, como no
tenían los datos de los empleados, en primer lugar enviaron
mensajes a otras personas de la empresa, como el personal
informático o de atención al cliente.

Este nivel tan avanzado de investigación y localización,


que podría exigir la intervención de cientos de personas,
se está volviendo cada vez más habitual en las estafas con
botnets. La economía sumergida no consiste solo en vender
bienes robados, sino que constituye todo un sector con
organizaciones y profesionales tan preparados como los que
cabe esperarse de las empresas legítimas. Y como ocurre en
otros muchos sectores, las economías con más futuro, como
la china, llegan pisando fuerte.

http://www.symantec.com/connect/blogs/terror-alert-spam-targets-middle-east-canada-spread-malware

Symantec WSTR 2016 25


LOS 10 SECTORES MÁS ATACADOS CON SPEAR PHISHING (2014-2015)
Fuente: Symantec I cloud

0% 10 % 20 % 30 % 40 %
2014
Fabricación 20 %
Servicios no tradicionales 20 %
Finanzas, seguros y bienes raíces 18 %
Servicios profesionales 11 %
Venta al por mayor 10 %
Transporte y servicios públicos 7%
Administración pública (gob.) 5%
Venta al detalle 3%
Minería 1%
Construcción 1%

2015
Finanzas, seguros y bienes raíces 35 %
Servicios 22 %
Fabricación 14 %
Transporte y servicios públicos 13 %
Venta al por mayor 9%
Venta al detalle 3%
Administración pública 2%
Establecimientos no clasificables 2%
Minería 1%
Construcción 1%

ATAQUES DE SPEAR PHISHING SEGÚN EL TAMAÑO DE LA


EMPRESA ATACADA (2011-2015)
Fuente: Symantec I cloud

100 %
50 % 50 % 39 % 41 % 35 %

Grandes empresas (más de 2500 empleados)


22 %
31 % 25 %
32 % 19 % Medianas empresas (251 2500 empleados)
43 %
34 %
31 % 30 % Pequeñas empresas (1- 250 empleados)
18 %

0%
2011 2012 2013 2014 2015

Symantec WSTR 2016 26


Ciberseguridad, cibersabotaje y cisnes negros La escasa visibilidad no es la solución
Si el ciberespionaje avanzado está tan extendido, resulta La forma más eficaz de protegerse del ciberespionaje
curioso que no lo esté el cibersabotaje. Lo que se necesita es, sencillamente, ser consciente del peligro. Cualquier
para infligir daños físicos es similar a lo que se usa en el empresa podría ser víctima de un ataque dirigido que
ciberespionaje, y la cantidad de potenciales victimas está recurra a técnicas de watering hole o abrevadero y spear
aumentando gracias a la proliferación de dispositivos phishing. El hecho de ser pequeña o poco conocida no
con conexión a Internet, incluidos los sistemas de control reduce su vulnerabilidad.
industrial.
Así es, pues en 2015 las pequeñas empresas sufrieron un
En su análisis de seguridad y defensa de 2015, el gobierno mayor porcentaje (43 %) de ataques de spear phishing, pero
británico resume con claridad los desafíos actuales: disminuyó su probabilidad de ser atacadas. Es decir, se
produjeron más ataques contra ese tipo de víctimas, pero se
«La gama de ciberdelincuentes que amenazan al Reino centraron en un número de empresas menor (3 %).
Unido se ha ampliado. El peligro es cada vez más
asimétrico y global. Por lo general, para defenderse de En cambio, el 35 % de los ataques de spear phishing
forma constante y fiable, se necesitan competencias fueron contra grandes empresas, y 1 de cada 2,7 (el 38 %)
avanzadas y una inversión considerable. Pero cada vez estuvieron en el punto de mira de los delincuentes al menos
más países están desarrollando, con recursos estatales, una vez. Estos datos parecen indicar que se lanzaron
capacidades avanzadas que se podrían utilizar en conflictos, campañas más masivas a una escala mucho mayor.
incluso contra la infraestructura nacional crítica y las
instituciones gubernamentales. Por otro lado, los actores Una vez reconocido el riesgo, las empresas pueden tomar
no estatales, como los terroristas y los ciberdelincuentes, medidas para protegerse: revisar sus planes de seguridad
pueden conseguir con facilidad tecnología e instrumentos y de respuesta a las incidencias, pedir consejo y ayuda si
cibernéticos y utilizarlos con fines destructivos». fuera necesario, actualizar sus defensas técnicas, implantar
programas de formación y políticas de personal eficaces, y
El uso de Stuxnet contra el programa nuclear iraní es el estar siempre al día de las novedades.
ejemplo más conocido de ataque cibernético contra una
infraestructura física. Es posible que ya se hayan llevado a
cabo con éxito más ataques que aún no han salido a la luz o
que haya más infecciones en curso por ahora inactivas. En
cualquier caso, parece improbable que la infraestructura
crítica mundial sea inmune a estas amenazas. De hecho, a
finales de 2014, una planta siderúrgica alemana fue víctima
de lo que parece un aviso de futuros ataques que podrían
ser más graves.

https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/478933/52309_Cm_9161_NSS_SD_Review_web_only.pdf
http://www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99
http://www.bbc.co.uk/news/technology-30575104
https://www.symantec.com/content/en/us/about/media/pdfs/b-istr_18_watering_hole_edits.en-us.pdf
https://www.symantec.com/content/en/us/enterprise/images/mktg/Symantec/Email/13927/WSTR_SYM_Spear_Phishing.pdf

Symantec WSTR 2016 27


Vectores de ataque
Ataques web, kits de herramientas y explotación de vulnerabilidades online
Si los servidores web están desprotegidos, también lo están los sitios web que se alojan en
ellos y las personas que los visitan. Los delincuentes aprovechan cualquier vulnerabilidad
para atacar los sitios web y hacerse con el control de sus servidores host.

Sitios web analizados que presentaban vulnerabilidades


Fonte: Symantec | Trusted Services

2015 Diferencia 2014 Diferencia 2013

78 % +2 % pts. 76 % -1 % pts. 77 %

Porcentaje de vulnerabilidades críticas

2015 Diferencia 2014 Diferencia 2013

15 % -5 % pts. 20 % +4 % pts. 16 %

Una vulnerabilidad crítica es aquella que, en caso de ser alojamiento es mucho mayor que el de un usuario domésti-
explotada, podría hacer que se ejecutara código malicioso co con una conexión de banda ancha.
sin necesidad de la interacción de un usuario, lo cual podría
desembocar en una fuga de datos y poner en peligro a los Últimamente están proliferando los kits de herramientas
internautas que visiten los sitios web afectados. de ataque automatizadas y especializadas, que buscan
sistemas de gestión de contenidos desprotegidos y otras
Como siempre, las cifras confirman que los propietarios de aplicaciones web en peligro. De este modo, ayudan a los
los sitios web no instalan las revisiones y actualizaciones en ciberdelincuentes a detectar servidores potencialmente
sus sitios web y servidores con la frecuencia que deberían. vulnerables y facilitan los ataques a sistemas Linux.

Linux en la línea de ataque


Cómo proteger el servidor
En 2015 hemos observado una oleada de uso de malware
contra Linux, el sistema operativo más habitual en los ser- • M anténgalo al día con las actualizaciones y revisiones
vidores de los sitios web, entre otros servicios de Internet necesarias.
esenciales • Utilice varias capas de seguridad, de forma que si una falla
queden otras para proteger distintas áreas del sistema.
Con frecuencia los ciberdelincuentes contaminan los • Implante sistemas de detección y prevención de
servidores web afectados con código que lleva a kits de intrusiones en la red y supervise los servicios de correo
herramientas de ataque, o bien envían mensajes de correo electrónico que se ejecutan en el servidor.
electrónico no deseados y roban nombres de usuario y con- • Utilice un buen firewall y revise periódicamente los
traseñas. Además, muchas veces utilizan dichos servidores registros de acceso para detectar actividades sospe-
web como trampolín para seguir causando estragos: por chosas.
ejemplo, mediante ataques DDoS de gran envergadura, •  Instale un software antivirus, que bloqueará el malware
aprovechando que el ancho de banda de un proveedor de que detecte.
• Haga copias de seguridad fuera de las instalaciones.

http://www.symantec.com/connect/tr/blogs/phishing-economy-how-phishing-kits-make-scams-easier-operate

Symantec WSTR 2016 28


En 2015 también se detectó ransomware utilizado contra
Linux, en concreto en ciertos archivos con extensiones Cómo reducir los riesgos que suponen los
asociadas a aplicaciones web. Además, el programa complementos
cifraba los archivos y directorios que contenían la palabra
«backup», con lo que causaba estragos en especial si la • Actualice los complementos periódicamente.
víctima no había hecho copias de seguridad fuera de las • Consulte las noticias y las listas de seguridad
instalaciones. para tener en cuenta las advertencias.
• Para reducir la superficie de ataque, instale
Complementos problemáticos solo los complementos realmente útiles.
De todos modos, los sistemas operativos no son los únicos
que ponen en peligro los servidores web. Si bien durante más útiles hasta los más ridículos, como Logout Roulette:
los últimos años los principales proveedores de sistemas «cada vez que se carga una página de administración, existe
de gestión de contenidos han mejorado sus defensas una posibilidad entre diez de que se cierre la sesión».
y han implantado las actualizaciones automáticas, sus
complementos siguen constituyendo un grave problema El problema es que ciertos complementos presentan un
para la seguridad. nivel de inseguridad sorprendente. Windows es un blanco
de ataque frecuente porque cuenta con muchos usuarios,
Se acerca el fin para Flash y lo mismo ocurre con WordPress: sus complementos son
En 2015 aumentó el número de vulnerabilidades de los posibles objetivos y los delincuentes no dejarán escapar
complementos de Adobe, lo que indica que los atacantes esta oportunidad.
están intentando explotar complementos que se utilicen no
solo en varias plataformas, sino prácticamente en todas. Infección por inyección
La mayoría de las vulnerabilidades de Adobe guardaban En 2015 regresó Team GhostShell, que reivindica el ataque
relación con Adobe Flash Player (también conocido como de una cantidad considerable de sitios web. En un informe
Shockwave Flash). reciente de este mismo año, el equipo de intervenciones de
seguridad de Symantec comenta:
Adobe Flash Player ha sufrido ataques constantemente a lo
largo de los años y en 2015 dio origen a 10 vulnerabilidades «Según las primeras impresiones, la lista de sitios web ata-
de día cero (17 %), mientras que en 2014 fueron doce cados que se ha publicado recientemente parece aleatoria,
(50 %) y en 2013, cinco (22 %). Como ofrece ganancias los delincuentes no se concentran en un país o sector en
tan suculentas, es evidente por qué a los ciberdelincuentes especial. Con toda probabilidad, el grupo elige los sitios
les gusta tanto atacar la tecnología Flash. Apple, Google web que atacar según su vulnerabilidad. Si ha mantenido su
y Mozilla han expresado su preocupación con respecto anterior modus operandi, seguramente haya infectado las
al complemento Flash, y tanto Google como Mozilla han bases de datos mediante la inyección de SQL y los scripts
anunciado recientemente que Chrome y Firefox dejarán de PHP mal configurados».
admitir Flash de forma nativa.
Una vez más, probablemente estos ataques se podrían
Desde el punto de vista de la seguridad, prevemos que haber evitado con una mejor gestión de los servidores y los
durante el próximo año paulatinamente se vaya dejando de sitios web. La inyección SQL es un método que se utiliza
usar Adobe Flash. desde hace mucho tiempo y que sigue funcionando debido
a la innecesaria debilidad de los parámetros que establecen
Explotación de complementos para servidores web los administradores para las consultas.
No solo los complementos para navegadores son vulnera-
bles y sufren ataques. Por ejemplo, baste pensar en Word- Hay que actualizar periódicamente los complementos,
Press, que hoy se utiliza en la cuarta parte de los sitios web independientemente de que sean para navegadores o para
de todo el mundo. servidores, ya que son proclives a los fallos de seguridad, y
las versiones obsoletas se deberían evitar en la medida de
Cualquiera puede crear un complemento de WordPress, con lo posible.
lo que hoy existen complementos de todo tipo, desde los

https://www.symantec.com/security_response/writeup.jsp?docid=2015-110911-5027-99
http://w3techs.com/blog/entry/wordpress-powers-25-percent-of-all-websites
https://wordpress.org/plugins/logout-roulette/
http://www.symantec.com/connect/blogs/team-ghostshell-hacking-group-back-bang

Symantec WSTR 2016 29


Kits de herramientas de ataque web
Es difícil defenderse de las vulnerabilidades nuevas y Tras el ataque que sufrió en 2015 Hacking Team, una em-
desconocidas, en especial las de día cero, para las cuales presa con sede en Italia, salieron a la luz vulnerabilidades
tal vez no existan revisiones de seguridad, y los atacantes de día cero desconocidas hasta entonces y, en cuestión de
hacen todo lo posible por aprovecharlas antes de que los horas, se integraron en kits de herramientas de ataque.
proveedores implanten las revisiones.

PRINCIPALES CINCO KITS DE HERRAMIENTAS DE ATAQUE, 2014


Fuente: Symantec

Sukura
23 % Sukura

Nuclear

Styx
Otros
50 % Nuclear
10 % Orange Kit

Blackhole

Styx
Otros
7%
Orange
Blackhole Kit 5 %
5%

CINCO KITS PRINCIPALES DE HERRAMIENTAS DE ATAQUE, 2015


Fuente: SDAP, Wiki

Angler
23 % Angler

Nuclear

Magnitude
Otros Nuclear
64 % 6%
Rig
Magnitude
2% Neutrino
Rig 4 %
Neutrino
Otros
1%

http://www.symantec.com/connect/blogs/hacking-team-woes-adds-dangers-faced-internet-using-public

Symantec WSTR 2016 30


El kit de ataque más activo en 2015 fue Angler, y Symantec primeras estafas de este tipo consistían en llamadas por
bloqueó a diario cientos de miles de ataques lanzados con parte de teleoperadores en las que estos trataban de vender
dicho kit, 19,5 millones de ataques en total. El mecanismo paquetes de asistencia técnica a los usuarios para resolver
de distribución favorito de Angler fue la publicidad problemas (en realidad inexistentes) que supuestamente
maliciosa, con cierta predilección por las vulnerabilidades había en los ordenadores de las potenciales víctimas.
de Adobe Flash. En 2015 Windows fue la víctima preferida
de Angler: en concreto, Windows 7 fue el objetivo del 64 % Con el tiempo, estas estafas han evolucionado y
de los ataques de Angler; y Windows 8.1, del 24 %. Por recientemente ha habido casos de mensajes de aviso
otro lado, en 2015 Mac OS X no parecía estar en la línea de falsos prácticamente interminables en los que se insta
combate para los atacantes que utilizaban Angler, pero es a las potenciales víctimas a llamar a un número gratuito
probable que esto cambie ahora que los ciberdelincuentes para obtener asistencia. Si llaman, responde una persona
tratan de atacar el ecosistema de Apple. aparentemente profesional que trata de convencer al
usuario para que instale un software que supuestamente
Las estafas mediante servicios de asistencia solucionará los problemas, pero en realidad se trata de
técnica recurren al kit Nuclear para difundir malware y otras aplicaciones indeseadas.
ransomware
En 2015, Symantec registró un aumento del 200 % con La última novedad ha sido el uso del kit de ataque Nuclear
respecto al año anterior en el número de estafas mediante para colocar ransomware en los equipos de las víctimas.
servicios de asistencia técnica. Los estafadores distraen al usuario mientras el ransomware
cifra los archivos del ordenador, tratando así de aumentar la
Este tipo de ataques no son nuevos, y cientos de miles probabilidad de que la víctima pague un rescate.
de personas en todo el mundo los sufren a diario. Las

ESTAFAS MEDIANTE SERVICIOS DE ASISTENCIA TÉCNICA QUE DIFUNDIERON


RANSOMWARE A TRAVÉS DEL KIT DE ATAQUE NUCLEAR

1200

1000

800
Millares

600

400

200

0
May 15 Jun 15 Jul 15 Ago 15 Sep 15 Oct 15 Nov 15

TRES PAÍSES MÁS AFECTADOS

ESTADOS CANADÁ REINO


UNIDOS UNIDO

http://www.symantec.com/connect/blogs/what-symantec-s-intrusion-prevention-system-did-you-2015

Symantec WSTR 2016 31


Si bien no era la primera vez que se usaba ransomware El peligro de los ataques DDoS
en estafas mediante servicios de asistencia técnica, en Ciertos ataques DDoS aún brindan a los delincuentes numero-
los casos más recientes se ha añadido un iframe de HTML sas oportunidades para enriquecerse, ya que permiten dañar
malicioso en el sitio web que redirigía a los internautas a un el sitio web de una empresa con el objetivo de llevar a cabo
servidor en el que se alojaba el kit de ataque Nuclear. Se de- extorsiones y chantajes. A veces, a la víctima no le queda más
scubrió que este kit aprovechaba la reciente vulnerabilidad remedio que pagar el rescate. Sin embargo, la posibilidad de
de ejecución de código remoto no especificada de Adobe rastrear el dinero pone las cosas más difíciles a los atacantes,
Flash Player (CVE-2015-7645), entre otras. Si el ataque y las tecnologías de mitigación de DDoS hacen que necesiten
salía bien, se instalaba Trojan.Cryptowall (ransomware) o un ancho de banda cada vez mayor para hacer mella en las
Trojan.Miuref.B (un troyano que roba información). víctimas. A pesar de todo, últimamente en algunos de los
ataques más graves han intervenido grupos de «hacktivistas»
Esta ha sido la primera vez que Symantec ha detectado y, a veces, personas que actúan en nombre de algún Estado.
estafas mediante servicios de asistencia técnica combina-
das con el kit de ataque Nuclear para distribuir ransomware Un ejemplo destacado es el reciente ataque a la BBC, que
y, si este sistema resulta ser eficaz, sin duda la tendencia el 31 de diciembre dejó fuera de combate durante horas el
continuará. Si bien es plausible que los estafadores de sitio web y sus correspondientes servicios, incluido iPlayer.
servicios de asistencia técnica y los atacantes que utilizan Según New World Hacking, se trata del ataque DDoS más
el kit hayan unido sus fuerzas, también puede ser que los grave de la historia. La organización anti-Estado Islámico
servidores web de los estafadores hayan sido atacados por reivindicó su responsabilidad porque el gran alcance de la
otro grupo que utilizara el kit de ataque Nuclear. En total, BBC permitía poner a prueba sus capacidades y el grupo
el año pasado Symantec bloqueó más de 100 millones de asegura que el ataque llegó a alcanzar los 602 Gbps.
estafas realizadas mediante servicios de asistencia técnica.
Los países más afectados por este tipo de estafas fueron De todos modos, los ataques DDoS también reportan benefi-
Estados Unidos, Reino Unido, Francia, Australia y Alemania. cios, como la posibilidad de chantajear a la víctima pidiendo
un rescate a cambio de interrumpir el ataque. En 2015 la
Denegación de servicio distribuida DDoS también se ha utilizado a veces como herramienta de
Los ataques de denegación de servicio distribuida (DDoS) distracción combinada con ciertos tipos de ataques dirigi-
se están volviendo más graves y duraderos a medida que dos: cuando el equipo de TI descubría que el sitio web de la
aumenta la popularidad de las botnets de alquiler y que el empresa había sido invadido, pensaba que pronto llegaría
Internet de las cosas proporciona más carne de cañón a los la exigencia de pagar un rescate, pero en realidad en ese
ejércitos de dichas redes. mismo momento se estaba llevando a cabo otro ataque más
furtivo sin que nadie se diera cuenta.

EN TOTAL, SYMANTEC BLOQUEÓ MÁS DE 100 MILLONES


DE ESTAFAS DE SOPORTE TÉCNICO EL AÑO PASADO
18 000 000
16 000 000
14 000 000
12 000 000
10 000 000
8 000 000
6 000 000
4 000 000
2 000 000
0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic 2015

http://www.symantec.com/connect/blogs/when-tech-support-scams-meet-ransomlock
http://www.symantec.com/connect/blogs/tech-support-scams-redirect-nuclear-ek-spread-ransomware
https://www.symantec.com/security_response/vulnerability.jsp?bid=77081
https://www.symantec.com/security_response/writeup.jsp?docid=2014-061923-2824-99
https://www.symantec.com/security_response/writeup.jsp?docid=2015-032402-2413-99
http://www.bbc.co.uk/news/technology-35204915
http://www.techradar.com/news/internet/attack-against-bbc-website-was-the-biggest-volley-of-ddos-fire-ever-seen--1312864
http://www.americanbanker.com/news/bank-technology/banks-lose-up-to-100khour-to-shorter-more-intense-ddos-attacks-1073966-1.html?pg=1
https://www.symantec.com/security_response/writeup.jsp?docid=2014-061923-2824-99

Symantec WSTR 2016 32


VOLUMEN DE ATAQUES DDOS DETECTADO POR
SYMANTEC GLOBAL INTELLIGENCE NETWORK, 2015
Fuente: Symantec | DeepSight

18 000
16 000
14 000
12 000
10 000
8000
6000
4000
2000
0
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC

En el gráfico se aprecia cómo aumentó la cantidad de ataques DDoS en el segundo semestre del año, antes de disminuir
drásticamente en noviembre y diciembre. En 2015 hubo más picos de actividad, conforme los ataques se volvieron más breves
y discretos.

CINCO ATAQUES PRINCIPALES DE DDOS DETECTADOS POR SYMANTEC


GLOBAL INTELLIGENCE NETWORK
Fuente: Symantec | DeepSight

Porcentaje Porcentaje
Puesto Ataques de 2015 en 2015
Ataques de 2015 en 2014

Ataque de amplificacion
1 Ataque ICMP Flood genérico 85,7 % 29,44 %
de DNS

Ataque DDoS TCP Syn Flood


2 6, 4 % Ataque CMP Flood genérico 17,20 %
genérico

Ataque DDos Pig Broadcast Ataque DDos Pig Broadcast


3 2,1 % 16,78 %
(Smurf) genérico (Smurf) genérico

Ataque DDoS Teardrop/Land Ataque DDoS Teardrop/Land


4 2,0 % 7,17 %
Denial genérico Denial genérico

Ataque DDoS RFProwl Ataque DDoS ICMP


5 0,6 % 5,71 %
genérico inaccesible genérico

La mayoría de los ataques DDoS consistieron en avalanchas de ICMP, por lo general mediante envíos masivos de solicitudes
de ping que sobrecargan el objetivo hasta impedirle gestionar el tráfico legítimo.

https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol

Symantec WSTR 2016 33


Sencillo pero eficaz En cambio, el coste para la empresa atacada es mucho más
¿Por qué son tan frecuentes los ataques DDoS? La respuesta alto, tal vez hasta mil veces mayor, según la naturaleza del
hoy es la misma que en 2002, cuando hablamos de ellos por negocio y la importancia del sitio web. En consecuencia, la
primera vez: se configuran fácilmente, resulta difícil dete- ganancia que puede conseguir un delincuente compensará
nerlos y causan estragos por naturaleza, sobre todo ahora con creces el coste del ataque.
que proliferan las botnets de alquiler.
Esta difusión de los ataques relámpago parece indicar que
Según Incapsula, un socio de Symantec, en el segundo se está recurriendo con más frecuencia a los ataques DDoS
trimestre de 2015 aproximadamente el 40 % de los ataques ofrecidos como servicio, consistentes en conceder a los
DDoS llevados a cabo en la capa de la red se realizaron con suscriptores un acceso limitado a los recursos de la botnet,
botnets de alquiler. A veces los delincuentes se toman la que se comparten con otros suscriptores. Por lo general,
molestia de infectar varios dispositivos vulnerables y crear de este modo se logra llevar a cabo unos cuantos ataques
su propia botnet para luego lanzar el ataque DDoS, pero con breves de media envergadura. Además, con este sistema los
frecuencia resulta mucho más fácil alquilar para un periodo atacantes descubren hasta qué punto es eficaz la infraes-
de tiempo determinado botnets ya preparadas. tructura de su objetivo a la hora de mitigar los ataques y
si tienen que aumentar el volumen. Según los informes
Los precios en el mercado negro no sufrieron grandes cam- de Incapsula, se han generalizado los ataques de más de
bios durante el año: el coste de un ataque DDoS oscila entre 100 Gbps y se ha mitigado un ataque de estas característi-
los 10 y los 1000 dólares al día. cas un día sí y otro, no.

DISTRIBUCIÓN DE LOS ATAQUES DDOS A NIVEL DE RED POR DURACIÓN


Imagen cedida por Incapsula, segundo trimestre de 2015.

60 % 58,1 %

50 %

40 %

30 %

20 %

9,9 %
10 % 6,7 % 6,4 % 3,1 % 3,9 % 3,5 %
1,1 % 1,2 % 0.8 % 1,8 % 1,5 % 0,7 % 1,1 %
0%
Menos de 30 min- 1-3 3-6 6-12 12-24 24-48 48-72 72-96 96-120 120-240 240-480 480-720 Más de
30 min 1hora horas horas horas horas horas horas horas horas horas horas horas 720
horas

En el gráfico se aprecia que, a finales del segundo trimestre de 2015, seguía habiendo una cantidad considerable de ataques
DDoS que duraban horas, días, semanas o incluso meses.

http://www.symantec.com/connect/articles/barbarians-gate-introduction-distributed-denial-service-attacks
https://www.incapsula.com/blog/ddos-global-threat-landscape-report-q2-2015.html
http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services

Symantec WSTR 2016 34


Como se aprecia en el siguiente gráfico, entre el segundo y
el tercer trimestre de 2015, el aumento de popularidad de
los ataques DDoS como servicio ha ido acompañado de una
reducción considerable en la duración de los ataques en la
capa de la red. Dado que lanzar un ataque DDoS es ilegal, en
ocasiones estos servicios de DDoS de alquiler se presentan
como herramientas para realizar pruebas de esfuerzo en el
servidor.

DISTRIBUCIÓN DE LOS ATAQUES DDOS A NIVEL DE RED POR DURACIÓN


Imagen cedida por Incapsula, tercer trimestre de 2015.

90 %
80 % 76,9 %
70 %
60 %
50 %
40 %
30 %
20 % 11,3 %
10 % 8,2 %
1,3 % 1,4 % 0,5 % 0,4 %
0%
Menos de 30 min - 1-3 3-6 6-12 12-24 Más de
30 min. 1 hora horas horas horas horas 24
horas

Tal como se aprecia en el gráfico, a finales del tercer trimestre prácticamente ya no se producían ataques DDoS que durasen
más de un día: no llegaban al 0,5 %.

Symantec WSTR 2016 35


Si bien los ataques cada vez duran menos porque se tiende
a preferir las ráfagas de ataques breves, su cantidad Por un lado, este dato nos recuerda que los ataques DDoS
cada vez es mayor, tal como ha observado Incapsula, que constituyen un problema general que afecta a todo el
ha registrado un increíble aumento del 138,8 % en la ecosistema de Internet. Por el otro, demuestra lo fácil que
frecuencia de los ataques a redes en el segundo semestre resulta lanzar un ataque de proporciones considerables
de 2015. a la capa de la aplicación, pues bastan unos cuantos
dispositivos infectados para generar un tráfico capaz de
Las aplicaciones web cada vez corren más peligro bloquear un sitio web de tamaño medio durante un largo
De modo similar a lo que ha ocurrido con los ataques periodo de tiempo.
realizados en las capas de la red, también los lanzados
contra aplicaciones se han vuelto más breves sin perder En consecuencia, en el cuarto trimestre de 2015 siguieron
ni un ápice de tenacidad. El mayor ataque a la capa de la siendo frecuentes los ataques repetidos en la capa de las
aplicación mitigado en el cuarto trimestre de 2015 fue aplicaciones: el 44,7 % de los objetivos fueron atacados
una ráfaga muy breve e intensa que alcanzó las 161 300 más de una vez; y el 18 %, más de cinco veces.
solicitudes por segundo.

FRECUENCIA DE LOS ATAQUES CONTRA UN OBJETIVO:


Imagen cedida por Incapsula, cuarto trimestre de 2015.

55,3 % 44,7 % 26,7 % 7,3 % 10,7 %


Ataques atacaron más 2-5ataques 6-10 ataques Más de 10
individuales de una vez veces

https://www.incapsula.com/blog/ddos-report-q4-2015.html

Symantec WSTR 2016 36


¿Qué dispositivos pueden acabar en una botnet? de circuito cerrado de televisión se utilizaron con especial
Las botnets desempeñan un papel clave en los ataques frecuencia, probablemente porque constituyen uno de los
DDoS, independientemente de que sean alquiladas o dispositivos más habituales del Internet de las cosas: en
creadas por los propios atacantes. Cuanto mayor sea su 2014 había en todo el mundo 245 millones de cámaras de
tamaño, más solicitudes se podrán enviar al mismo tiempo y videovigilancia operativas instaladas profesionalmente.
más daños sufrirá la víctima.
Es probable que en el futuro los delincuentes utilicen
Pero los ordenadores infectados no son los únicos que cada vez más dispositivos vulnerables del Internet de las
ofrecen a los delincuentes un ejército de robots. En octubre cosas para lanzar ataques DDoS de gran alcance. Es cierto
se utilizó malware contra una serie de servidores MySQL, que existen soluciones para defenderse de los ataques
que ofrecen un ancho de banda mucho mayor que los DDoS, pero las empresas también se encuentran con
objetivos convencionales, lo que permite llevar a cabo nuevas dificultades a la hora de garantizar la seguridad en
ataques DDoS contra otros sitios web. Este método no es dispositivos que no son tradicionales, algo imprescindible si
nuevo, pero demuestra que los delincuentes van a seguir quieren evitar que se conviertan en parte del problema.
creando botnets cada vez más grandes y de mejor calidad.
Tal vez sea aún más preocupante el hecho de que, sin
Otro fenómeno observado en el año 2015 fue el aumento los debidos sistemas de seguridad, será aún más difícil
en el uso del Internet de las cosas (o IoT, por sus siglas en descubrir que una impresora, frigorífico, termostato o
inglés) para fortalecer las botnets. En concreto, las cámaras tostadora ha acabado en una botnet global tóxica.

SIN LOS DEBIDOS SISTEMAS DE


SEGURIDAD, SERÁ AÚN MÁS
DIFÍCIL DESCUBRIR QUE UNA
IMPRESORA, FRIGORÍFICO,
TERMOSTATO O TOSTADORA HA
ACABADO EN UNA BOTNET
GLOBAL TÓXICA.

http://www.symantec.com/connect/blogs/mysql-servers-hijacked-malware-perform-ddos-attacks
https://www.incapsula.com/blog/cctv-ddos-botnet-back-yard.html
https://technology.ihs.com/532501/245-million-video-surveillance-cameras-installed-globally-in-2014
http://www.imperva.com/Products/DDosProtection

Symantec WSTR 2016 37


Publicidad dañina
En la parte central de 2015, prácticamente todos los Además, gracias al uso de cookies, los creadores de malware
segmentos de Internet que se financian con publicidad se pueden adaptar su código malicioso o redireccionamientos
han visto afectados por cuentas de publicidad dañina. Una para atacar prácticamente al subconjunto de usuarios que
posible explicación es que la publicidad dañina permite in- quieran, ya sea por ámbito geográfico, hora del día, empre-
fectar a los visitantes de un sitio web con más facilidad que sa, intereses o actividad reciente en Internet.
el envío masivo de enlaces a sitios web infectados. Para un
delincuente resulta mucho más fácil intentar atacar un sitio Como se sabe, por desgracia la publicidad dañina es difícil
web famoso o colocar publicidad dañina en sitios web con de detectar y los delincuentes cada vez son más astutos,
mucho tráfico, porque no necesitan tener en cuenta todos hasta el punto de que, después de una o dos horas, eliminan
los complejos matices de la ingeniería social y «los malos» el código malicioso de los anuncios, que se vuelve casi invi­
se ahorran un paso más. sible. Como es tan eficaz y difícil de analizar, «es previsible
que el uso de la publicidad dañina siga aumentando. En
Las empresas de publicidad no suelen pedir mucha consecuencia, es posible que la mayor demanda de herra-
información a quienes envían anuncios, con lo que a los mientas de bloqueo de anuncios contribuya a reducir los
delincuentes les resulta fácil hacerse pasar por empresas efectos negativos de la publicidad dañina».
legítimas y cargar anuncios dañinos, que podrán aparecer
en numerosos sitios web.

SITIOS WEB EXPLOTADOS CON MÁS FRECUENCIA, 2014-2015


Fuente: Symantec | SDAP, Safe Web, Rulespace

Categorías más Categorías más


Puesto Porcentaje Porcentaje
explotadas en 2015 explotadas en 2014

1 Tecnología 23,2 % Tecnología 21,5 %

2 Negocios 8,1 % Alojamiento web 7,3 %

3 Búsquedas 7,5 % Blogs 7,1 %

4 Blogs 7,0 % Negocios 6,0 %

5 Dínamicas 6,4 % Anonimizador 5,0 %

6 Educativas 4.0 % Entretenimiento 2,6 %

7 Parking de dominios 3,2 % Compras 2,5 %

8 Entretenimiento 2,6 % Ilegal 2,4 %

9 Compras 2,4 % Parking de dominios 2.2 %

10 Ilegal 2,1 % Comunidad virtual 1.8 %

En 2015, la mayoría del contenido malicioso y de la publicidad dañina afectó a sitios web relacionados con tecnologías y
negocios.

http://www.symantec.com/connect/blogs/malvertising-campaign-targets-brazilian-users

Symantec WSTR 2016 38


En el cliente
Smartphones y otros dispositivos móviles
En pocas palabras, los smartphones cada vez son un objetivo Además, las tabletas y los teléfonos de alta gama cuentan
más atractivo para los ciberdelincuentes. En consecuencia, con procesadores potentes y, gracias a la red 4G, disponen
estos están invirtiendo en ataques más avanzados que sean de conectividad de banda ancha. También contienen datos
más eficaces a la hora de robar datos personales valiosos y personales muy valiosos. Por ejemplo, en 2015 llegó al mer-
extorsionar a las víctimas. Aunque los usuarios de Android cado Apple Pay, y pronto aparecerán otros sistemas de pago
son el principal objetivo, en 2015 también hubo ataques móviles del mismo tipo. Todos estos factores hacen que se
contra dispositivos Apple, y los dispositivos iOS empezaron trate de dispositivos muy atractivos para los delincuentes.
a caer en las redes de los delincuentes aunque no hubieran
sido objeto de jailbreak (proceso que modifica el sistema Amenazas transversales
operativo para permitir la instalación de aplicaciones no Muchas tiendas de aplicaciones permiten a los usuarios
autorizadas por el fabricante). navegar, comprar aplicaciones e instalarlas a distancia
desde su equipo de sobremesa, lo que brinda a los delin-
Un teléfono por persona cuentes una oportunidad de oro. Por ejemplo, con Google
Play, los clientes pueden navegar desde su ordenador con
Según el seguimiento realizado por IDC de las ventas mun-
normalidad e instalar las aplicaciones directamente en el
diales de teléfonos móviles por trimestre, «en 2015 se com-
teléfono. Recientemente ha habido casos de malware en
praron más de 1400 millones de smartphones en el mundo,
Windows que han aprovechado este sistema: una vez infec-
lo que supone un aumento del 10 % con respecto al año
tado el equipo de sobremesa, se han robado las cookies del
anterior, cuando se vendieron 1300 millones» (27 de enero
navegador para sesiones de Google Play, que prácticamente
de 2016). Cinco de cada seis teléfonos nuevos funcionan
son las credenciales de los usuarios, con lo que permiten a
con Android, y uno de cada siete utiliza el sistema opera-
los ciberdelincuentes hacerse pasar por el usuario para ins-
tivo iOS de Apple (IDC, cuotas de mercado de los sistemas
talar aplicaciones a distancia en los teléfonos y las tabletas
operativos de los smartphones, segundo trimestre de 2015).
de las víctimas sin que estas lo sepan ni lo autoricen.
Según el fabricante de móviles Ericsson, a finales del año
2020 el número de smartphones registrados podría llegar a
los 6400 millones, lo que equivale a casi uno por persona.

ANÁLISIS DE APLICACIONES DE SYMANTEC NORTON MOBILE INSIGHT


Fuente: Symantec | SDAP

2015 2014 2013

Total de aplicaciones analizadas 10,8 millones 6,3 millones 6,1 millones

Total de aplicaciones clasificadas


3,3 millones 1 millón 0,7 millones
como malware
Total de aplicaciones clasificadas
3 millones 2,3 millones 2,2 millones
como grayware
Total de grayware clasificado
2,3 millones 1,3 millones 1,2 millones
como madware
Programas y archivos creados para causar daños, como virus, gusanos y troyanos.
Definición de malware

Programas que no contienen virus y no son claramente maliciosos pero pueden


resultar molestos o incluso dañinos para el usuario [por ejemplo, herramientas
Definición de grayware de ataque, herramientas de acceso (accessware), programas espía (spyware),
publicidad no deseada (adware), marcadores y programas de broma].

Técnicas agresivas para colocar publicidad en el calendario y los álbumes


Definición de madware fotográficos de un dispositivo móvil y para insertar mensajes en la barra de noti-
ficación. El madware puede llegar incluso a sustituir un tono por un anuncio.

http://www.idc.com/getdoc.jsp?containerId=prUS40980416
http://www.idc.com/prodserv/smartphone-os-market-share.jsp
http://www.ericsson.com/mobility-report
https://www.census.gov/population/international/data/idb/worldpopgraph.php

Symantec WSTR 2016 39


TOTAL DE FAMILIAS DE MALWARE DE MÓVILES ANDROID 2011–2015
Fuente: Symantec

350

300 277 295

250 231
200
174
150

100
71
50

0
2011 2012 2013 2014 2015

La cantidad de tipos de malware utilizados contra Android en 2015 aumentó un 6 %, mientras que el año anterior el
crecimiento había sido del 20 %.

TOTAL DE MALWARE DE MÓVILES ANDROID, VARIANTES, 2011 – 2015,


Fuente: Symantec

16 000

14 000 13 783

12 000
9839
10 000
7612
8 000

6 000
4350
4 000

2 000
567
0
2011 2012 2013 2014 2015

Por otro lado, el volumen de variantes de Android aumentó un 40 % en 2015, mientras que el año anterior había crecido
un 29 %.

Symantec WSTR 2016 40


Durante los últimos tres años, no ha dejado de aumentar En 2012, IOS.Finfish se convirtió en el primer caso de
el número de vulnerabilidades de los sistemas móviles. A aplicación iOS maliciosa detectada en el Apple Store.
diferencia de lo que ocurre con los dispositivos Android, las Finfish permitía robar datos contenidos en el dispositivo
vulnerabilidades de iOS han sido clave para acceder a los atacado. En 2014 apareció OSX.Wirelurker, que atacaba
teléfonos con iOS, en especial a los que se han sometido aprovechando las conexiones USB a un equipo Mac o PC,
a jailbreaking, proceso que permite a un usuario instalar para luego instalar aplicaciones en dispositivos iOS que no
aplicaciones no autorizadas en el Apple Store, eludiendo el se hubieran sometido a jailbreaking.
sistema de seguridad de iOS. En cambio, resulta mucho más
difícil atacar un dispositivo en el que no se haya practicado Sin embargo, en 2015 se descubrió la posibilidad de
jailbreaking, pues en ese caso la aplicación que se quiera utilizar XcodeGhost y YiSpecter contra dispositivos iOS
instalar se tendrá que descargar del App Store. Los procesos sin necesidad de que el sistema atacado presentara
de control de Apple son conocidos por su rigor, motivo por vulnerabilidades ni se hubiera sometido a jailbreaking.
el que la cantidad de software malicioso utilizado contra
iOS es mucho menor que la del malware para Android.

VULNERABILIDADES DE MÓVILES, POR SISTEMAS OPERATIVOS, 2013–2015


Fuente: Symantec | DeepSight

100 %

90 %
84,0 % 83,5 %
82,0 %
80 %

70 %

60 %

50 %

40 %

30 %

20 % 16,3 %
13,0 % 11,0 %
10 %
4,0 %
0% 1,0 % 0,0 % 0,0 % 1,0 % 0,2 %
iOS Android BlackBerry OS Teléfonos
Windows

Durante los últimos años, la mayor parte de las vulnerabilidades detectadas en sistemas móviles se han encontrado en la
plataforma iOS, y ha habido un gran interés por realizar jailbreaking en los dispositivos o instalar malware.

http://www.symantec.com/security_response/writeup.jsp?docid=2012-083015-4511-99&tabid=2
https://www.symantec.com/security_response/writeup.jsp?docid=2014-110618-0523-99

Symantec WSTR 2016 41


Los ataques a dispositivos Android se han vuelto más furtivos
El malware usado contra Android cada vez es más difícil de El ransomware llega a los dispositivos
detectar. Por ejemplo, los creadores de malware empezaron móviles
a camuflar el código para eludir el software de seguridad
basado en firmas antes de lanzar sus ataques y actualmente
existe malware que comprueba si se está ejecutando en
teléfonos auténticos o en el tipo de emuladores que utilicen
los expertos en seguridad.

Los usuarios de Android, víctimas del phishing y el


ransomware
Además de los trucos de siempre como vender aplicaciones
falsas que no son lo que prometen, ahora los atacantes recu-
Imagínese la frustración de un usuario que, al
rren a técnicas más avanzadas para sacar dinero a sus vícti-
descargar una fantástica aplicación nueva para el
mas. Por ejemplo, los expertos de Symantec han descubierto
teléfono, se encuentra el dispositivo bloqueado y
un nuevo troyano utilizado para lanzar ataques de phishing
un aviso del FBI en la página de inicio. Lo único que
en Android que muestra una página de inicio de sesión falsa
puede hacer es pagar un rescate y esperar que los
superpuesta a las aplicaciones de banca online legítimas,
atacantes desbloqueen el teléfono o despedirse para
para conseguir así que los usuarios les revelen sus creden-
siempre de sus fotografías, contactos y recuerdos.
ciales bancarias. Asimismo, el ransomware para Android más
reciente imita el estilo de Google para parecer más legítimo e
intimidatorio al mostrar falsos avisos del FBI en las pantallas los ciberdelincuentes, en parte porque sus propietarios dis-
de bloqueo. Otra novedad reciente es el uso de ransomware ponen (por término medio) de mayores ingresos. Tanto las
para cifrar archivos (por ejemplo, fotografías), en lugar de empresas como los particulares deberían abandonar la idea
simplemente para cambiar el PIN de acceso al teléfono. de que los dispositivos Apple son inmunes a los ataques.

Ahora los usuarios de Apple iOS corren más riesgo que nunca Protección de los dispositivos móviles
Gracias al rigor con el que Apple controla su sistema Recomendamos tanto a los particulares como a las empre-
operativo y su tienda de aplicaciones, las amenazas contra sas que traten los dispositivos móviles como lo que son:
los iPhones y iPads han sido poco frecuentes y de alcance potentes ordenadores de pequeñas dimensiones. Para prote-
limitado, pero en 2015 la situación cambió: gerlos como les corresponde, tome las siguientes medidas:
• Controle el acceso, incluso con tecnología biométrica
• En 2015 se detectaron nueve gamas nuevas de amena-
cuando sea posible.
zas para iOS, mientras que hasta entonces solo se
• Adopte un sistema para evitar las pérdidas de datos (por
conocían cuatro en total.
ejemplo, el cifrado en el dispositivo).
• El software para desarrolladores de contrabando deno-
• Haga copias de seguridad del dispositivo de forma
minado XcodeGhost infectó 4000 aplicaciones.
automatizada.
• El malware YiSpecter eludió la tienda de aplicaciones gra-
• Implante un sistema que permita encontrar el dispositivo
cias al marco de distribución de aplicaciones empresarial.
y borrar sus datos a distancia, lo cual resultará muy útil
• Los expertos en seguridad encontraron Youmi incrustado en caso de extravío.
en 256 aplicaciones iOS. Se trata de un software utiliza- • Actualice el software periódicamente. Por ejemplo, la
do para mostrar anuncios publicitarios, pero también
última versión de Android, lanzada en octubre con el
envía datos personales a una ubicación remota sin el
nombre en clave de Marshmallow (versión 6.0), incluye
consentimiento de los usuarios.
una serie de funciones diseñadas especialmente para de-
• Las vulnerabilidades detectadas en AirDrop, el siste-
tener a los atacantes. Según Statista, en octubre de 2015
ma inalámbrico de transferencia de archivos de Apple,
la versión de Android más difundida seguía siendo KitKat
podrían permitir a un atacante instalar malware en un
(la 4.4), utilizada en un 38,9 % de los casos, mientras
dispositivo Apple.
que un 15,6 % de los dispositivos Android funcionaban
Conforme aumenta la cantidad de iPads y iPhones que
con Lollipop (versión 5.0).
vende Apple, probablemente interesarán cada vez más a
http://www.symantec.com/connect/blogs/android-banking-trojan-delivers-customized-phishing-pages-straight-cloud
http://www.symantec.com/connect/blogs/android-ransomware-uses-material-design-scare-users-paying-ransom
http://www.symantec.com/security_response/landing/azlisting.jsp?azid=I
http://www.symantec.com/connect/tr/blogs/new-xcodeghost-malware-variant-discovered
http://www.bbc.co.uk/news/technology-34338362
http://www.symantec.com/connect/blogs/yispecter-threat-shows-ios-now-firmly-attackers-agenda
http://www.symantec.com/connect/blogs/ad-library-behind-pulled-ios-apps-also-used-android-development
http://www.symantec.com/connect/blogs/airdrop-vulnerability-poses-threat-iphone-and-mac-users
http://www.statista.com/statistics/271774/share-of-android-platforms-on-mobile-devices-with-android-os/

Symantec WSTR 2016 42


• No descargue aplicaciones en sitios web desconocidos, dispositivos, también se espera que, si toman las medidas
instálelas solo desde fuentes de confianza y no recurra al preventivas adecuadas y siguen invirtiendo en seguridad,
jailbreaking. los usuarios gocen de un buen nivel de protección.
• Preste especial atención a los permisos que solicita una
aplicación. Amenazas por correo electrónico y otros siste-
• Actualice las aplicaciones con la mayor frecuencia posi- mas de comunicación
ble y, si detecta algo sospechoso, elimínela y espere a Los sistemas informáticos (ordenadores y redes) siguen
que salga una nueva versión. siendo víctimas de un malware que evoluciona con rapidez.
• Si sospecha que su cuenta ha sufrido un ataque, cambie El correo electrónico sigue siendo el medio preferido de los
la ID de Apple o la contraseña de Google Play. Este ciberdelincuentes y la cantidad de mensajes que se envían
consejo también se refiere a la protección de las cre- no deja de aumentar. Al mismo tiempo, el phishing y el spam
denciales para cualquier tienda de aplicaciones de otros están disminuyendo, aunque más de la mitad de los mensa-
fabricantes. jes que se reciben son no deseados. El número de mensajes
• Tenga mucho cuidado si recibe notificaciones o mensa- de correo electrónico maliciosos ha aumentado desde el año
jes de correo electrónico sospechosos que le pidan sus 2014 y estos siguen constituyendo un sistema eficaz para los
credenciales o cualquier tipo de datos de identificación ciberdelincuentes, aunque el spam farmacéutico no lo sea.
personal.
• Hasta que se aplique una revisión, sea prudente a la hora Ataques por correo electrónico
de acceder mediante el navegador móvil a archivos de El correo electrónico sigue dominando la comunicación digi-
vídeo o audio no solicitados. tal, al tiempo que aumenta la popularidad de las tecnologías
• Si utiliza Android, instale las actualizaciones de seguri- de mensajería instantánea, tanto para usos empresariales
dad en cuanto se las ofrezca su operador o el fabricante como de consumo. Según los cálculos de Symantec, en 2015
de su dispositivo. se enviaron aproximadamente 190 000 millones de mensa-
• Existen más soluciones de seguridad para sistemas jes de correo electrónico al día, una cifra que prevemos que
móviles que contribuyen a defenderse del software aumente en un 4 % de aquí a finales de 2016. Por término
malicioso, y toda empresa debería plantearse implantar medio, cada usuario empresarial envió y recibió 42 mensa-
herramientas de gestión de la movilidad que ayuden jes de correo electrónico al día, y cada vez son más los indi-
a proteger y controlar los dispositivos móviles de sus viduos que leen el correo en dispositivos móviles. Para los
empleados. ciberdelincuentes que quieran contactar electrónicamente
al mayor número posible de personas, este sigue siendo el
¿Qué nos depara el futuro? mejor sistema.
Según nuestras previsiones, las amenazas a dispositivos
móviles seguirán proliferando en 2016. Tal vez pronto se No es de extrañar que los ciberdelincuentes sigan utilizán-
vendan en el mercado negro kits de intrusión para teléfonos dolo con tanta frecuencia para enviar mensajes no desea-
similares a los que se utilizan para atacar ordenadores. dos, lanzar ataques de phishing y transmitir malware. Sin
embargo, en 2015 disminuyeron las amenazas por correo
Al mismo tiempo, Apple y Google están haciendo todo lo electrónico, limitándose al 1 % del correo no deseado.
posible por proteger sus sistemas operativos y sus ecosiste- Symantec cuenta con análisis más detallados sobre el mal-
mas en general. En concreto, prevemos que mejoren tanto ware y el phishing, pues dado que estas amenazas tienen
las técnicas utilizadas para validar y firmar las aplicaciones consecuencias dañinas que pueden llegar a ser considera-
como la forma de distribuirlas. Los usuarios tendrán que bles, resulta útil conocerlas mejor.
acostumbrarse a que las aplicaciones y el sistema operativo
de sus teléfonos se actualicen con frecuencia, automática- Symantec analiza una parte considerable del correo elec-
mente de forma predeterminada, y asumirán que los dispo- trónico empresarial que se envía en el mundo, con lo que
sitivos móviles necesitan software de seguridad. disponemos de información privilegiada sobre este medio y
sobre las amenazas que supone para la seguridad. Muchos
Tal vez esto sea un indicio de avance más que un motivo de de los mensajes de correo electrónico empresariales nunca
alarma: si los expertos en seguridad, los desarrolladores salen de la empresa, mientras que aproximadamente tres
de sistemas operativos y los creadores de aplicaciones cuartas partes del tráfico de correo electrónico exterior son
detectan y resuelven más problemas, es porque prestan mensajes entrantes, más de la mitad de ellos no deseados.
más atención a la seguridad móvil. Aunque se prevé que
durante el próximo año aumenten los ataques contra estos

https://support.apple.com/en-us/HT201355/
https://support.google.com/accounts/answer/41078?hl=en

Symantec WSTR 2016 43


Spam ingeniería social para lograr que el destinatario abra un archi-
En 2015 más de la mitad de los mensajes de correo electró- vo adjunto o haga clic en un enlace. Los adjuntos pueden ser
nico empresariales recibidos eran no deseados, a pesar de facturas falsas, documentos de trabajo u otro tipo de archi-
que durante los últimos años la cantidad de spam ha ido dis- vos y, por lo general, es necesario que el software utilizado
minuyendo paulatinamente y, de hecho, en 2015 llegó al nivel para abrirlos presente alguna vulnerabilidad sin resolver.
más bajo registrado desde el año 2003. De todos modos, el De forma similar, los enlaces maliciosos dirigen al usuario a
problema del spam sigue ahí: simplemente, se envía por otros un sitio web infectado mediante un kit de herramientas de
canales, como las redes sociales y la mensajería instantánea, ataque para instalar algún tipo de malware en su equipo.
dos de los tipos de aplicaciones más difundidas en los dispo-
sitivos móviles. Así, al aprovechar estos sistemas además del Las amenazas como Dridex recurren exclusivamente a los
correo electrónico, los atacantes perfeccionan sus tácticas. ataques mediante correo electrónico no deseado y mues-
tran nombres de empresas reales tanto en la dirección del
Phishing remitente como en el cuerpo del mensaje. La inmensa ma-
Con el tiempo, gracias a la evolución del mercado de la ciber- yoría del spam de Dridex se camufla en forma de mensaje
delincuencia, las campañas de phishing se han simplificado con contenido financiero, como facturas, recibos y pedidos.
mucho para los atacantes. Ahora estos colaboran entre sí: al- Estos mensajes llevan adjuntos archivos de Word o Excel
gunos se especializan en kits de phishing, mientras que otros maliciosos, con una carga útil que instala el malware propia-
los venden a quien quiera llevar a cabo ataques de este tipo. mente dicho con el fin de robar datos de banca online.

Por lo general, estos kits se venden a un precio de entre 2 y El grupo de ciberdelincuentes responsables de este ataque
10 USD, y no se necesitan grandes competencias técnicas en concreto ha utilizado todo tipo de spam y de vectores
para utilizarlos ni para personalizar sus páginas web según de difusión de malware: desde simples archivos adjuntos
las necesidades particulares de cada uno. A continuación, maliciosos hasta enlaces en el cuerpo del mensaje que
los estafadores pueden utilizar los datos robados con estos llevan a la página de entrada de un kit de ataque, pasando
ataques para sus propios propósitos o bien venderlos en el por archivos PDF dañinos y macros.
mercado negro.
La propagación de malware por correo electrónico no se ha
Propagación de malware por correo electrónico reducido como el spam general y, dado su volumen relativa-
mente bajo, es más proclive a las fluctuaciones. Se producen
Como ocurre con el phishing, cuando se distribuye malware
picos cuando se llevan a cabo campañas de gran envergadura.
por correo electrónico, se necesitan ciertos conocimientos de

TASA GLOBAL DE SPAM, 2013–2015


Fuente: Symantec | Brightmail

100 %
90 %
80 %
70 %
60 %
50 %
40 %
30 %
20 %
10 %
0%
E 2013 M M J S N E 2014 M M J S N E 2015 M M J S N

No es de extraañar que siga siendo uno de los métodos preferidos de los cibercriminales para enviar spam, phishing y
malware. Sin embargo, en 2015 estas tres técnicas declinaron.
http://www.symantec.com/connect/blogs/phishing-economy-how-phishing-kits-make-scams-easier-operate
http://www.symantec.com/connect/blogs/dridex-and-how-overcome-it
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/dridex-financial-trojan.pdf

Symantec WSTR 2016 44


TASA DE PHISHING, 2013–2015
Fuente: Symantec | .cloud

-200 E 2013 M M J S N E 2014 M M J S N E 2015 M M J S N

0
200
400
600
800
1000
1 de cada

1200
1400
1600
1800
2000
2200
2400
2600
2800
3000

PROPORCIÓN DE TRÁFICO DE CORREO ELECTRÓNICO EN EL QUE SE ENCONTRÓ


UN VIRUS, 2013–2015
Source: Symantec | .cloud

E 2013 M M J S N E2014 M M J S N E2015 M M J S N

50

100
1 de cada

150

200

250

300

350

400

Symantec WSTR 2016 45


El cifrado del correo electrónico La clave está en no bajar la guardia nunca. En el ámbito
Resulta muy útil cifrar el correo electrónico, porque de este personal, esto significa:
modo se protege la confidencialidad de los mensajes y se • No abrir mensajes de correo electrónico procedentes de
facilita la autenticación de los emisores. Existen vulnerabi- emisores desconocidos
lidades en la tecnología subyacente (como se aprecia en los • Buscar siempre el símbolo del candado y comprobar
datos expuestos), pero parte del problema de seguridad se el certificado SSL/TLS antes de escribir información
debe a que no se utiliza de forma generalizada. confidencial en un sitio web
• No utilizar redes desprotegidas para acceder a datos
Aunque los sistemas de correo electrónico en línea (como confidenciales
Outlook.com, de Microsoft, y Google Mail) cifran los datos en
los clientes y casi todos los sistemas de correo electrónico En el ámbito empresarial, hay que hacer lo siguiente:
dan prioridad a la transmisión cifrada, todavía queda una • Implantar software de detección y prevención de las
sorprendente cantidad de correo electrónico que se envía intrusiones
mediante transferencias SMTP sin cifrar. Por ejemplo, según • Saber qué información valiosa posee la empresa y
datos de Google, en torno al 40 % de los mensajes entrantes utilizar tecnología de prevención de pérdidas de datos
del año pasado no estaban cifrados. • Controlar dónde están los datos y quién tiene acceso a
ellos
Existen herramientas eficaces para cifrar el correo electróni- • Contar con un plan de respuesta a las incidencias para
co en los equipos de escritorio y en las pasarelas (por ejem- cuando se detecte un ataque
plo, las de Symantec), pero las empresas tienen que aprender
a utilizar mejor la tecnología disponible para proteger el ¿Qué nos depara el futuro?
correo electrónico tanto durante las transferencias como una Tras tres años de reducción constante del phishing,
vez recibido. prevemos que la cantidad de ataques de este tipo se
mantenga en el nivel actual o incluso siga bajando. Ahora
Ataques que eluden el cifrado los ataques de phishing son más dirigidos y menos masivos.
Hemos observado una serie de ataques y vulnerabilidades en Además, en muchos casos ya se ha empezado a utilizar
el cifrado subyacente utilizado para proteger las transmisiones las redes sociales, lo que contribuye a la disminución del
por correo electrónico. Por ejemplo, el ataque Logjam aprove- número de mensajes de correo electrónico. De todos modos,
cha un defecto del mecanismo de intercambio de claves con en ciertas partes del mundo los ataques de phishing por
que inicia cualquier intercambio cifrado. correo electrónico son más frecuentes que en otras: así, la
disminución ha sido más acusada en numerosos países de
Con la herramienta SSL Toolbox de Symantec, nuestros habla inglesa, en América del Norte y en ciertas zonas de la
clientes pueden analizar sus dominios para comprobar la Europa Occidental.
presencia de Logjam y otras importantes vulnerabilidades.
Este recurso gratuito permite detectar problemas importantes Continuará la tendencia de hacer cada vez más cosas
como POODLE o Heartbleed, así como errores que pueda haber online (pagar facturas, pedir citas médicas, solicitar plaza
en la instalación de certificados SSL/TLS. en la Universidad, gestionar cuentas de programas de
fidelización, contratar un seguro, etc.), lo cual proporciona
Consejos para garantizar la seguridad al usar el correo un terreno jugoso para el phishing. Además, como el acceso
electrónico a Internet y las transacciones electrónicas cada vez son más
Aunque muchos particulares y empresas consideran que no habituales en los países en vías de desarrollo, incluso es
son un objetivo especialmente interesante para los ciberde- posible que en estas zonas aumente la cantidad de ataques
lincuentes, tal vez se equivoquen. de este tipo.

http://www.google.com/transparencyreport/saferemail/
http://www.symantec.com/en/uk/desktop-email-encryption/
http://www.symantec.com/en/uk/gateway-email-encryption/
http://www.symantec.com/connect/blogs/logjam-latest-security-flaw-affect-secure-communication-protocols
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
http://www.symantec.com/connect/blogs/when-defenses-fail-case-incident-response

Symantec WSTR 2016 46


Los ordenadores, la informática en la nube y la En general, la ciberseguridad consiste en proteger los
infraestructura de TI pilares de las TI: los ordenadores, los servidores y las redes.
Los sistemas informáticos (ordenadores y redes) siguen El problema es que el malware está en todas partes. En
siendo víctimas de un malware que evoluciona con rapidez. 2015, han sufrido ataques una mayor cantidad de sistemas
Los sistemas Linux y Mac OS X cada vez están más ame- diversos, como Linux, Mac, equipos virtualizados y sistemas
nazados por el malware: no hay ningún sistema operativo en la nube. Cada año aumenta el volumen de datos que se
que sea inmune automáticamente y, de hecho, incluso los gestionan en la nube, para fines asociados a la gestión de
sistemas virtualizados y alojados en la nube son vulnera- las relaciones con los clientes, los servicios de facturación,
bles. Ahora el malware consigue detectar entornos virtua- las redes sociales, el correo electrónico móvil y un largo
lizados e infectarlos. etcétera.

La ciberseguridad afecta a todo el mundo. Las empresas Una de las formas de atacar un sistema consiste en
tienen que proteger sus equipos y su infraestructura de TI aprovechar las vulnerabilidades que presenta, y son pocos
para impedir los robos de datos, los fraudes y los ataques los que carecen de ellas. Estas vulnerabilidades, un aspecto
con malware. Asimismo, tanto las empresas como los muy importante de la ciberseguridad, se encuentran tanto
consumidores deberían tener en cuenta las amenazas que en los sistemas operativos como en las aplicaciones que se
los acechan: los ciberdelincuentes podrían cifrar sus datos ejecutan en ellos. Si no se resuelven, dejan la pista libre a
y exigir el pago de un rescate para descifrarlos, robarles la todo el que quiera atacar un sistema, que podrá aprovechar-
identidad o usar sus equipos como trampolín para atacar a las y utilizarlas con fines maliciosos. Cada año los expertos
otros objetivos. descubren nuevas vulnerabilidades de distintos tipos: las
más codiciadas son las de día cero, es decir, aquellas para
las que todavía no existe una revisión de seguridad.

NÚMERO TOTAL DE VULNERABILIDADES, 2006–2015


Fuente: Symantec

7000
6253 6436 6204
6000
5562 5291 5685
5000 4842 4814 4989
4644
4000

3000

2000

1000

0
2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

Tal como se aprecia en el gráfico, parece que desde el año 2013 se impuso una tendencia a la baja, que se ha acentuado
claramente en 2015.

Symantec WSTR 2016 47


Sistemas virtualizados y en la nube con otros proveedores afectados han creado y distribuido
El término «cloud computing» o «informática en la nube» revisiones de seguridad para VENOM.
abarca una gran variedad de soluciones y entornos técnicos,
como los modelos de software como servicio (SaaS), plata- Hoy uno de cada seis (el 16 %) tipos de malware es capaz de
forma como servicio (PaaS) o infraestructura como servicio detectar la presencia de un entorno de máquinas virtuales,
(IaaS). Este último cada vez se utiliza más en las empresas mientras que en 2014 lo lograba uno de cada cinco (el
y, a medida que se transfiere a la nube una mayor cantidad 20 %). Esta capacidad hace que sea más difícil detectar el
de datos y servicios, despierta más interés entre los ciber- malware, en especial en los sistemas de espacios aislados
delincuentes y los expertos en seguridad. Como ocurre con de seguridad que utilicen la virtualización. Pero es más
cualquier sistema, cada vez que se añade una capa nueva preocupante el hecho de que el ciberdelincuente sepa
al conjunto de servicios, aumenta la superficie de ataque. cuándo puede atacar e infectar a otras máquinas virtuales
Los entornos en la nube a veces presentan vulnerabilidades del mismo sistema.
comunes, como la inyección SQL, pero también pueden
verse afectados por otro tipo de problemas. Por ejemplo, en Aproximadamente, el 16 % del malware es capaz de
2015 Symantec comprobó que, cuando los usuarios (no los detectar un entorno de máquinas virtuales, y en el cuarto
proveedores de servicios) cometen errores de configuración trimestre la cifra llegó a rondar el 22 %.
y gestión, existe el riesgo de que accedan a los sistemas en Hoy es más importante que nunca contar con un perfil de
la nube personas no autorizadas. Además, también se des- seguridad eficaz para los sistemas virtuales. Es necesario
cubrieron 11 000 archivos accesibles públicamente, algunos proteger las máquinas virtuales y los servicios en la nube
de ellos con datos personales confidenciales. En el mercado tanto como otros servicios y dispositivos. Las políticas de
negro, es habitual la compraventa de credenciales robadas seguridad deberían abarcar tanto la infraestructura virtual
para acceder a sistemas en la nube por un precio que no como la física y, si se implantan sistemas de protección inte-
suele alcanzar los 10 $. grados en todas las plataformas, será más fácil mitigar este
tipo de problemas en el futuro.
Vulnerabilidades en la nube
Los sistemas en la nube no tienen por qué ser menos se- Protección de la infraestructura de TI
guros que los servicios de TI tradicionales, pero en cualquier Ante estas amenazas y otras muchas similares, siguen siendo
caso los administradores tienen que asegurarse de que los válidos los consejos de siempre para cualquier tipo de servi-
servicios en la nube estén bien configurados y de que todos cio de infraestructura, como los servidores de archivos, los
los datos cuenten con la suficiente protección. Además, servidores web y otros dispositivos conectados a Internet:
deberían controlar el acceso a los sistemas en la nube, a ser
posible mediante autenticación de dos factores. • Manténgase al día acerca de las amenazas que van
surgiendo.
Hay vulnerabilidades, como VENOM, que permiten a un • Instale siempre en los sistemas las últimas revisiones de
atacante salir de una máquina virtual huésped y acceder seguridad y actualizaciones.
al sistema operativo anfitrión nativo, así como a otras • Implante un software de seguridad integrado que incluya
máquinas virtuales que se ejecuten en la misma plataforma. tecnología contra el malware.
Así, los atacantes que aprovechen VENOM podrían llegar • Adopte un firewall eficaz que permita solo el tráfico
a robar datos confidenciales presentes en cualquiera de conocido y revise los registros de acceso periódicamente
las máquinas virtuales del sistema afectado, además de para detectar actividad que parezca sospechosa.
acceder a la red local del anfitrión y a sus sistemas. VENOM • Utilice varias capas de seguridad, de forma que si una falla
(CVE-2015-3456) existió desde el año 2004 en el hipervisor queden otras para proteger distintas áreas del sistema.
de código abierto QEMU, que suele estar instalado de forma • Aplique las políticas correctas y forme bien a los empleados.
predeterminada en numerosas infraestructuras virtualiza- • Controle los accesos según un principio de privilegios
das que utilizan Xen, QEMU y KVM. Hay que señalar que mínimos.
VENOM no afecta a los hipervisores de VMware, Microsoft • Implante sistemas de detección y prevención de in-
Hyper-V y Bochs. trusiones en la red y supervise los servicios de correo
electrónico que se ejecutan en el servidor.
Hasta la fecha, no se ha tenido conocimiento de que la • Guarde siempre las copias de seguridad fuera de las
vulnerabilidad VENOM haya sido aprovechada y, desde que instalaciones.
se sabe de su existencia, los desarrolladores de QEMU junto

https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/mistakes-in-the-iaas-cloud-could-put-your-data-at-risk.pdf
http://www.symantec.com/connect/blogs/venom-vulnerability-could-expose-virtual-machines-unpatched-host-systems

Symantec WSTR 2016 48


A continuación añadimos una serie de consideraciones que Proteja la información esté donde esté
se deben tener en cuenta en lo que se refiere a los sistemas Cuando las empresas transfieren sus sistemas de TI a en-
en la nube: tornos virtuales y en la nube, se encuentran con dificultades
nuevas en materia de seguridad. Además, como siempre, la
• Proteja las credenciales utilizadas para acceder a las propia naturaleza humana es una amenaza en sí misma, y la
funciones de administración en la nube y asegúrese que mala gestión de la seguridad lleva a la aparición de sistemas
solo acceda a los datos quien realmente lo necesite. de TI en la sombra, es decir, sistemas y soluciones que se
• Asegúrese de comprender bien la configuración de los utilizan dentro de una empresa sin la aprobación explícita
recursos en la nube y elija los parámetros idóneos. de esta, o bien soluciones implantadas por personas que
• Habilite el registro de eventos para saber siempre quién no pertenecen al departamento de TI. A veces, resulta
accede a los datos en la nube. facilísimo que un grupo de empleados recurra a productos
• Lea los acuerdos de nivel de servicio de los proveedores externos para resolver de inmediato una exigencia concreta.
de informática en la nube para saber cómo se protegen Los responsables de la infraestructura de TI de la empresa
los datos almacenados en la nube. deberían tratar de entender por qué el personal actúa sin
• Asegúrese de que las direcciones IP en la nube se consultar al departamento informático para que lo oriente
incluyan en los procesos de gestión de vulnerabilidades en este tipo de decisiones.
y someta a auditorías cualquier servicio que se preste en
la nube. Es importante que el director de sistemas esté informado de
lo que se hace en la empresa y que sepa si ciertos equipos
buscan servicios o aplicaciones de los que carecen. A con-
tinuación, tendrá que decidir cómo satisfacer esa exigencia
y prestar el servicio necesario de forma segura. Contar con
los procesos adecuados es esencial para proteger la infor-
mación y los datos, incluso cuando no estén almacenados
en la empresa.

http://www.symantec.com/connect/blogs/monitoring-shadow-it

Symantec WSTR 2016 49


La respuesta del sector

La tecnología SSL/TLS sigue siendo crucial para el cifrado, la autenticación y la


confidencialidad en Internet, pero en torno a ella hay una infraestructura de confianza
que se debe mantener y vigilar para que siga siendo eficaz, y el sector tiene que aprender
y adaptarse constantemente.
La evolución del cifrado «Coincidimos con Microsoft y Google en que se debería dejar
El 11 de agosto de 1994 Daniel Kohn vendió un CD a un ami- de emitir certificados SHA-1 a partir del 1 de enero de 2016,
go de Filadelfia. Este pagó 12,48 $ más los gastos de envío y que pasado el 1 de enero de 2017 ya no se deberían con-
con tarjeta de crédito, en la primera transacción de la historia siderar fiables», comentan fuentes de Mozilla. Incluso se ha
protegida con tecnología de cifrado. hablado de adelantar estas fechas para acelerar el cambio.

Al día siguiente, en el New York Times se publicaba lo Symantec ofrece un servicio de actualización gratuito, pero
siguiente: «Como cada vez se habla más de las incidencias de las grandes empresas tienen que garantizar que cuentan con
seguridad que tienen lugar en Internet, muchas personas y un plan de migración para poner al día todos los dispo-
empresas son reticentes a enviar datos confidenciales, como sitivos y aplicaciones que en este momento no reconozcan el
números de tarjeta de crédito, información sobre ventas o algoritmo SHA 2.
mensajes de correo electrónico privados».
-
¿Hay motivos para el pánico?
Veinte años después, las preocupaciones siguen siendo las
mismas, pero parece que estamos dispuestos a asumir el La vulnerabilidad denominada FREAK, descubierta
riesgo, con la esperanza de que el banco venga en nuestro en marzo de 2015, permitía forzar el uso del cifrado
auxilio si algo sale mal. Sin embargo, sin una infraestructura de exportación (mucho menos eficaz del que se suele
SSL/TLS segura y sólida, esta frágil confianza se derrumbará usar hoy) a los atacantes que interceptaran la confi-
y el comercio electrónico sencillamente dejará de funcionar. guración de una conexión segura entre un cliente y un
servidor afectado. De este modo, resultaba fácil des-
Las cifras de la solidez cifrar el mensaje de la transacción con los recursos
La eficacia de la tecnología SSL/TLS ha avanzado muchísimo informáticos disponibles en la actualidad.
desde 1994, y lo sigue haciendo: este mismo año el sector ha
pasado del estándar SHA-1 al SHA-2. SE CALCULA QUE INICIALMENTE
ERAN VULNERABLES A ESTE
Gracias al aumento de la potencia de procesamiento, ahora
a los hackers les resulta más fácil descifrar algoritmos hash
ATAQUE LOS SERVIDORES DEL
mediante ataques de fuerza bruta y, según numerosos exper- 9,6 % DEL MILLÓN DE DOMI-
tos, los certificados basados en SHA-1 serán vulne- NIOS DE SITIOS WEB PRINCIPA-
rables dentro de muy poco tiempo. Por eso, los principales LES. NUEVE MESES DESPUÉS, LO
navegadores han decidido dejar de admitir los certificados
SHA 1 durante los próximos dos años, así que si un inter-
SIGUE SIENDO EL 8,5 %.
nauta intenta acceder a un sitio web que los utilice, verá una
advertencia de seguridad.

http://www.fastcompany.com/3054025/fast-feed/youll-never-guess-what-the-first-thing-ever-sold-on-the-internet-was?partner=rss
http://www.nytimes.com/1994/08/12/business/attention-shoppers-internet-is-open.html
http://www.infoworld.com/article/2879073/security/all-you-need-to-know-about-the-move-to-sha-2-encryption.html
https://blog.mozilla.org/security/2014/09/23/phasing-out-certificates-with-sha-1-based-signature-algorithms/
http://www.symantec.com/connect/blogs/freak-vulnerability-can-leave-encrypted-communications-open-attack
https://freakattack.com

Symantec WSTR 2016 50


Control y equilibrio el 70 % del tráfico mundial. Este aumento tan repentino se
Con el objetivo de fortalecer el ecosistema SSL/TLS, Syman- debe a una serie de factores:
tec también ha propugnado la adopción generalizada de la • Adopción por parte de grandes empresas. Varios de
autorización de la autoridad de certificación (CAA) DNS, que los nombres con más peso en Internet (como Facebook,
permite a una empresa o propietario de DNS especificar la Twitter y, recientemente, Netflix) ya han adoptado el
autoridad de certificación (CA) que debe emitir los certifi- protocolo HTTPS.
cados que compre. Si una persona malintencionada o un • Preferencia por parte de los buscadores. En 2014
empleado que no conozca la política empresarial intenta Google anunció que los sitios web que protegieran con
comprar un certificado de una CA que no esté presente en la el protocolo HTTPS todas sus páginas tendrían un mejor
lista de entidades aprobadas, dicha CA podrá comprobar la posicionamiento en los resultados de las búsquedas, lo
CAA y avisar de la solicitud al propietario de DNS. cual ha animado a numerosos propietarios de sitios web
a adoptar este sistema.
De este modo, se reduce el riesgo de que se emitan certifi- • Mejora de Internet. El Internet Engineering Task Force o
cados de origen dudoso en nombre de una empresa legítima IETF (grupo de trabajo de ingeniería de Internet), entidad
sin que esta lo sepa, lo cual a su vez contribuirá a evitar que encargada de crear estándares para Internet, publicó
los delincuentes consigan crear sitios web certificados para en 2015 una nueva versión del protocolo de transferen-
lanzar ataques de phishing. cia de hipertexto conocido como HTTP/2, que con toda
probabilidad a corto plazo se convertirá en el estándar
Además, para mejorar la detección de los certificados de del sector. Tal como especifica el borrador, el protocolo
origen dudoso, Symantec cumple con la exigencia de Google HTTP/2 hace posible «un uso más eficiente de los recur-
de registrar todos los certificados EV emitidos en su registro sos de la red», lo que significa que está diseñado para
Certificate Transparency y, desde marzo de 2016, registra garantizar un rendimiento más alto y una capacidad de
también los certificados OV y DV. De este modo, junto con respuesta más rápida para los sitios web. Además, todos
un software que supervisa y audita los certificados y el uso los principales navegadores solo admitirán el protocolo
que se hace de ellos, este sistema crea «un marco abierto HTTP/2 con tecnología SSL/TLS. En la práctica, esto
que permite a quien lo desee observar y verificar práctica- obliga a los sitios web que adopten el nuevo estándar a
mente en tiempo real los certificados SSL/TLS existentes y cifrar toda la información.
recién emitidos», tal como dicen sus autores.
Se espera que dentro de unos pocos años todas las páginas
El salto a la tecnología SSL Always-On de Internet cuenten con un certificado SSL/TLS. Symantec
Según un estudio de Sandvine, hoy se cifra casi el 40 % del incluso está colaborando con los proveedores de alojamien-
tráfico de Internet descendente en Estados Unidos, y se to web para ayudarlos a incluir el cifrado en el servicio que
prevé que a lo largo del año este dato aumente para superar prestan a los propietarios de sitios web.

Símbolo del
Tipo de certi- Validación Cifrado Validación de Validación de candado en Barra de
ficado del dominio «https» la identidad la dirección la interfaz de direcciones
usuario del verde*
navegador

DV Sí Sí Ninguna No Sí No

OV Sí Sí Buena Sí Sí No

EV Sí Sí Muy buena Sí Sí Sí
*O un candado verde o algún signo verde en la barra de direcciones.

https://casecurity.org/2013/09/25/what-is-certification-authority-authorization/
https://knowledge.symantec.com/support/ssl-certificates-support/index?page=content&id=AR2177
https://www.certificate-transparency.org
https://www.sandvine.com/pr/2016/2/11/sandvine-70-of-global-internet-traffic-will-be-encrypted-in-2016.html
http://fortune.com/2015/04/30/netflix-internet-traffic-encrypted/
http://googlewebmastercentral.blogspot.co.uk/2014/08/https-as-ranking-signal.html
http://tools.ietf.org/pdf/draft-ietf-httpbis-http2-17.pdf
https://www.mnot.net/blog/2015/06/15/http2_implementation_status
https://www.hostpoint.ch/en/ssl/freessl.html

Symantec WSTR 2016 51


Mayor sensación de seguridad
Varios de los principales navegadores también están Se trata solo de un ejemplo de la tendencia a tranquilizar a
mejorando sus indicadores de seguridad (los colores y los internautas y a las personas que compran por Internet
símbolos utilizados en la barra de direcciones para indicar a mediante indicadores de seguridad. Así, los distintivos
los internautas el nivel de seguridad del sitio web), para que de confianza y las garantías de compra contribuyen a
resulte claro cuándo una página protegida con tecnología disipar los temores que tienen numerosos consumidores
SSL/TLS incluye contenido desprotegido vulnerable a los cuando compran por Internet y no ven al propietario de la
ataques de interposición «Man-in-the-Middle». Dicho de tienda en persona ni pueden tocar los productos que están
otro modo, resultarán más evidentes los casos en que el adquiriendo.
sitio web no garantiza la seguridad de la conexión y el
peligro que esto implica.

Los nuevos indicadores de seguridad de Mozilla


Extraído de Mozilla’s Security Blog

VERSIÓN ANTERIOR NUEVA VERSIÓN

Sitios con certificados DV

https://blog.mozilla.org/security https://blog.mozilla.org/security

Sitios con certificados EV

Mozilla Foundation (US) https://mozilla.org/en-U Mozilla Foundation (US) https://mozilla.org/en-U

Sitios con contenido mixto activo bloqueado

Mozilla Foundation (US) https://people.mozilla. Mozilla Foundation (US) I https://people.mozilla.or

Sitios con contenido mixto activo permitido

https://people.mozilla.org/domainnametogohere https://people.mozilla.org/domainnametogohere.htr

Sitios con contenido mixto activo cargado

https://people.mozilla.org/domainnametogohere.html https://people.mozilla.org/domainnametogohere.ht

https://blog.mozilla.org/security/2015/11/03/updated-firefox-security-indicators-2/
https://www.nortonshoppingguarantee.com/

Symantec WSTR 2016 52


¿Qué nos depara el futuro?

En esta sección, abordamos lo que nos espera a partir de 2016, desde las tendencias
emergentes hasta los temas de debate nuevos y actuales. Hemos recopilado los asuntos
relacionados con la seguridad de los sitios web que sin duda darán que hablar y que
conviene tener presentes. Si quiere consultar periódicamente las últimas novedades en
materia de seguridad, visite nuestro blog en Symantec Connect.
Tendencias al alza Amenazas híbridas: ataques a sistemas móviles
Como cabía esperar, se prevé que las amenazas a disposi-
Aumento del phishing
tivos móviles sigan proliferando en 2016. Tal vez pronto se
A pesar de la tendencia general a la baja de los últimos
vendan en el mercado negro kits de intrusión para teléfonos
años, ahora prevemos que el phishing aumente, por dos
similares a los que se utilizan para atacar ordenadores.
motivos: por un lado, porque la gente cada vez consume
más en Internet; por el otro, porque el acceso a Internet y
Durante los últimos tres años, la cantidad de vulnerabili-
las transacciones electrónicas se están difundiendo también
dades de los sistemas móviles ha ido aumentando, lo cual
en los países en vías de desarrollo.
tal vez sea un indicio de avance más que un motivo de alar-
ma. Si los expertos en seguridad, los sistemas operativos,
Si a todo esto le sumamos que se están creando servicios en
los desarrolladores y los creadores de aplicaciones detectan
Internet para todo tipo de tareas cotidianas (pagar facturas,
y resuelven más problemas, es porque prestan más atención
pedir citas médicas, solicitar plaza en la Universidad, gestio-
a la seguridad móvil. Aunque se prevé que durante el próxi-
nar cuentas de programas de fidelización, contratar un se-
mo año aumenten los ataques contra estos dispositivos,
guro, etc.), es evidente que los hackers se estarán frotando
también se espera que, si toman las medidas preventivas
las manos mientras planean ataques de phishing.
adecuadas y siguen invirtiendo en seguridad, los usuarios
gocen de un buen nivel de protección.
HTTPS en todas partes y para todos
Están aumentando de forma considerable la promoción y
Cada vez es más necesario contar con las com-
adopción de certificados SSL/TLS (tanto entre particulares
petencias adecuadas en materia de seguridad
como en las empresas) y están surgiendo nuevas iniciati-
Las amenazas cibernéticas evolucionan muchísimo más
vas para que todo el mundo pueda acceder al cifrado. Por
rápido que nuestros conocimientos sobre ellas y nuestra
ejemplo, con los servicios de alojamiento o en la nube se
capacidad de tomar medidas de forma proactiva. No se trata
ofrece la posibilidad de adquirir también la tecnología SSL/
solo de que aumente la creatividad de los hackers, sino que
TLS. Es muy probable que esta tendencia siga creciendo,
además surge a diario una enorme cantidad de servicios
sobre todo en el mercado de los certificados con validación
nuevos en Internet, y por lo general la prioridad para quien
de dominio (DV).
los concibe es ofrecer algo nuevo, exclusivo, útil o innova-
dor. La seguridad siempre es una cuestión secundaria.
Otro ámbito que ahora despierta gran interés es la comple-
jidad de la gestión de certificados SSL/TLS debido al flujo
Otra triste realidad que explica esta situación es que las
interminable de hosts que hay que autenticar, proteger
competencias necesarias para construir una red blindada
y supervisar (véase la sección relativa al Internet de las
las tienen los malhechores del sector. Los empleados encar-
cosas). De hecho, prevemos que siga aumentando el número
gados de la seguridad de TI suelen contar con la formación
de servicios y herramientas de gestión, al tiempo que
necesaria más que nada para crear y mantener una buena
mejora la concienciación sobre las exigencias en materia
infraestructura de red, pero muchas veces no están prepa-
de seguridad. Podemos afirmar que esta tendencia se debe
rados para afrontar todas las amenazas y vulnerabilidades
en gran parte a que los medios de comunicación cada vez
que afectan a una red empresarial. Es más, rara vez saben
dedican más espacio a las fugas de datos y a las amenazas
reconocer el perfil de un potencial hacker y no siempre
existentes para la seguridad informática.
comprenden los motivos que podrían llevarle a atacar a
la empresa. El hecho de que no se instalen las revisiones
necesarias en los servidores o se configuren mal las redes
http://www.symantec.com/connect/symantec-blogs/symantec-security-response no suele deberse solo a la pereza, sino a la desinformación.

Symantec WSTR 2016 53


En este contexto, obviamente resulta muy difícil tomar me- a preocupaciones cada vez mayores por la seguridad de los
didas proactivas para evitar los ataques a las redes, pues los dispositivos conectados y las amenazas que estos podrían
únicos que podrían hacerlo… son los propios hackers. representar. En el ámbito de la seguridad del Internet de
las cosas, el hacking de coches fue uno de los temas que
Este es el motivo por el que prevemos que durante los más dio que hablar en 2015, y probablemente durante los
próximos años siga creciendo el mercado de los hackers próximos años se aborden más asuntos similares. Una vez
autónomos «de sombrero blanco» y los consultores más, el hecho de que los medios de comunicación presten
especializados en seguridad informática. Las empresas cada vez más atención a este tipo de cuestiones influye
empezarán a contratar a más expertos en pruebas de mucho en la concienciación sobre la seguridad del Internet
penetración, hackers autónomos y consultores en materia de las cosas.
de seguridad informática a medida que estos profesionales
vayan adquiriendo los conocimientos y las competencias «Hacktivismo», terrorismo, responsabilidad
necesarios. Otro factor que impulsará el aumento de esta gubernamental y derecho a la confidencialidad
demanda es la necesidad de cumplir las normativas, sobre Hoy en las noticias se habla más que nunca de hacktivis-
todo en ciertos sectores que manejan datos confidenciales, mo y terrorismo. Internet no solo se está convirtiendo en
como el bancario y el sanitario. el principal canal para la propaganda y la comunicación
entre extremistas, sino también en un lugar que permite
Temas candentes a dichos grupos mostrar su presencia y sus capacidades.
Las redes anónimas como TOR ya no son algo exclusivo del
La autenticación ante todo
mercado negro, y no cabe duda de que durante los próximos
Ahora que las empresas cada vez prestan más servicios en
años habrá ataques cada vez más espectaculares con fines
Internet, deben tener muy en cuenta las exigencias de segu-
políticos o ideológicos. Además, sin duda es previsible que,
ridad, así como trabajar con los clientes para concienciarlos
cuando se produzcan, las empresas y organizaciones sufran
sobre este tema y ganarse su confianza. En este sentido, la
daños colaterales.
autenticación de dos factores se está convirtiendo en algo
imprescindible. Incluso están empezando a aparecer nuevas
Esta creciente presencia del «hacktivismo» en Internet ha
soluciones para acabar con los sistemas de autenticación
hecho que durante los últimos años los gobiernos hayan
mediante contraseña, con el objetivo de reducir el riesgo de
prestado más atención a la comunicación cifrada online.
phishing y los inevitables costes que conlleva.
Cuando Edward Snowden en 2013 sacó a la luz la impli-
cación de ciertos gobiernos en programas de vigilancia,
Al mismo tiempo, Apple y Google están haciendo todo lo
la noticia no hizo más que confirmar lo que muchos ya
posible por proteger sus sistemas operativos y sus ecosiste-
sospechaban, pero fue una bomba para la opinión pública.
mas en general. En concreto, prevemos que mejoren tanto
Desde entonces, cada vez se habla más de los motivos por
las técnicas utilizadas para validar y firmar las aplicaciones
los que un gobierno puede tener derecho a espiar a alguien
como la forma de distribuirlas. Los usuarios tendrán que
de forma activa. Ahora que el Tribunal de Justicia Europeo
acostumbrarse a que las aplicaciones y el sistema opera-
ha declarado nulo el acuerdo de «puerto seguro», se ha
tivo de sus teléfonos se actualicen con frecuencia, tal vez
intensificado el debate sobre esta cuestión, que probable-
automáticamente de forma predeterminada, y asumirán que
mente seguirá ocupando titulares en 2016.
los dispositivos móviles necesitan software de seguridad.

El Internet de las cosas desprotegidas


Aunque el concepto del «Internet de las cosas» no es nuevo ¿Sabía que…?
(se utilizó por primera vez en 1999), durante los últimos dos
Symantec ha creado certificados raíz específicos
años ha estado muy de moda esta expresión que principal-
para los usuarios del Internet de las cosas. Si
mente se refiere al gran impacto que tienen los dispositivos
desea implantar certificados de este tipo en sus
conectados en nuestra vida cotidiana: hoy Internet está en
todas partes. dispositivos conectados, póngase en contacto con
nosotros.
Sin duda este asunto seguirá siendo una tendencia impor-
tante durante los próximos años. Sin embargo, el entusias-
mo por vivir en un mundo conectado ya está dejando paso

https://help.yahoo.com/kb/SLN25781.html
http://www.theguardian.com/media-network/2015/mar/31/the-internet-of-things-is-revolutionising-our-lives-but-standards-are-a-must

Symantec WSTR 2016 54


Ivan Ristic nos habla de la protocolo eficaz que funcione bien durante los próximos

tecnología TLS 1.3 20 años, tenemos que ponerlo a prueba ahora, antes de
que se implante. Al contrario de lo que parece sugerir el
La historia de la tecnología Transport Layer Security discreto número de la versión, en realidad el protocolo
(TLS) comenzó en 1994, con el lanzamiento de SSL TLS 1.3 presenta diferencias considerables. Aparte de
2.0, un protocolo mal diseñado pero suficientemente mejorar la seguridad, presenta otra ventaja crucial:
eficaz como para sustentar un boom de transacciones también será más rápido (principalmente en lo que se
electrónicas y uso comercial de Internet. A lo largo refiere a la latencia de la red, que es el único cuello de
de los siguientes 22 años, seguimos perfeccionando botella que sigue existiendo hoy).
la seguridad conforme fuimos conociendo mejor la
criptografía, y la versión estable más reciente con la que En la práctica, el efecto inmediato más relevante del
contamos hoy es TLS 1.2, creada en 2008. Esta versión, protocolo TLS 1.3 será la eliminación del código basura
cuya adopción se generalizó en 2013, hoy garantiza un acumulado desde la primera versión de SSL, que seguía
nivel de seguridad razonable para fines comerciales. presente en la 1.2 y en las anteriores versiones. En
realidad, el mayor obstáculo práctico que existe hoy a
A pesar de lo mucho que se ha criticado al protocolo TLS la hora de garantizar la seguridad es la formación: el
durante los últimos años, este ha resultado muy útil, protocolo TLS 1.2 se puede configurar de forma que
como demuestra el ingente crecimiento que ha experi- garantice una buena protección, pero para ello hay que
mentado Internet y las pocas incidencias de seguridad saber evitar los numerosos escollos existentes. Aunque
que se han producido por motivos relacionados con el existen manuales que explican cómo lograrlo, el proceso
cifrado. Si acaso, podríamos decir que la mayor parte de no es nada sencillo. En la mayoría de los casos, los
los problemas de seguridad que tienen lugar en Internet operadores del sitio web carecen de las competencias
se deben a nuestra reticencia a implantar el cifrado o necesarias o simplemente no están suficientemente
a adoptar los protocolos más recientes y eficaces. En motivados para abordar el problema. La respuesta a
Internet se está avanzando bastante en este sentido, corto plazo de la comunidad ha consistido en vincular
pues los sitios web más importantes están mejorando su la seguridad a las mejoras de rendimiento. Por ejemplo,
seguridad a buen ritmo. Sin embargo, es probable que el protocolo HTTP/2 solo se puede implantar con TLS
la cantidad de sitios web cifrados no llegue al 10 % del 1.2 y siempre que se use un subconjunto de funciones
total. En lo que se refiere al correo electrónico, también suficientemente seguras. A largo plazo, el protocolo TLS
queda mucho por hacer. Por ejemplo, en enero de 2016 1.3 será seguro de forma predeterminada, independien-
Gmail distribuyó de forma segura el 82 % de su correo temente de la configuración.
electrónico, pero solo el 58 % de los mensajes entrantes
estaban cifrados. A diferencia de lo que ocurre con los ¿Qué podemos hacer para prepararnos a la inminente
sitios web en general, cifrar correctamente el correo elec- llegada de TLS 1.3? La clave está en empezar a pensar
trónico es una tarea fácil, porque una pequeña cantidad dónde necesita garantizar la seguridad y cómo va a
de proveedores manejan un gran porcentaje del correo conseguirlo. Si los lugares críticos dependen de terceros
electrónico mundial. Por otro lado, la mayoría de las em- (por ejemplo, si ha externalizado el alojamiento del sitio
presas siguen prefiriendo que sus correos se envíen sin web o utiliza aparatos de hardware), es imprescindible
protección a que se produzcan fallos en la entrega. que se ponga en contacto con sus proveedores cuanto
antes. Hágales saber que se preocupa por la seguridad,
Pero ahora las tornas han cambiado: es evidente que en y pídales que se comprometan a admitir las nuevas
el Internet del futuro la información se cifrará de forma funciones de seguridad en cuanto estén disponibles.
eficaz. Al fin y al cabo, no solo está en juego su
seguridad, sino también el rendimiento
A finales de 2012 se empezó a trabajar en la próxima de sus sitios web.
versión del protocolo TLS, la 1.3, que estará lista dentro
de poco. Recientemente los desarrolladores han invita-
do a una serie de criptógrafos a examinar con atención
los borradores del protocolo. Si aspiramos a crear un

Symantec WSTR 2016 55


Consejos y prácticas recomendadas

Para que los sistemas que garantizan la seguridad de los sitios web sean eficaces, hay
que implantarlos con cuidado, así como llevar a cabo una supervisión y mantenimiento
constantes. Existen herramientas que contribuyen a proteger el ecosistema del sitio web,
pero todo empieza por la formación. Ahora que ya conoce los riesgos, descubra lo que
puede hacer al respecto.
Adopte los estándares del sector herramientas de automatización que facilitan esta tarea,
• Utilice la tecnología SSL Always-On. Proteja con con lo que tendrá más tiempo para abordar cuestiones
el protocolo SSL/TLS todas las páginas para que de seguridad de forma proactiva.
se cifren todas las interacciones entre el sitio web • Muestre distintivos de confianza conocidos (como el
y el internauta. Al adoptar este sistema, también sello Norton Secured) en zonas bien visibles de su sitio
llamado «HTTPS Everywhere», con certificados SSL/ web para demostrar a los clientes que se toma en serio
TLS OV o EV, demostrará su credibilidad y mejorará su su seguridad.
posicionamiento en los resultados de las búsquedas. • Gestione las claves SSL/TLS correctamente. Limite
Además, allanará el camino para la adopción de HTTP/2, el número de personas con acceso a ellas; compruebe
que mejora el rendimiento. que quien se ocupa de administrar las contraseñas del
• Migre al algoritmo SHA-2. Tal como se explica en servidor donde se guardan las claves no sea el mismo
este informe, las autoridades de certificación deberían que gestiona los sistemas en los que se almacenan las
haber dejado de emitir certificados SHA-1 a partir del claves; y utilice sistemas automatizados de gestión
1 de enero de 2016, pero tiene que comprobar que se de claves y certificados para reducir la necesidad de
actualicen también todos los certificados antiguos, al intervenciones humanas.
igual que los dispositivos y las aplicaciones que en este
momento no reconozcan el algoritmo SHA-2. Adopte una solución completa para la seguridad
• Considere la posibilidad de adoptar el algoritmo de los sitios web
ECC. Symantec también ofrece la posibilidad de usar el • Haga análisis periódicos. Vigile sus servidores web para
algoritmo de cifrado ECC. Los principales navegadores, detectar posibles vulnerabilidades o infecciones con
incluidos los móviles, admiten certificados ECC en todas malware. Para ello, resultan muy útiles las herramientas
las plataformas recientes, y las claves ECC de 256 bits de automatización.
son 64 000 veces más difíciles de descifrar que las claves • Utilice un antivirus. El software antivirus no es solo
RSA de 2084 bits de uso estándar en el sector. para los ordenadores y smartphones, sino también para
los servidores, y podría ayudar a evitar un grave ataque
Utilice la tecnología SSL/TLS correctamente con malware contra toda la infraestructura del sitio web.
Los certificados SSL y TLS son eficaces solo si se instalan y • Instale solo los complementos realmente útiles.
mantienen correctamente, así que no olvide lo siguiente: También el software que utiliza para gestionar el sitio
web presenta vulnerabilidades. Cuantos más programas
• Mantenga actualizadas las bibliotecas de protocolos. de terceros utilice, mayor será la superficie de ataque,
La implantación de SSL/TLS es una tarea constante así que implante solo lo que sea imprescindible.
y resulta imprescindible instalar lo antes posible las • Tenga en cuenta todo el ecosistema. ¿Ha implantado
actualizaciones y revisiones del software que utilice. un firewall para aplicaciones web que evite los daños de
• No permita que sus certificados caduquen. Tenga los ataques de inyección? ¿Su sistema de firma de código
siempre bajo control los certificados con los que cuenta, garantiza la seguridad de sus aplicaciones web? ¿Cuenta
la autoridad de certificación que los ha emitido y su con herramientas automatizadas que detecten y eviten
fecha de caducidad. Symantec ofrece una serie de los ataques DDoS, un problema cada vez más habitual?

Symantec ofrece una gama de herramientas con las que la tarea de garantizar la seguridad
completa de los sitios web resulta sencilla y eficiente.
http://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsa
https://www.symantec.com/en/uk/complete-website-security/
http://www.symantec.com/page.jsp?id=seal-transition

Symantec WSTR 2016 56


Conciencie a sus empleados • Implante un sistema que permita encontrar el dispositivo
Como siempre, para que sus sitios web y servidores estén y borrar sus datos a distancia.
bien protegidos este año, guíese por el sentido común y • Actualice el software periódicamente. Por ejemplo, la
adopte los hábitos de seguridad que le recomendamos a última versión de Android, cuyo nombre en clave es
continuación. Honeycomb, incluye una serie de funciones diseñadas
especialmente para detener a los atacantes.
• Asegúrese de que los empleados no abran archivos
• No recurra al llamado «jailbreak» (consistente en
adjuntos de gente que no conozcan.
modificar el sistema operativo para permitir la
• Ayúdeles a reconocer los peligros que acechan en las
instalación de aplicaciones no autorizadas por el
redes sociales. Explíqueles que, si una oferta parece
fabricante) y compre las aplicaciones solo en mercados
falsa, seguramente lo sea; que la mayoría de las estafas
de confianza.
están relacionadas con noticias de actualidad; y que las
• Forme a los usuarios, especialmente en lo que se refiere
páginas de inicio de sesión a las que conducen algunos
a tener cuidado con los permisos que solicita una
enlaces pueden ser una trampa.
aplicación.
• Si un sitio web o aplicación ofrece autenticación de dos
• Implante soluciones de seguridad como Symantec
factores, dígales que elijan siempre esta opción.
Mobility o Norton Mobile Security.
• Pídales que usen contraseñas distintas para cada cuenta
de correo electrónico, aplicación, sitio web o servicio
La seguridad es responsabilidad de todos
(sobre todo si están relacionados con el trabajo).
La confianza de los consumidores se construye con
• Recuérdeles que usen el sentido común. No por tener un
numerosas interacciones que tienen lugar en diferentes
antivirus es menos grave visitar sitios web dañinos o de
sitios web pertenecientes a innumerables empresas.
naturaleza dudosa.
Pero basta una mala experiencia (un robo de datos o una
• Aplique controles de acceso eficaces para proteger los
descarga no autorizada) para manchar la reputación de
servidores y las claves privadas según un principio de
todos los sitios web en la mente de la gente.
privilegios mínimos.

Como decíamos al comienzo del informe, este año es


Proteja los dispositivos móviles
un buen momento para reducir el número de ataques
Recomendamos tanto a los particulares como a las empresas
cibernéticos que se salen con la suya y para limitar
que traten los dispositivos móviles como lo que son:
los riesgos que puede suponer su sitio web para los
potentes ordenadores de pequeñas dimensiones. Para
consumidores, pero es imprescindible que se implique y
protegerlos como les corresponde, tome las siguientes
tome medidas concretas.
medidas:

• Controle el acceso, a ser posible con tecnología Adopte Symantec Website Security en 2016 y, con nuestra
biométrica. ayuda, haga que sea un año positivo para la seguridad
• Adopte un sistema para evitar las pérdidas de datos (por informática y pésimo para los ciberdelincuentes.
ejemplo, el cifrado en el dispositivo).
• Haga copias de seguridad del dispositivo de forma
automatizada.

http://www.symantec.com/connect/blogs/how-android-s-evolution-has-impacted-mobile-threat-landscape
http://www.symantec.com/mobility/
https://us.norton.com/norton-mobile-security

Symantec WSTR 2016 57


Si desea los números de teléfono de algún país en concreto, consulte nuestro sitio web.
Para obtener información sobre productos, llame al:
900 931 298 o al +353 1 793 9076

Symantec España
Symantec Spain S.L.
Parque Empresarial La Finca – Somosaguas
Paseo del Club Deportivo, Edificio 13, oficina D1, 28223
Pozuelo de Alarcón, Madrid, España
www.symantec.es/ssl

Queda prohibida la reproducción total o parcial de este documento técnico sin el consentimiento previo por escrito de su autor.

Copyright © 2016 Symantec Corporation. Reservados todos los derechos. Symantec, el logotipo de Symantec, el logotipo de la
marca de comprobación, Norton Secured y el logotipo de Norton Secured son marcas comerciales o marcas comerciales registradas
en los Estados Unidos y en otros países por Symantec Corporation o sus filiales. Los demás nombres pueden ser marcas comerciales
de sus respectivos propietarios