Informe anual de seguridad de 2014 de Cisco

2 Informe anual de seguridad de 2014 de Cisco

Resumen ejecutivoEl problema de la confianza

La explotación de la confianza es un modo frecuente de operación para los atacantes en línea y otros actores malintencionados. Ellos se aprovechan de la confianza que tienen los usuarios en sistemas, aplicaciones, y las personas y los negocios con los que interactúan regularmente. Y este enfoque funciona: existe amplia evidencia de que los adversarios están ideando nuevos métodos para integrar su malware en las redes y permanecer sin que se los detecte durante largos períodos, mientras roban datos o desbaratan sistemas críticos.

Mediante el uso de métodos que varían desde el robo con ingeniería social de contraseñas y credenciales hasta infiltraciones sigilosas y “ocultas a simple vista” que se ejecutan en minutos, los actores malintencionados continúan vulnerando la confianza pública con el fin de lograr consecuencias perjudiciales. Sin embargo, el problema de la confianza va más allá de los delincuentes que explotan las vulnerabilidades o se aprovechan de los usuarios a través de ingeniería social: debilita la confianza en organizaciones tanto públicas como privadas.

Las redes actuales enfrentan dos maneras de deterioro de la confianza. La primera es una disminución de la confianza de los clientes en la integridad de los productos. La segunda es abundante evidencia acerca de que los actores malintencionados están venciendo los mecanismos de confianza, lo que cuestiona la eficacia de la red y la seguridad de las aplicaciones, la autenticación y las arquitecturas de autorización.

En este informe, Cisco ofrece datos y perspectivas de las principales preocupaciones de seguridad, como los cambios de malware, las tendencias en vulnerabilidades y el resurgimiento de ataques de denegación de servicio distribuido (DDoS). En el informe también se analizan las campañas orientadas a organizaciones, grupos y sectores específicos, y la creciente sofisticación de quienes intentan robar información confidencial. El informe finaliza con recomendaciones para examinar los modelos de seguridad de manera integral y obtener visibilidad de la secuencia completa de los ataques: antes, durante y después de un ataque.

Los actores maliciosos continúan

innovando en maneras de explotar la confianza

pública con el fin de provocar

consecuencias dañinas.

http://www.cisco.com


Descubrimientos claveA continuación se presentan tres hallazgos clave del Informe anual de seguridad de 2014 de Cisco:

Los ataques contra infraestructura están dirigidos a recursos significativos a través de Internet.

• Las explotaciones malintencionadas están ganando acceso a servidores de alojamiento web, servidores de nombres y centros de datos. Esto sugiere la formación de überbots que buscan alta reputación y activos ricos en recursos.

• Los errores de búfer son una amenaza principal, en el 21% de las categorías de amenazas de Common Weakness Enumeration (CWE).

• Los hallazgos de malware se están moviendo hacia la fabricación de productos electrónicos y los sectores de agricultura y minería en aproximadamente seis veces la tasa promedio de hallazgos en los mercados verticales del sector.

Los actores malintencionados están usando aplicaciones de confianza para explotar las brechas en la seguridad perimetral.

• El correo electrónico no deseado sigue su tendencia descendente, aunque la proporción de correo electrónico no deseado malintencionado permanece constante.

• Java comprende el 91% de las explotaciones web; el 76% de las compañías que usan servicios de Cisco Web Security ejecutan Java 6, una versión descontinuada y sin soporte.

• Los ataques “watering hole” están dirigidos a sitios web específicos, relacionados con el sector, a fin de distribuir malware.

Las investigaciones de empresas multinacionales muestran evidencia de compromiso interno. El tráfico sospechoso emana de sus redes e intenta conectarse a sitios cuestionables (el 100% de las empresas están llamando a hosts de malware malintencionados).

• Los indicadores de compromiso sugieren que las penetraciones en la red pueden no detectarse durante períodos prolongados.

• Las alertas de amenazas aumentan un 14% de un año a otro; están surgiendo alertas nuevas (no alertas actualizadas).

• El 99% de todo el malware móvil en 2013 estuvo dirigido a dispositivos Android. Los usuarios de Android también tienen la tasa más alta de hallazgos (71%) con todas las maneras de malware basado en la web.



Contenido del informe El Informe anual de seguridad de 2014 de Cisco presenta perspectivas de seguridad en cuatro áreas clave:

Confianza

Todas las organizaciones deben estar preocupadas por encontrar el equilibrio adecuado de confianza, transparencia y privacidad, porque es mucho lo que está en juego. En esta área, abordamos tres presiones que hacen que sean aún más desafiantes los intentos por parte de los profesionales de seguridad de ayudar a sus organizaciones a lograr este equilibrio:

•Mayor área de superficie de ataques

•Proliferación y sofisticación del modelo del ataque

•Complejidad de amenazas y soluciones

Inteligencia contra amenazas

Mediante el conjunto más grande de telemetría de detección disponible, Cisco y Sourcefire analizaron y recopilaron conjuntamente las perspectivas de seguridad del año pasado:

•Los ataques contra infraestructura están dirigidos a recursos significativos a través de Internet.

•Los actores malintencionados están usando aplicaciones de confianza para explotar las brechas en la seguridad perimetral.

•Los indicadores de compromiso sugieren que las penetraciones en la red pueden no detectarse durante períodos prolongados.



Sector

En esta sección, los investigadores de Cisco Security Intelligence Operations (SIO) elevan el debate en torno a las tendencias del sector que se extienden más allá de la telemetría de Cisco, pero que aún así afectan las prácticas de seguridad: desde intentos de inicio de sesión por fuerza bruta, actividad de DDoS a gran escala y esfuerzos de ransomware hasta la creciente dependencia de la nube, falta de personal calificado en seguridad y otras preocupaciones.

Recomendaciones

Las organizaciones están enfrentando una superficie de ataque más amplia, la creciente proliferación y sofisticación de los modelos de ataque, y mayor complejidad dentro de la red. Muchos se están esforzando por solidificar una visión de seguridad respaldada por una estrategia efectiva que use nuevas tecnologías, simplifique su arquitectura y sus operaciones, y fortalezca sus equipos de seguridad.

En esta sección se describe cómo un modelo de seguridad centrado en amenazas permite a los defensores abordar la secuencia completa de los ataques, a través de todos los vectores de ataque, y responder en cualquier momento, todo el tiempo, de manera continua: antes, durante y después de un ataque.



Cómo Cisco evalúa el panorama de amenazas

Cisco desempeña un rol crítico en la evaluación de amenazas, dada la prevalencia de sus soluciones y la amplitud de su inteligencia de seguridad:

• 16 000 millones de solicitudes web inspeccionadas cada día a través de Cisco Cloud Web Security

• 93 000 millones de correos electrónicos inspeccionados cada día por la solución alojada de correo electrónico de Cisco

• 200 000 direcciones IP evaluadas por día

• 400 000 muestras de malware evaluadas por día

• 33 millones de archivos de terminales evaluados cada día por FireAMP

• 28 millones de conexiones de red evaluadas cada día por FireAMP

Esta actividad deriva en la detección de las siguientes amenazas por parte de Cisco:

• 4500 millones de correos electrónicos bloqueados cada día

• 80 millones de solicitudes web bloqueadas cada día

• 6450 detecciones de archivos terminales realizadas cada día en FireAMP

• 3186 detecciones de redes de terminales realizadas cada día en FireAMP

• 50 000 intrusiones de red detectadas cada día



ContenidoConfianza .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

Nuevas maneras de hacer negocios, nuevas brechas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Erosión de la confianza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Principales desafíos de seguridad para 2014 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Sistemas transparentes y confiables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

Inteligencia contra amenazas .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Aumento de alertas de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21Descendió el volumen de correo electrónico no deseado, pero el correo electrónico no deseado malintencionado sigue siendo una amenaza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24Explotaciones web: Java lidera el grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29BYOD y movilidad: la maduración de dispositivos beneficia el ciberdelito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Ataques dirigidos: el desafío de desalojar “visitantes” ubicuos y persistentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37Instantánea de malware: tendencias observadas en 2013 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Objetivos principales: mercados verticales del sector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42Fracturas en un ecosistema frágil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44Tráfico malintencionado, con frecuencia un signo de ataques dirigidos, detectado en todas las redes empresariales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

Sector .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Intentos de inicio de sesión por fuerza bruta, una táctica preferida para vulnerar sitios web . . . . . . . . . . . . . . . . . . . . . . . 54Ataques de DDoS: lo antiguo vuelve a ser nuevo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56DarkSeoul . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58La escasez de personal calificado en seguridad y la brecha de soluciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61La nube como un nuevo perímetro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

Recomendaciones .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Objetivos para 2014: verificar la confiabilidad y mejorar la visibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Apéndice .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Las organizaciones de seguridad necesitan científicos de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Acerca de Cisco SIO .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78Cisco SIO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .79

Acerca de este documento Este documento incluye contenido que permite búsquedas y se puede compartir.

Busque este icono para abrir la función de búsqueda en Adobe Acrobat.

Software recomendado Adobe Acrobat versión 7.0 y posteriores

Busque estos iconos para compartir contenido.[ ]



ConfianzaTodas las organizaciones deben estar preocupadas por encontrar el equilibrio adecuado de confianza, transparencia y privacidad, porque es mucho lo que está en juego.


9 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza

Nuevas maneras de hacer negocios, nuevas brechas de seguridadLos débiles enlaces en la cadena de suministro de tecnología son una faceta del complejo panorama actual de riesgo y ciberamenazas.

También lo es el surgimiento de una infraestructura cualquiera con cualquiera (any-to-any), en la que cualquier dispositivo de cualquier ubicación puede afectar cualquier creación de instancias de la red.1 Además, existe una creciente abundancia de dispositivos habilitados para Internet —smartphones, tablets y más— que intentan conectarse a aplicaciones que podrían estar ejecutándose en cualquier lugar, incluidas una nube pública de software como servicio (SaaS), una nube privada o una nube híbrida.2 Incluso los servicios básicos de infraestructura de Internet se han convertido en un objetivo para los piratas informáticos, que quieren aprovecharse de la reputación, el ancho de banda y el tiempo de actividad, y la disponibilidad continuos de servidores de alojamiento web, servidores de nombres y centros de datos para lanzar campañas cada vez más grandes. (Consulte “Fracturas en un ecosistema frágil”, página 44).

Si bien las tendencias como computación en la nube y movilidad están reduciendo la visibilidad y aumentando la complejidad de la seguridad, aún así, las organizaciones deben adoptarlas, porque ellas son fundamentales para desarrollar ventaja competitiva y éxito comercial. No obstante, están surgiendo brechas de seguridad, que se amplían día a día, dado que los equipos de seguridad intentan ajustar las soluciones tradicionales con maneras novedosas y en constante evolución para hacer negocios. Mientras tanto, los actores malintencionados están trabajando más rápido para explotar las brechas que las soluciones puntuales no integradas simplemente no pueden reducir. Y están teniendo éxito, porque cuentan con los recursos para ser más ágiles.

La red de ciberdelito se está expandiendo, fortaleciendo, y está funcionando cada vez más como cualquier red empresarial legítima y sofisticada. La jerarquía de ciberdelincuentes actual es como una pirámide (consulte la Figura 1). En la parte inferior se encuentran los oportunistas no técnicos y los usuarios de “crimeware como un servicio” que desean hacer dinero,

La infraestructura básica de Internet

se ha convertido en un objetivo para los

piratas informáticos.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9004dfok&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=

https://www.facebook.com/sharer/sharer.php?u=http%3A%2F%2Fwww.cisco.com%2Fweb%2Foffers%2Flp%2F2014-annual-security-report%2Findex.html%3FPOSITION%3Dsocial%252bmedia%252bshare%26COUNTRY_SITE%3Dus%26CAMPAIGN%3Dasr2014%26CREATIVE%3Dpage%252b9%252bquote%26REFERRING_SITE%3Dfacebook&t

http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9001d79l&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%209%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20emerging%20security%20gaps.%0A%0Ahttp%3A//cs.co/9008d79s


una declaración, o ambos con sus campañas. En el medio están los resellers y mantenedores de infraestructuras: los “intermediarios”. En la parte superior se hallan los innovadores técnicos, los jugadores principales más buscados por las autoridades encargadas del orden público, y que más difícil resulta encontrar.

Por lo general, los ciberdelincuentes modernos tienen objetivos comerciales claros cuando lanzan sus ataques. Saben qué información están buscando y qué resultados desean obtener, y conocen la ruta que deben tomar para alcanzar estos objetivos. Los adversarios dedicarán una importante cantidad de tiempo en investigar a sus víctimas, con frecuencia a través de información disponible públicamente en redes sociales, y en planificar estratégicamente sus objetivos.

Muchos actores en la denominada “economía sumergida” ahora también envían malware de vigilancia para recopilar información acerca de un entorno, incluida la tecnología de seguridad implementada, con el fin de idear sus ataques. Este reconocimiento previo a la explotación es la manera que tienen algunos escritores de malware para estar seguros de que su malware funcionará. Una vez integrado en una red, el malware avanzado que diseñan se puede comunicar con servidores de comando y control en el exterior y extenderse lateralmente en la infraestructura para ejecutar su misión: ya sea el robo de datos esenciales o la interrupción de sistemas críticos.

FIGURA 1

La jerarquía de ciberdelincuentes

Innovadores de servicios

Resellers/mantenedores de infraestructura

Oportunistas no técnicos/usuarios de Crimeware como servicio

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9001dfo5&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9002d79a&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2010%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20read%20more%20about%20the%20%22Shadow%20Economy.%22%0A%0Ahttp%3A//cs.co/9004d7ir


Erosión de la confianzaLas amenazas diseñadas para aprovechar la confianza que tienen los usuarios en sistemas, aplicaciones, y las personas y los negocios que conocen constituyen, hoy en día, elementos permanentes del mundo cibernético.

Examine casi cualquier esquema y, en el centro, encontrará cierto abuso de confianza: malware enviado a usuarios que navegan legítimamente sitios web convencionales. Correos electrónicos no deseados que parecen enviados por empresas muy conocidas, pero que contienen vínculos a sitios malintencionados. Aplicaciones móviles de terceros vinculadas con malware y descargadas de populares catálogos de soluciones en línea. Personas de una organización que tienen privilegios de acceso a información confidencial y los usan para robar propiedad intelectual de los empleados.

Todos los usuarios deben suponer que es probable que nada del mundo cibernético sea de confianza. Y los profesionales de seguridad pueden hacerle un favor a sus organizaciones al no confiar en ningún tráfico de red3, o no teniendo plena fe en las prácticas de seguridad de los proveedores o las cadenas de suministro que proporcionan tecnología a la empresa. Sin embargo, las organizaciones en los sectores público y privado, los usuarios individuales, e incluso los estados nación querrán asegurarse de que pueden confiar en las tecnologías fundamentales en las que confían todos los días.

Esta necesidad de confianza en la seguridad ha permitido promover el avance de los “Criterios comunes” (Common Criteria for Information Technology Security Evaluation), el lenguaje y el marco que permite que los organismos estatales y otros grupos definan los requisitos que deben cumplir los productos tecnológicos para garantizar que sean confiables. Hoy, 26 países, incluido Estados Unidos, están participando en el Acuerdo de Reconocimiento de Criterios Comunes (Common Criteria Recognition Arrangement), un acuerdo multilateral que proporciona el reconocimiento mutuo de los productos evaluados por parte de los gobiernos que participan.

Sin embargo, en 2013, la confianza en general sufrió un revés. El catalizador: Edward Snowden. El excontratista del Gobierno de EE. UU. filtró información secreta al periódico británico The Guardian; esta información la obtuvo mientras trabajaba en una misión para la Agencia Nacional de Seguridad (NSA) de EE. UU.4

Los usuarios deberían suponer

que no se puede ni debe confiar en nada en el mundo cibernético.




Las revelaciones de Snowden a los medios hasta la fecha incluyen detalles acerca de la vigilancia electrónica de la NSA y del programa de recolección de datos, PRISM5, así como también de un programa separado de la NSA-GCHQ6 conocido como MUSCULAR, a través del cual supuestamente se interceptaban las redes de fibra óptica que transportan tráfico de los centros de datos en el extranjero de las principales empresas de Internet.7

Estas y otras revelaciones realizadas por Snowden acerca de las prácticas de vigilancia del gobierno han minado la confianza en muchos niveles: entre estados nación, entre gobiernos y el sector privado, entre ciudadanos particulares y sus gobiernos, y entre ciudadanos particulares y las organizaciones en los sectores público y privado. Naturalmente, también han generado preocupaciones acerca de la presencia y los riesgos potenciales tanto de las vulnerabilidades no intencionales como de las puertas traseras o “backdoors” intencionales en los productos tecnológicos, y acerca de si los proveedores están haciendo lo suficiente para evitar estas debilidades y proteger a los usuarios finales.

Principales desafíos de seguridad para 2014Mientras se socava la confianza, y a medida que se vuelve más difícil definir qué sistemas y relaciones son confiables y cuáles no, las organizaciones se enfrentan a varios problemas clave que debilitan su capacidad para abordar la seguridad:

1 | Mayor área de superficie de ataque2 | Proliferación y sofisticación del modelo del ataque3 | Complejidad de amenazas y soluciones

Estos problemas combinados crean y exacerban las brechas de seguridad, que permiten que los actores malintencionados lancen explotaciones con más rapidez de lo que las organizaciones pueden abordar sus debilidades de seguridad.

Estos riesgos y amenazas se examinan con más detalles en las páginas siguientes.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9001dfoU&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9006d7ie&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2012%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20key%20issues%20undermining%20security.%0A%0Ahttp%3A//cs.co/9009d7i9


1 | Mayor área de superficie de ataque

La superficie de ataque actual presenta infinidad de posibilidades para que los actores malintencionados debiliten un ecosistema de seguridad grande y frágil. La superficie ha crecido de manera exponencial y continúa expandiéndose: demasiados terminales, demasiados avances, demasiados datos fuera del control de la empresa.

Los datos representan el premio que la mayoría de los adversarios desea alcanzar a través de sus campañas, porque equivalen básicamente a dinero. Si los datos tienen algún “valor en la calle” —ya sea si se trata de propiedad intelectual de una corporación importante o de los datos de servicios de salud de una persona—, son deseables y, en consecuencia, están en riesgo. Si el valor del objetivo es mayor que el riesgo de comprometerlo, será pirateado. Incluso las organizaciones pequeñas están en riesgo de ser pirateadas. Y a la mayoría de las organizaciones —grandes y pequeñas— ya las han vulnerado sin siquiera tener conocimiento de ello: el 100% de las redes comerciales que analizó Cisco envían tráfico a sitios web que alojan malware.

FIGURA 2

La anatomía de una amenaza moderna

Internet y aplicaciones en la nube

Red pública

Campus

Perímetro

Empresas

Centro de datos

El punto de entrada de infección ocurre fuera de la empresa

La ciberamenaza avanzada traspasa la defensa perimetral

La amenaza se extiende e intenta ex�ltrar datos de valor




https://www.facebook.com/sharer/sharer.php?u=http%3A%2F%2Fwww.cisco.com%2Fweb%2Foffers%2Flp%2F2014-annual-security-report%2Findex.html%3FPOSITION%3Dsocial%252bmedia%252bshare%26COUNTRY_SITE%3Dus%26CAMPAIGN%3Dasr2014%26CREATIVE%3Dfigure%252b2%26REFERRING_SITE%3Dfacebook&t

http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9008d7cp&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2013%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20the%20anatomy%20of%20modern%20threat.%0A%0Ahttp%3A//cs.co/9001d7cX


La anatomía de una amenaza moderna, esbozada en la Figura 2, subraya cómo el objetivo final de muchas campañas de ciberdelito es alcanzar el centro de datos y exfiltrar datos de valor. En este ejemplo, ocurre una acción malintencionada en un dispositivo fuera de la red de la empresa. Provoca una infección, que se mueve a una red del campus. Dicha red funciona como plataforma de lanzamiento hacia la red de la empresa y, luego, la amenaza se abre camino hacia el tesoro escondido: el centro de datos.

En vista del área en expansión de la superficie de ataque y de la selección de datos de gran valor como objetivo por parte de los piratas informáticos, los expertos en seguridad de Cisco recomiendan que las empresas busquen dar respuesta a dos preguntas importantes en 2014: “¿Dónde residen nuestros datos críticos?” y “Cómo podemos crear un entorno seguro para proteger dichos datos, especialmente cuando los nuevos modelos empresariales, como la computación en la nube y la movilidad, nos dejan con poco control sobre ellos?”

2 | Proliferación y sofisticación del modelo de ataque

El panorama de amenazas actual no se parece en nada al de solo 10 años atrás. Los ataques simples que provocaban daño controlable han dado lugar a operaciones modernas de ciberdelito, que son sofisticadas, están bien financiadas y son capaces de generar interrupciones importantes en las organizaciones.

Las empresas se han convertido en el foco de los ataques dirigidos. Estos ataques son muy difíciles de detectar, permanecen en las redes durante períodos prolongados y acumulan recursos de la red para lanzar ataques en otros lugares.

Para cubrir la secuencia completa de los ataques, las organizaciones deben abordar una amplia gama de vectores de ataque, con soluciones que operen en cualquier lugar en el que pueda manifestarse la amenaza: en la red, en terminales, en dispositivos móviles y en entornos virtuales.

“¿Dónde residen nuestros datos críticos?” y “¿cómo podemos crear un entorno seguro para proteger esos datos, en especial cuando los nuevos modelos empresariales, como la computación en nube y la movilidad, solo nos permiten tener poco control sobre ellos?”.Expertos en seguridad de Cisco

El objetivo final de muchas campañas de delitos informáticos

es tener acceso al centro de datos y filtrar datos valiosos.




3 | Complejidad de amenazas y soluciones

Lejos han quedado los días en que los bloqueadores de correo electrónico no deseado y el software antivirus podían ayudar a proteger un perímetro de red fácilmente definido de la mayoría de las amenazas. Las redes actuales van más allá de los límites tradicionales, y evolucionan constantemente para generar nuevos vectores de ataque: dispositivos móviles, aplicaciones móviles y habilitadas para la web, hipervisores, medios sociales, navegadores web, computadoras domésticas e incluso vehículos. Las soluciones de un momento dado (point-in-time) no pueden responder a los miles de tipos de tecnologías y estrategias que usan los actores malintencionados. Esto dificulta aún más la supervisión y la administración de la seguridad de la información para los equipos de seguridad.

Las vulnerabilidades organizativas están en aumento porque las empresas están trabajando a través de soluciones puntuales desagregadas y diversas plataformas de administración. El resultado: un conjunto de tecnologías dispares en puntos de control que nunca se diseñaron para trabajar juntas. Esto aumenta el potencial de comprometer la información del cliente, la propiedad intelectual y otra información confidencial, y pone en riesgo la reputación de la empresa.

Se requiere una capacidad continua que proporcione la mejor oportunidad para satisfacer los desafíos de los complejos entornos de amenazas. Los ataques incesantes no ocurren en un momento específico; son continuos. De manera que también deben ser continuas las defensas de la empresa.

Con la complejidad de las amenazas y las soluciones correspondientes que alcanzaron un máximo histórico, las organizaciones deben repensar sus estrategias de seguridad. En lugar de confiar en soluciones puntuales, pueden minimizar la complejidad mediante la integración continua de la seguridad en la estructura de la red misma, de manera que la red pueda:

•Supervisar y analizar archivos continuamente e identificar el subsiguiente comportamiento malintencionado ni bien se produzca.

•Ayudar a las organizaciones a escalar el cumplimiento de la ley mediante la expansión de la superficie en la que se pueden colocar los dispositivos de red.

•Acelerar el tiempo de detección, porque puede ver más tráfico.

•Otorgar a las organizaciones la capacidad de agregar reconocimiento único del contexto que no es posible obtener mediante la sola confianza en dispositivos específicos de seguridad.

Las soluciones de un momento dado

no pueden responder al sinnúmero de tecnologías

y estrategias que utilizan los actores

maliciosos.




El cambio hacia la movilidad y los servicios en la nube está imponiendo una carga mayor de seguridad en los terminales y dispositivos móviles que, en algunos casos, pueden no tocar nunca la red de la empresa. El hecho es que los dispositivos móviles introducen riesgo de seguridad cuando se usan para acceder a los recursos de la empresa; se conectan fácilmente con servicios de terceros en la nube y computadoras con posturas de seguridad que son potencialmente desconocidas y están fuera del control de la empresa. Además, el malware móvil está creciendo rápidamente, lo que aumenta aún más el riesgo. Dada la falta de visibilidad —siquiera básica—, la mayoría de los equipos de seguridad de TI no cuentan con la capacidad para identificar amenazas potenciales de estos dispositivos.

Los enfoques avanzados, como la capacidad continua, desempeñarán un papel más importante gracias a que abordan el malware avanzado a través del análisis de los datos masivos que agregan datos y eventos en la red ampliada para proporcionar una mayor visibilidad incluso después de que se ha movido un archivo a la red o entre terminales. Esto difiere de la seguridad en los terminales en un momento dado que analiza archivos en un momento específico inicial para determinar una disposición de malware. El malware avanzado puede evadir este análisis para establecerse rápidamente en los terminales y extenderse a través de las redes.

Sistemas transparentes y confiablesEn vista de la mayor área de superficie de ataque, la creciente proliferación y sofisticación del modelo de ataque, y la complejidad de las amenazas y soluciones, debemos confiar en la información que consumimos, junto con los sistemas que la distribuyen, sin importar cómo accedemos a los servicios en red.

La creación de un entorno de red verdaderamente seguro se vuelve incluso más compleja a medida que los gobiernos y las empresas invierten en movilidad, colaboración, computación en la nube y otras maneras de virtualización. Estas funcionalidades permiten mejorar la

Los dispositivos móviles aportan riesgos de seguridad cuando

se los utiliza para tener acceso a los recursos

de la empresa.




recuperabilidad, aumentar la eficiencia y reducir los costos, pero también pueden introducir riesgos adicionales. La seguridad de los procesos de fabricación que crean productos de TI también está en riesgo, y los productos falsificados y alterados constituyen un problema en aumento. Como resultado, la mayoría de los líderes actuales de gobiernos y empresas identifican los problemas de la ciberseguridad y la confianza asociada como las preocupaciones principales. La pregunta que deberían hacer los profesionales de seguridad es: ¿Qué haríamos diferente si supiéramos que un compromiso fuera inminente?

Los actores maliciosos buscarán y explotarán cualquier debilidad de seguridad en la cadena de abastecimiento tecnológico. Las vulnerabilidades y puertas traseras intencionales en productos de tecnología pueden proporcionarles, en última instancia, el acceso a “toda la casa”. Las puertas traseras han sido un problema de seguridad por mucho tiempo y deberían ser una preocupación para las organizaciones, porque existen solamente para ayudar a facilitar la actividad furtiva o delictiva.

El desarrollo de sistemas confiables significa crear seguridad desde cero, desde el principio hasta el final del ciclo de vida de un producto. Cisco Secure Development Lifecycle (CSDL)8 recomienda una metodología repetible y medible diseñada para desarrollar la seguridad del producto en la etapa de concepto del producto, minimizar las vulnerabilidades durante el desarrollo y aumentar la recuperabilidad de los productos ante un ataque.

Los sistemas confiables proporcionan la base para un enfoque de mejora continua de la seguridad, que anticipe y prevenga nuevas amenazas. Dichas infraestructuras no solo protegen información fundamental, sino que también, y más importante, ayudan a evitar interrupciones de servicios críticos. Los productos confiables respaldados por proveedores confiables permiten a sus usuarios minimizar los costos y los daños a la reputación como consecuencia de la apropiación indebida de información, los cortes de servicio y las violaciones de información.

Los sistemas confiables, sin embargo, no deben confundirse con la inmunidad a un ataque externo. Los clientes de TI y los usuarios tienen un papel importante que desempeñar a fin de mantener la eficacia de los sistemas confiables para rechazar los intentos de corromper sus operaciones. Esto incluye la instalación oportuna de actualizaciones y parches de seguridad, la constante vigilancia para reconocer comportamientos anormales del sistema y la adopción de contramedidas eficaces contra los ataques.

Los actores maliciosos buscarán

y explotarán cualquier debilidad de seguridad

en la cadena de abastecimiento

tecnológico.




Las tecnologías no se quedan quietas; tampoco los atacantes. La garantía de confiabilidad de un sistema debe cubrir el ciclo de vida completo de una red, desde el diseño inicial hasta la fabricación, la integración del sistema, la operación diaria, el mantenimiento y las actualizaciones, y, en última instancia, la retirada de la solución.

La necesidad de sistemas confiables se extiende más allá de la red propia de una organización para incluir aquellas redes con las que una organización puede conectarse. Los equipos de Cisco Security Research and Operations han observado, en el último año, un aumento del uso de pivoting. La técnica de pivoting en el ciberdelito involucra el uso de una puerta trasera, vulnerabilidad o explotación simple de la confianza en algún punto de la secuencia de ataque como un trampolín para lanzar una campaña más sofisticada contra objetivos mucho más grandes, como la red de una firma de energía importante o el centro de datos de una institución financiera. Algunos piratas informáticos usan la confianza que existe entre las organizaciones como la base para una operación de pivoting, explotando a un socio comercial de confianza para atacar y explotar a otro partner empresarial o gubernamental de confianza desprevenido.

La vigilancia es apropiada en el panorama de amenaza moderno. La seguridad debe adaptarse a todos los estados transitorios que forman parte del entorno de TI de la empresa, y debe validar perceptible y objetivamente la confianza del sistema, en función de datos y procesos confirmados e independientes. El enfoque más sostenible es una defensa dinámica adaptada al entorno único de una organización, que incluya controles de seguridad en constante evolución para que sigan siendo relevantes.9

Los sistemas confiables pueden existir en este entorno, y la transparencia es esencial para poder desarrollarlos. “Un sistema confiable debe diseñarse sobre una base sólida: prácticas de desarrollo de productos, una cadena de suministro confiable y un enfoque arquitectónico que conste de diseño de red, implementación y políticas”, dice John N.

Preocupaciones principales para 2014 de los CISO actualesA medida que los jefes de seguridad de la información (CISO) miden el panorama de amenazas actual, se enfrentan a una creciente presión de proteger terabytes de datos, respetar las estrictas normas de cumplimiento y evaluar los riesgos de trabajar con proveedores externos; todo esto con presupuestos cada vez más reducidos y equipos de TI austeros. Los CISO tienen que realizar más tareas que nunca antes y administrar amenazas complejas y sofisticadas. Los principales estrategas de seguridad de los servicios de seguridad de Cisco, quienes asesoran a los CISO sobre los enfoques de seguridad para sus organizaciones, proporcionan esta lista de las preocupaciones y desafíos más exigentes para 2014:

Administración del cumplimiento

La preocupación más generalizada entre los CISO probablemente sea la necesidad de proteger los datos que residen en una red cada vez más porosa, mientras que gastan recursos valiosos en cumplimiento. El cumplimiento por sí mismo no significa que es seguro, simplemente es una línea de base mínima que se centra en las necesidades de un entorno regulado especial. Por otro lado, la seguridad es un enfoque global que abarca todas las actividades comerciales.

Confianza en la nube

Los CISO deben tomar decisiones sobre cómo administrar la información

Continúa en la página siguiente.




Stewart, vicepresidente sénior y jefe de seguridad de Cisco. “Pero el atributo más importante es la transparencia del proveedor”.

El precio de mayor transparencia es menos privacidad, pero el equilibrio adecuado se puede alcanzar mediante cooperación, que deriva en mayores oportunidades para ajustar la inteligencia contra amenazas y las mejores prácticas de seguridad. Todas las organizaciones deben estar preocupadas por encontrar el equilibrio adecuado de confianza, transparencia y privacidad, porque es mucho lo que está en juego.

A largo plazo, se puede alcanzar mayor ciberseguridad para todos los usuarios, y se puede aprovechar el potencial completo de la economía emergente de Internet de Todo10. Pero el logro de estos objetivos dependerá de políticas de privacidad eficaces y defensas de red sólidas que distribuyan con inteligencia la carga de seguridad en los terminales y la red. A corto plazo, y tal vez más cerca del hogar, se encuentra la necesidad que tienen las empresas modernas de usar los mejores métodos y datos disponibles para ayudar a proteger sus recursos más valiosos, y asegurarse de no contribuir directamente a desafíos más amplios de ciberseguridad.

Las organizaciones actuales deben considerar el impacto que pueden tener sus prácticas de seguridad en el ecosistema de ciberseguridad más amplio y cada vez más complejo e interconectado. No tener en cuenta esta vista de “panorama general” puede hacer que una organización reciba una puntuación de mala reputación, lo que significa que ningún proveedor de seguridad líder permitirá a los usuarios acceder a su sitio. Para las empresas no es fácil salir de la lista negra, y algunas nunca se recuperan completamente.

Para conocer más sobre las prácticas de los sistemas confiables de Cisco, visite www.cisco.com/go/trustworthy.

de manera segura con presupuestos limitados y el tiempo que tienen asignado. Por ejemplo, la nube se ha convertido en una manera rentable y ágil de administrar almacenes de datos cada vez más crecientes pero trae más preocupaciones para los CISO. Los directores generales y las juntas directivas tienen el concepto de que la nube es una panacea para eliminar el hardware costoso. Desean obtener los beneficios de descargar datos en la nube y esperan que los CISO lo hagan de manera rápida y segura.

Confianza en los proveedores

Al igual que con la nube, las organizaciones recurren a los proveedores para que les proporcionen soluciones especializadas. El modelo de costos para recurrir a terceros tiene sentido. Sin embargo, estos proveedores son objetivos de gran valor para los delincuentes, quienes conocen que las defensas de terceros no siempre son sólidas.

Recuperación de infracciones de seguridad

Todas las organizaciones deben asumir que su seguridad se ha vulnerado o, por lo menos, reconocer que no se trata de determinar si serán el objetivo de un ataque, sino cuándo. Los CISO tienen presentes los actos de piratería recientes, como Operation Night Dragon, la infracción a RSA y el ataque Shamoon contra una importante empresa de gas y petróleo en 2012. (Consulte el informe de Cisco sobre la prevalencia de actividad maliciosa en las redes corporativas en la página 49).

Continúa desde la página anterior.

[

]



www.cisco.com/go/trustworthy

https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9003dfoF&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9006d7cj&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2019%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20cybersecurity%20and%20the%20Internet%20of%20Everything%20economy.%0A%0Ahttp%3A//cs.co/9001d7c9


Inteligencia contra amenazasMediante el conjunto más grande de telemetría de detección con el que es posible trabajar, Cisco y Sourcefire analizaron y recopilaron conjuntamente las perspectivas de seguridad del año pasado.


21 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas

Aumento de alertas de amenazaLas vulnerabilidades y amenazas informadas por Cisco IntelliShield® mostraron un crecimiento sostenido en 2013: a partir de octubre de 2013; los totales de alertas anuales acumulados aumentaron un 14% interanual desde 2012 (Figura 3).

Las alertas de octubre de 2013 estuvieron en su nivel más alto desde que IntelliShield comenzó a registrarlas en mayo de 2000.

También es notable el aumento significativo en las alertas nuevas en oposición a las alertas actualizadas, según los controles de IntelliShield (Figura 4). Los proveedores de tecnología e investigadores están buscando un mayor número de nuevas vulnerabilidades (Figura 5); los descubrimientos son el resultado del mayor énfasis en el uso de un ciclo de vida de desarrollo altamente seguro, así como también de las mejoras en seguridad de sus propios productos. El mayor número de vulnerabilidades nuevas también puede ser un signo de que los proveedores están examinando su código de producto y están corrigiendo las vulnerabilidades antes de lanzar los productos, y de que dichas vulnerabilidades se aprovechen.

FIGURA 3

Totales de alertas anuales acumulados: 2010-2013

0Jan. Dic.Nov.Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb.

1000

2000

3000

4000

5000

6000

7000

Mes

2013

2012

2011

2010



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9005dfoN&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9004d7cY&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2021%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20Cumulative%20Annual%20Alert%20Totals.%0A%0Ahttp%3A//cs.co/9007d7cW


FIGURA 4

Alertas nuevas y actualizadas: 2013

Jan. Nov.Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb.

NuevoAlertade amenaza

ActualizadoAlerta

Mes

224

303

386

212

333

281

387

256

221

32436

629

1

293

391

215

286

278

437

320

517

0

400

200

800

600

1000

211

347

Más atención en el desarrollo de software seguro puede permitir generar confianza en las soluciones del proveedor. Un ciclo de vida de desarrollo seguro no solo mitiga el riesgo de vulnerabilidades y permite a los proveedores detectar defectos potenciales en las primeras etapas del desarrollo, sino que también le dice a los compradores que pueden confiar en estas soluciones.



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9008dfoA&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9006d7ca&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2022%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20New%20and%20Updated%20Alerts%2C%202013.%0A%0Ahttp%3A//cs.co/9008d7cI


FIGURA 5

Categorías de amenazas comunes controladas por Cisco IntelliShield NOTA: Estas categorías de amenazas de CWE (Common Weakness Enumeration), según lo definido por la National Vulnerability Database (https://nvd.nist.gov/cwe.cfm), concuerdan con los métodos que usan los actores malintencionados para atacar las redes.

1

1 5

2

3

4

6

7

8

2

34

5

6

7

8

9

CWE-119: Errores de búfer

Otras alertas de Intellishield (actividad, problemas, CRR, AMB)

CWE-399: Errores de administración de recursos

CWE-20: Validación de entrada

9

CWE: Error de diseño

CWE-310: Problemas criptográ�cos

CWE-287: Problemas de autenticación

CWE-352: Falsi�cación de solicitud entre sitios (CSRF)

CWE-22: Cruce seguro de ruta

CWE-78: Inserciones de comandos de sistema operativo

CWE-89: Inserción de SQL

CWE-362: Condiciones de carrera

CWE-255: Administración de credenciales

CWE-59: Seguimiento de enlaces

CWE-16: Con�guración

CWE: Información insu�ciente

CWE: Otros

CWE-189: Errores numéricos

CWE-264: Permisos, privilegios y control de acceso

CWE-200: Divulgación/pérdida de información

CWE-79: Scripting entre sitios (XSS)

CWE-94: Inserción de códigos



https://nvd.nist.gov/cwe.cfm


Descendió el volumen de correo electrónico no deseado, pero el correo electrónico no deseado malintencionado sigue siendo una amenazaEl volumen de correo electrónico no deseado se encontraba en una tendencia mundial descendente en 2013. Sin embargo, si bien el volumen total puede haber disminuido, la proporción de correo electrónico no deseado malintencionado permanece constante.

Los individuos que envían correo electrónico no deseado usan la velocidad como una herramienta, para aprovecharse de la confianza de los usuarios de correo electrónico, enviando grandes cantidades de correo electrónico no deseado cuando los eventos de noticias o las tendencias disminuyen la resistencia de los destinatarios a las estafas de correo electrónico no deseado.

Después del atentado de la maratón de Boston del 15 de abril de 2013, comenzaron dos campañas de correo electrónico no deseado a gran escala: una el 16 de abril y la otra el 17 de abril, diseñadas para atraer a usuarios de correo electrónico ávidos de noticias sobre el impacto del evento. Los investigadores de Cisco primero detectaron el registro de cientos de nombres de dominios relacionados con el bombardeo a solo horas de que ocurrieran los ataques de la maratón de Boston.11

Ambas campañas de correo electrónico no deseado llevaban líneas de asunto acerca de supuestos boletines de noticias relacionados con los bombardeos, mientras que los mensajes contenían supuestos enlaces a videos de las explosiones o noticias de fuentes de medios acreditados. Los enlaces dirigían a los destinatarios a páginas web que incluían enlaces a noticias o videos verdaderos, pero también iframes

Los spammers (principales fuentes

de correo no deseado) se aprovechan del deseo de obtener más información después de un suceso

importante.




malintencionados diseñados para infectar las computadoras de los visitantes. En su punto máximo, el correo electrónico no deseado relacionado con el atentado de la maratón de Boston constituyó el 40% de todos los mensajes de correo electrónico no deseado enviados en todo el mundo el 17 de abril de 2013.

Figura 6: se muestra una de las campañas de correo electrónico no deseado de botnet disfrazada como un mensaje de CNN.12 Figure 7: se muestra el HTML de origen de un mensaje de correo electrónico no deseado del atentado de la maratón de Boston. El iframe final (parcialmente ilegible) es de un sitio web malintencionado.13

Debido a que el correo electrónico no deseado sobre noticias de última hora es tan inmediato, los usuarios de correo electrónico están más propensos a creer que los mensajes de correo electrónico no deseado son legítimos. Los spammers (principales fuentes de correo no deseado) se aprovechan del deseo de las personas de obtener más información después de un suceso importante. Cuando en el correo electrónico no deseado se proporciona a los usuarios en línea lo que ellos desean, es mucho más fácil engañarlos para que realicen una acción determinada, como hacer clic en un enlace infectado. También es mucho más fácil evitar que sospechen que algo anda mal con el mensaje.




FIGURA 6

Correo electrónico no deseado de las explosiones en la maratón de Boston

FIGURA 7

HTML de origen de un mensaje de correo electrónico no deseado del atentado de la maratón de Boston

<iframe width="640" height="360"src="https://www.youtube.com/embed/H4Mx5qbgeNo"><iframe>

<iframe width="640" height="360"src="https://www.youtube.com/embed/JVU7rQ6wUcE"><iframe>

<iframe width="640" height="360"src="https://bostonmarathonbombing.html"><iframe>




Correo electrónico no deseado: números

El volumen de correo electrónico no deseado global está descendiendo de acuerdo con los datos recopilados por Cisco Threat Research Analysis and Communications (TRAC)/SIO (Figura 8), aunque las tendencias varían de un país a otro (Figura 9).

FIGURA 8

Volumen de correo electrónico no deseado global: 2013Fuente: Cisco TRAC/SIO

0Jan. Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb.

20

40

60

80

100

120

140

160

Mes

Mil

mill

ones

por

día

FIGURA 9

Tendencias de volumen: 2013Fuente: Cisco TRAC/SIO


5

10

15

20

25

Mes

Volu

men

en

porc

enta

je

Estados Unidos

Corea, República de

China

Italia

España





http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9005d7cf&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2026%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Volume%20Trends%2C%202013.%0A%0Ahttp%3A//cs.co/9007d7c7


FIGURA 10

Temas principales para mensajes de correo electrónico no deseado en todo el mundo

1.Noti�caciones de pagos/depósitos bancariosNoti�caciones de depósitos, transferencias, pagos, cheque devuelto, alerta de fraude.

2. Compra de productos en líneaCon�rmación de pedidos de productos, solicitud de orden de compra, cotización, prueba.

3. Fotografía adjuntaFotografía maliciosa adjunta.

4. Noti�caciones de envíoFacturas, entrega o recolección, seguimiento.

5. Citas en líneaSitios de citas en línea.

6. ImpuestosDocumentos �scales, reembolsos, informes, información de deuda, declaraciones de impuestos en línea.

7. FacebookEstado de cuenta, actualizaciones, noti�caciones, software de seguridad.

8. Tarjeta de regalo o valeAlertas de diversas tiendas (Apple fue la más popular).

9. PayPalActualización de cuenta, con�rmación, noti�cación de pago, reclamación de pago.



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9003dfUB&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9001d7YB&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2027%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20Top%20Themes%20for%20Spam%20Messages%20Worldwide.%0A%0Ahttp%3A//cs.co/9002d7Y8


Explotaciones web: Java lidera el grupoDe todas las amenazas basadas en la web que debilitan la seguridad, las vulnerabilidades en el lenguaje de programación Java siguen siendo los objetivos explotados con más frecuencia por los delincuentes en línea, de acuerdo con los datos de Cisco.

Las explotaciones de Java sobrepasan en gran medida las detectadas en documentos de Flash o Adobe PDF, que también son vectores populares de actividad delictiva (Figura 11).

Los datos de Sourcefire, ahora parte de Cisco, también muestran que las explotaciones de Java constituyen la amplia mayoría (91%) de los indicadores de compromiso (IoC) que son supervisados por la solución FireAMP de Sourcefire para análisis y protección avanzados de malware (Figura 12). FireAMP detecta los compromisos activos en los terminales y, luego, registra el tipo de software que provocó cada compromiso.

FIGURA 11

Ataques malintencionados generados a través de PDF, Flash y Java 2013Fuente: Informes de Cisco Cloud Web Security

Nov.Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb.

Memoria �ash

PDF

Mes

Java

Jan.0

2%

4%

6%

10%

8%

14%

12%

16%



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9005dfUD&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9007d7Yl&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2028%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Malicious%20Attacks%20Generated%20Through%20PDF%2C%20Flash%20and%20Java%202013.%0A%0Ahttp%3A//cs.co/9004d7Ys


Para amenazas como las explotaciones de Java, los problemas más significativos que enfrentan los profesionales de seguridad son cómo se introduce el malware en su entorno de red y dónde deberán centrar sus esfuerzos para minimizar la infección. Las acciones individuales pueden no parecer malintencionadas, pero seguir una secuencia de eventos puede arrojar luz sobre la historia del malware. Determinar la secuencia de eventos es la capacidad para dirigir un análisis retrospectivo de la información que conecta la ruta que toman los actores malintencionados para traspasar la seguridad perimetral e infiltrar la red.

Por sí solos, los IoC pueden demostrar que ir a un sitio web específico es seguro. A su vez, el lanzamiento de Java puede ser una acción segura, al igual que el lanzamiento de un archivo ejecutable. Sin embargo, una organización está en riesgo si un usuario visita un sitio web con una inyección de iframe, que luego lanza Java; a continuación, Java descarga un archivo ejecutable y el archivo ejecuta acciones malintencionadas.

FIGURA 12

Indicadores de compromiso, por tipoFuente: Sourcefire (solución FireAMP)

3%Microsoft Excel

1%Microsoft PowerPoint

3%Adobe Reader

2%Microsoft Word

91%Vulnerabilidad de Java



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9006dfUE&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9009d7Yx&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2029%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Indicators%20of%20Compromise%2C%20by%20Type.%0A%0Ahttp%3A//cs.co/9002d7Y0


La ubicuidad de Java lo mantiene en los primeros puestos en la lista de herramientas favoritas para los delincuentes, lo que hace que los compromisos de Java sean, con mucho, la actividad de “secuencia de eventos” más malintencionada en 2013. Como lo explica la página web “About Java” (Acerca de Java), el 97% de los equipos de escritorio empresariales ejecutan Java, al igual que el 89% de las computadoras de escritorio generales en Estados Unidos.14

Java proporciona una superficie de ataque que es demasiado grande como para que los delincuentes la ignoren. Tienden a crear soluciones que ejecutan explotaciones en orden; por ejemplo, primero intentan violar una red o robar datos a través de la vulnerabilidad más fácil o más conocida antes de pasar a otros métodos. En algunos casos, Java es la explotación que los delincuentes eligen en primer lugar, ya que proporciona el mejor rendimiento de la inversión.

Mitigación del problema de Java

A pesar de que las explotaciones basadas en Java son comunes, y las vulnerabilidades son difíciles de eliminar, existen métodos para reducir su impacto:

•Si resulta práctico, deshabilitar Java en los navegadores de toda la red puede evitar que se lancen estas explotaciones.

•Las herramientas de telemetría, como Cisco NetFlow, integradas en muchas soluciones de seguridad, pueden supervisar el tráfico asociado a Java y otorgar a los profesionales de seguridad una mayor comprensión de las fuentes de amenazas.

•La administración integral de parches puede cerrar muchas brechas de seguridad.

•Las herramientas de supervisión y análisis de terminales, que continúan controlando y analizando archivos después de que ingresan en la red, pueden detectar en retrospectiva y detener las amenazas que pasaron como seguras pero luego exhibieron comportamiento malintencionado.

•Se puede generar una lista prioritaria de dispositivos potencialmente comprometidos mediante el uso de IoC para correlacionar inteligencia de malware (incluso eventos aparentemente benignos) y para identificar una infección de día cero sin firmas antivirus existentes.

Actualizar a la última versión de Java también ayudará a evitar las vulnerabilidades. De acuerdo con la investigación de Cisco TRAC/SIO, el 90% de los clientes de Cisco usan una versión del entorno Java 7 Runtime Environment, la versión más reciente del programa. Esto es bueno desde el punto de vista de la seguridad, ya que esta versión puede ofrecer más protección contra vulnerabilidades.




Sin embargo, la investigación de Cisco TRAC/SIO también muestra que el 76% de las empresas que usan soluciones de Cisco también usan Java 6 Runtime Environment, además de Java 7. Java 6 es la versión anterior que se discontinuó y ya no cuenta con soporte. Por lo general, las empresas usan ambas versiones del entorno Java Runtime Environment porque las diferentes aplicaciones dependen de diferentes versiones para ejecutar el código Java. Sin embargo, dado que más de tres cuartos de las empresas encuestadas por Cisco usan una solución descontinuada y con vulnerabilidades que puede que nunca se revisen públicamente, los delincuentes tienen amplias oportunidades para explotar las debilidades.

En 2013, los hallazgos de malware web de Java llegaron a su punto máximo en abril, en el 14% de todos los hallazgos de malware web. Estos hallazgos descendieron a su punto más bajo en mayo y junio de 2013, en aproximadamente el 6% y el 5% de todos los hallazgos de malware web, respectivamente (Figura 13).

(A principios de este año, Oracle anunció que ya no publicaría actualizaciones de Java SE 6 en su sitio de descargas público, aunque las actualizaciones de Java SE 6 existentes estarán disponibles en el archivo de Java en la red de tecnología de Oracle).

Si los profesionales de seguridad que tienen tiempo limitado para combatir las explotaciones web deciden centrar más su atención en Java, estarán colocando sus recursos en el lugar adecuado.

FIGURA 13

Hallazgos de malware web Java: 2013Fuente: Cisco TRAC/SIO


Mes

Jan.

7,50

%

6,75

%

9,00

%

14,0

0%

6,00

%

5,00

%

12,2

5%

7,50

%

6,25

%

9,50

%

6,50

%

0

2%

4%

6%

10%

8%

12%

14%




BYOD y movilidad: la maduración de dispositivos beneficia el ciberdelitoLos ciberdelincuentes y sus víctimas comparten un desafío común: ambos intentan entender cómo usar mejor las tendencias BYOD (Traiga su propio dispositivo) y movilidad para obtener ventaja comercial.

Existen dos factores que parecen estar ayudando a los delincuentes a lograr una ventaja. En primer lugar está la maduración de las plataformas móviles. Los expertos de seguridad de Cisco observan que cuanto más se asemeja el funcionamiento de smartphones, tablets y otros dispositivos al de los equipos de escritorio y las computadoras portátiles tradicionales, más fácil resulta diseñar malware para ellos.

En segundo lugar, el creciente uso de aplicaciones móviles. Cuando los usuarios descargan aplicaciones móviles, básicamente están colocando un cliente ligero en el terminal y descargando código. Otro desafío: muchos usuarios descargan aplicaciones móviles con regularidad sin pensar en la seguridad.

Mientras tanto, los equipos de seguridad actual están lidiando con el problema de cualquiera con cualquiera (any-to-any): cómo asegurar a cualquier usuario, en cualquier dispositivo, ubicado en cualquier, con acceso a cualquier aplicación o recurso.15 La tendencia BYOD no hace más que complicar estos esfuerzos. Resulta difícil administrar todos estos tipos de equipos, especialmente con un presupuesto de TI limitado. En un entorno BYOD, el gerente de seguridad de la información (CISO), debe estar especialmente seguro de que la sala de datos esté controlada rigurosamente.

La movilidad ofrece nuevas maneras de comprometer a los usuarios y a los datos. Los investigadores de Cisco han observado a determinados actores usar canales inalámbricos para obtener acceso a datos que se intercambian a través de esos canales. La movilidad también presenta una gama de problemas de seguridad para las organizaciones, incluida la pérdida de propiedad intelectual y otra información confidencial si el dispositivo de un empleado se pierde o lo roban y no está asegurado.

Muchos usuarios descargan aplicaciones móviles con frecuencia

sin pensar en la seguridad.




Establecer un programa formal para administrar dispositivos móviles a fin de garantizar que todos los dispositivos sean seguros antes de que accedan a la red es una solución para mejorar la seguridad de la empresa, de acuerdo con los expertos de Cisco. Como mínimo, se debe requerir un bloqueo del número de identificación personal (PIN) para la autenticación del usuario, y el equipo de seguridad debe ser capaz de desactivar o limpiar el dispositivo de manera remota si se pierde o lo roban.

Tendencias de malware móvil: 2013

La siguiente investigación sobre tendencias de malware móvil durante 2013 fue realizada por Cisco TRAC/SIO y por Sourcefire, ahora parte de Cisco.

El malware móvil que se dirige a dispositivos específicos solo constituye el 1,2% del total de malware web detectado en 2013. Si bien no es un porcentaje significativo, aún merece mencionarse porque el malware móvil es claramente un área emergente —y lógica— de exploración para los desarrolladores de malware.

De acuerdo con los investigadores de Cisco TRAC/SIO, cuando el malware móvil tiene la intención de comprometer un dispositivo, el 99% de todos los hallazgos se dirigen a dispositivos Android. Los troyanos dirigidos a dispositivos compatibles con Java Micro Edition (J2ME) sostuvieron el segundo lugar en 2013, con el 0,84% de todos los hallazgos de malware móvil.

Sin embargo, no todo el malware móvil está diseñado para dirigirse a dispositivos específicos. Muchos hallazgos involucran phishing, likejacking u otros usos de ingeniería social, o redireccionamientos forzosos a sitios web distintos de los esperados. Un análisis de agentes de usuario realizado por Cisco TRAC/SIO revela que los usuarios de Android, en el 71%, tienen las tasas más altas de hallazgos con todas las maneras de malware basado en la web, seguidos por los usuarios de Apple iPhone, en el 14% de todos los hallazgos de malware web (Figura 14).

Los investigadores de Cisco TRAC/SIO también informaron evidencia de esfuerzos por rentabilizar los compromisos de Android durante 2013, incluidos los lanzamientos de adware y spyware relacionado con pequeñas y medianas empresas (SME).

En el 43,8%, Andr/Qdplugin-A fue el malware móvil hallado con más frecuencia, de acuerdo con la investigación de Cisco TRAC/SIO. Los hallazgos típicos se realizaron a través de copias reempaquetadas de aplicaciones legítimas distribuidas a través de catálogos de soluciones no oficiales (Figura 15).

El malware móvil que se dirige

a dispositivos específicos solo constituye el 1,2% del total de malware

web detectado en 2013.




FIGURA 14

Hallazgos de malware web por dispositivo móvilFuente: Informes de Cisco Cloud Web Security

Andr

oid

iPho

ne

iPad

Blac

kBer

ry

Noki

a

Sym

bian

iPod

Huaw

ei

Win

dow

sTe

léfo

no

Mot

orol

a

Play

stat

ion

Nook

Zune

WP

Kind

le

Win

dow

s CE

0

40%

20%

80%

60%

100%

FIGURA 15

Principales 10 hallazgos de malware móvil: 2013 Fuente: Informes de Cisco Cloud Web Security

Andr

/Qdp

lugi

n-A

Andr

/New

year

L-B

Andr

/Sm

sSpy

-J

Andr

/SM

SSen

d-B

Andr

/Spy

-AAH

Troj

an.A

ndro

idO

S.Pl

angt

on.a

Andr

/Dro

idRt

-A

Andr

/Gm

aste

r-E

Andr

oidO

S.W

oobo

o.a

Troj

an-S

MS.

Andr

oidO

S.Ag

ent.a

o

Andr

/Dro

idRt

-C

0

20%

10%

40%

30%

50%



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9008dfUG&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9002d7l6&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2034%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Web%20Malware%20Encounters%20by%20Mobile%20Device.%0A%0Ahttp%3A//cs.co/9006d7lE


FIGURA 16

Principales familias de malware Android observadas en 2013NOTA: SMSSend representa el 98% de todo el malware Android; el 2% restante se muestra proporcionalmente. Fuente: Sourcefire

16%

14%11% 10% 7%

7%

6% 4% 4%4%

4%

Andr.T

rojan

DroidK

ungF

u

Andr

.Tro

jan.

Opfa

ke

Andr

.Tro

jan.

Anse

rver

Andr

.Exp

loit.

Gin

gerb

reak

Andr

.Exp

loit.

Ratc

BC.E

xplo

it.An

drAn

dr.E

xplo

it.Ex

ploi

dAn

dr.T

roja

n.St

els

Andr

.Tro

jan.

Gein

imi

Adnr

.Troj

an.D

roid

Drea

mLig

ht

(>1%

) And

r.Tro

jan.

NotC

ompa

tible

(>1%

) And

r.Tro

jan.

Rogu

eSPP

ush

(>1%

) And

r.Tro

jan.

TGLo

ader

(>1%

) And

r.Tro

jan.

Ackp

osts

(>1%

) And

r.Tro

jan.

OBa

d

(>1%

) And

r.Tro

jan.

Chu

li

(>1%

) And

r.Tro

jan.

Gin

gerM

aste

r

(>1%

) And

r.Tro

jan.

Badn

ews

(>1%

) And

r.Tro

jan.

Fake

Tim

er

(1%

) And

r.Tro

jan.

Gon

esix

ty(1

%) A

ndr.T

roja

n.Km

in(1

%) A

ndr.T

roja

n.Zs

one

(1%

) And

r.Tro

jan.

Plan

kton

Andr

.Troj

an.A

drd

Andr.T

rojan

.Gold

drea

m

Andr.T

rojan

.And

rora

t

(2%) And

r.Tro

jan.P

japps

(2%) And

r.Troj

an.YZHC

3%3%

3%

98%Andr.SMSSend



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9000dfUy&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9003d7lz&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2035%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Top%20Android%20Malware%20Families%20Observed%20in%202013.%0A%0Ahttp%3A//cs.co/9005d7lX


Ataques dirigidos: el desafío de desalojar “visitantes” ubicuos y persistentesSon altas las probabilidades de que los ataques dirigidos ya se hayan infiltrado en sus redes.

Y cuando realmente se alojan en el interior de una red, tienden a quedarse cerca, robar datos furtivamente o usar los recursos de la red como trampolín para luego atacar a otras entidades (para más información sobre pivoting, consulte la página 18). El daño va más allá del robo de datos o la interrupción de la actividad comercial: la confianza entre partners y clientes se puede evaporar si estos ataques no se desalojan de las redes de manera oportuna.

Los ataques dirigidos amenazan la propiedad intelectual, los datos del cliente y la información sensible del gobierno. Sus creadores usan herramientas sofisticadas que burlan la infraestructura de seguridad de una organización. Los delincuentes hacen todo lo posible para asegurarse de que estas violaciones pasen desapercibidas y usan métodos que derivan en “indicadores de compromiso” o IoC casi imperceptibles. Su enfoque metódico para obtener acceso a las redes y llevar a cabo su misión involucra una “secuencia de ataque”: la secuencia de eventos previos a un ataque y que determinan sus fases.

Una vez que estos ataques dirigidos encuentran un lugar para ocultarse en la red, llevan a cabo sus tareas con eficacia, y generalmente las realizan sin que se los detecte.

Los delincuentes hacen un gran esfuerzo para asegurarse de que

no se detecten sus infracciones.




FIGURA 17

La secuencia de ataque Para comprender la selección de amenazas actuales y defender con eficiencia la red, los profesionales de seguridad de TI deben pensar como atacantes. Con una comprensión más profunda del enfoque metódico que usan los actores malintencionados para ejecutar su misión, las organizaciones pueden identificar maneras de fortalecer sus defensas. La secuencia de ataque, una versión simplificada de la secuencia de ciberguerra (“cyber kill chain”), describe los eventos previos a un ataque y que determinan sus fases.

1. EncuestaObtenga un panorama completo de un entorno: redes, terminal, dispositivos móviles y virtuales, entre otras, las tecnologías implementadas para asegurar el entorno.

2. EscribirCree malware dirigido y sensible al contexto.

3. PruebaAsegúrese de que el malware funcione como está previsto, en especial, de manera que pueda evadir las herramientas de seguridad implementadas.

4. EjecutarNavegue por la red extendida, tenga en cuenta el entorno, evada las detecciones y muévase lateralmente hasta alcanzar el objetivo.

5. Cumplir la misiónReúna datos, cree interrupciones o cause destrucción.




Instantánea de malware: tendencias observadas en 2013Los expertos de seguridad de Cisco realizan investigaciones y análisis continuos del tráfico de malware y otras amenazas descubiertas, que pueden proporcionar perspectivas sobre el posible comportamiento delictivo futuro y ayudar en la detección de amenazas.

FIGURA 18

Categorías principales de malware En esta figura se muestran las categorías principales de malware. Los troyanos son el malware más frecuente, seguidos por el adware. Fuente: Sourcefire (soluciones ClamAV y FireAMP)

Troy

ano

Adw

are

Gus

ano

Viru

s

Desc

arga

dor

Inst

alad

or d

e m

alw

are

(0%

)

64% 20% 8% 4% 4%

FIGURA 19

Familias principales de malware de Windows En esta figura se muestran las familias principales de malware para Windows. La más grande, Trojan.Onlinegames, comprende principalmente a ladrones de contraseñas. La detecta la solución de antivirus ClamAV de Sourcefire. Fuente: Sourcefire (solución ClamAV)

Onl

ineg

ames

Mul

tiplu

g(A

dwar

e)

Syfr

o

Meg

asea

rch

Zeus

bot

Gam

evan

ce

Blac

khol

e

Hupi

gon

Spye

ye (>

1%)

41% 14% 11% 10% 10% 7% 4% 3%



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9001dfUJ&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9004d7lg&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2038%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Top%20Malware%20Categories.%0A%0Ahttp%3A//cs.co/9005d7l9

https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9002dfUK&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9009d7ll&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2038%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Top%20Windows%20Malware%20Families.%0A%0Ahttp%3A//cs.co/9000d7lm


FIGURA 20

10 categorías principales de hosts de malware web: 2013 En esta figura se muestran los hosts de malware más frecuentes, de acuerdo con la investigación de Cisco TRAC/SIO. Fuente: Informes de Cisco Cloud Web Security


5%

10%

15%

20%

25%

30%

35%

40%

Mes

Publicidad

Negocios e industria

Comunidades en Internet

Computadoras e Internet

Infraestructura

NoticiasCompras

Motores de búsqueda y portales

Alojamiento web

Sin clasi�car

Otro

Nov.

45%

FIGURA 21

Categorías de malware, por porcentaje de hallazgos totales: 2013Fuente: Cisco TRAC/SIO

Troy

anos

par

a va

rios

usos

iFra

mes

y ex

ploi

ts

Troy

anos

par

a ro

bo d

e da

tos

Desc

arga

dor

e in

stal

ador

de

mal

war

e

Rans

omw

are

y sc

arew

are

Gus

anos

y v

irus

(1%

)SM

S, s

upla

ntac

ión

de id

entid

ad(p

hish

ing)

y li

keja

ckin

g

(1%

)C

onst

ruct

ores

y he

rram

ient

as d

e pi

rate

ría

27% 23% 22% 17% 5% 3%



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9000dfUr&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9001d7lW&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2039%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Top%20Ten%20Categories%20of%20Web%20Malware%20Hosts%2C%202013.%0A%0Ahttp%3A//cs.co/9006d7mM

https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9001dfUT&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9005d7mz&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2039%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Malware%20Categories%2C%20by%20Percentage%20of%20Total%20Encounters%2C%202013.%0A%0Ahttp%3A//cs.co/9002d7my


FIGURA 22

Hosts de malware y direcciones IP únicos: 2013 Fuente: Informes de Cisco Cloud Web Security


ÚnicoHost

Mes

ÚnicoIP

Jan.0

10 000

30 000

20 000

50 000

40 000

60 000

La investigación de Cisco TRAC/SIO durante 2013 muestra que los troyanos multipropósito fueron el malware basado en la web hallado con más frecuencia, en el 27% del total de hallazgos. Los scripts malintencionados, como explotaciones e iframes, fueron la segunda categoría que se halló con más frecuencia, en el 23%. Los troyanos de robo de datos, como los ladrones de contraseñas y las puertas traseras, constituyen hasta el 22% del total de hallazgos de malware web, y los troyanos descargadores e instaladores de malware se encuentran en el cuarto lugar con el 17% del total de hallazgos (consultar la Figura 21).

El descenso sostenido en los hosts de malware y las direcciones IP únicos —un descenso del 30% entre enero de 2013 y septiembre de 2013— sugiere que el malware está concentrado en menos hosts y menos direcciones IP (Figura 22). (Nota: Una dirección IP puede servir a sitios web de múltiples dominios). A medida que disminuye la cantidad de hosts —incluso cuando el malware permanece sin cambios—, se vuelve más importante el valor y la reputación de estos hosts, ya que los hosts buenos ayudan a los delincuentes a lograr sus objetivos.



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9002dfUp&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9009d7mP&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2040%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Unique%20Malware%20Hosts%20and%20IP%20Addresses%2C%202013.%0A%0Ahttp%3A//cs.co/9001d7mR


Objetivos principales: mercados verticales del sectorLas empresas en mercados verticales de grandes ganancias, como el sector de productos farmacéuticos y químicos y la fabricación de productos electrónicos, tienen altas tasas de hallazgos de malware web, de acuerdo con la investigación de Cisco TRAC/SIO.

La tasa sube o baja a medida que aumenta o disminuye el valor de los productos y servicios de un mercado vertical en particular.

Los investigadores de Cisco TRAC/SIO observaron un notable crecimiento en los hallazgos de malware para el sector de agricultura y minería, que anteriormente era un sector de riesgo relativamente bajo. Atribuyen el aumento en los hallazgos de malware para este sector a que los ciberdelincuentes aprovechan las tendencias, como el descenso de los recursos de metales preciosos y las interrupciones relacionadas con el clima en el suministro de alimentos.

Además, continúan aumentando los hallazgos de malware en el sector de los productos electrónicos. Los expertos de seguridad de Cisco informan que el malware dirigido a este mercado vertical generalmente está diseñado para ayudar a los actores a obtener acceso a propiedad intelectual, que a su vez usan para obtener ventaja competitiva o venden al mejor postor.

Para determinar las tasas de hallazgo de malware específicas de un sector, los investigadores de Cisco TRAC/SIO comparan la tasa mediana de hallazgos para todas las organizaciones que transmiten a través de Cisco Cloud Web Security con la tasa mediana de hallazgos para todas

Watering holes: no son un oasis para las empresas dirigidasUna manera en que los actores malintencionados intentan distribuir malware a las organizaciones en mercados verticales específicos del sector es a través del uso de ataques “watering hole”. Como cuando se observa a una presa en caza mayor, los ciberdelincuentes que buscan dirigir sus ataques a un grupo en particular (por ejemplo, personas que trabajan en el sector de aviación) supervisarán los sitios web que frecuenta dicho grupo, infectarán uno o más de estos sitios con malware y, luego, se sentarán a esperar que al menos un usuario del grupo objetivo visite el sitio y se vea comprometido.

Un ataque “watering hole” es básicamente una explotación de la confianza, porque emplea sitios web legítimos. También es una manera de spear phishing. Sin embargo, si bien el spear phishing se dirige hacia individuos específicos, los watering holes se diseñaron para comprometer a grupos de personas con intereses comunes. Los ataques “watering hole” no discriminan con respecto a sus objetivos: cualquiera que visite un sitio infectado está en riesgo.

A finales de abril, se lanzó un ataque “watering hole” desde páginas específicas que alojaban contenido nuclear en el sitio web del Departamento de Trabajo de EE. UU.16 A continuación, desde principios de mayo de 2013, los investigadores de Cisco TRAC/SIO





observaron otro ataque “watering hole” que provenía de varios otros sitios centrados en el sector de energía y petróleo. Las similitudes, incluido el diseño específico de una explotación usada en ambos ataques, da crédito a la posibilidad de que los dos ataques estaban relacionados. La investigación de Cisco TRAC/SIO también indicó que muchos de los sitios usaron el mismo diseñador web y proveedor de alojamiento. Esto podría implicar que el compromiso inicial se debió a phishing o robo de credenciales de dicho proveedor.17

Proteger a los usuarios de estos ataques involucra actualizar las máquinas y los navegadores web con los últimos parches para minimizar la cantidad de vulnerabilidades que un atacante puede aprovechar. También resulta fundamental garantizar que el tráfico web se filtre y verifique en busca de malware antes de su envío al navegador del usuario.


las empresas de un sector específico que transmiten a través del servicio. Una tasa de hallazgos del sector que sea superior al 100% refleja un riesgo mayor de lo normal de hallazgos de malware web, mientras que una tasa inferior al 100% refleja un riesgo menor. Por ejemplo, una empresa con una tasa de hallazgos del 170% tiene un riesgo de un 70% por arriba de la mediana. A la inversa, una empresa con una tasa de hallazgos del 70% se encuentra un 30% por debajo de la mediana (Figure 23).

FIGURA 23

Riesgo del sector y hallazgos de malware web: 2013 Fuente: Informes de Cisco Cloud Web Security

Contabilidad

Agricultura y minería

Automotriz

Aviación

Banca y �nanzas

Instituciones bené�cas y ONG

Clubes y organizaciones

Educación

Productos electrónicos

Energía, petróleo y gas

Ingeniería y construcción

Entretenimiento

Alimentos y bebidas

Gobierno

Servicios de salud

Calefacción, plomería y A/A

TI y telecomunicaciones

Industrial

Seguros

Legales

Manufactura

Medios de comunicación y publicación

Productos farmacéuticos y químicos

Servicios profesionales

Bienes raíces y gestión de tierras

Comercio minorista y mayorista

Transporte y envío

Viajes y ocio

Servicios públicos

0 100% 200% 300% 400% 500% 600% 700%



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9004dfUn&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9006d7mn&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2042%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Industry%20Risk%20and%20Web%20Malware%20Encounters%2C%202013.%0A%0Ahttp%3A//cs.co/9006d7mq


Fracturas en un ecosistema frágil Los ciberdelincuentes están aprendiendo que aprovechar el poder de la infraestructura de Internet genera muchos más beneficios que simplemente obtener acceso a computadoras individuales.

El nuevo giro en las explotaciones malintencionadas es la obtención de acceso a servidores de alojamiento web, servidores de nombres y centros de datos, con el objetivo de aprovechar el tremendo poder de procesamiento y ancho de banda que estos proporcionan. A través de este enfoque, las explotaciones pueden alcanzar a muchos más usuarios de computadoras desprevenidos y tener un impacto mucho mayor en las organizaciones objetivo, ya sea que el objetivo sea realizar una declaración política, debilitar a un adversario o generar ingresos.

FIGURA 24

Estrategia de infección de alta eficacia

Servidor host comprometido

comprometidoSitio web







https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9005dfUX&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9002d7ma&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2043%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20High-Efficiency%20Infection%20Strategy.%0A%0Ahttp%3A//cs.co/9006d7m0


En esencia, esta tendencia de convertir a la infraestructura de Internet en objetivo de los ataques significa que la base misma de la web no es confiable. Los métodos usados para obtener, en última instancia, acceso a raíz en los servidores de alojamiento son variados e incluyen tácticas como troyanos en las estaciones de trabajo de administración que roban credenciales de inicio de sesión del servidor, vulnerabilidades en las herramientas de administración de terceros usadas en los servidores e intentos de inicio de sesión por fuerza bruta (consulte la página 54). Las vulnerabilidades desconocidas en el mismo software de servidor también pueden proporcionar avances.

Un servidor de alojamiento comprometido puede infectar miles de sitios web y propietarios de sitios en todo el mundo (Figura 24).

Los sitios web alojados en servidores comprometidos actúan como un redirector (el intermediario en la secuencia de infección) y un repositorio de malware. En lugar de tener muchos sitios comprometidos que cargan malware solamente de algunos dominios malintencionados (una relación de muchos a algunos [many-to-few]), la relación se volvió de muchos a muchos (many-to-many), lo que dificulta los esfuerzos de bloqueo.

Los servidores de nombres de dominio son objetivos principales en esta nueva variedad de ataque, cuyos métodos exactos aún se encuentran en investigación. Todo indica que, además de los sitios web y los servidores de alojamiento individuales, también están comprometidos los servidores de nombres en ciertos proveedores de alojamiento. Los investigadores de seguridad de Cisco dicen que esta tendencia hacia la selección de la infraestructura de Internet como objetivo cambia el panorama de las amenazas, dado que está proporcionando a los ciberdelincuentes el control sobre una parte para nada insignificante de la base misma de la Web.

“El ciberdelito se ha vuelto tan lucrativo y generalizado que necesita una infraestructura poderosa que lo mantenga a flote”, dice Gavin Reid, director de inteligencia contra amenazas de Cisco. “Mediante el compromiso de servidores de alojamiento y centros de datos, los atacantes obtienen no solo acceso a grandes cantidades de ancho de banda, sino también el beneficio de un tiempo de actividad continuo para estos recursos”.

“El delito informático se ha convertido en algo tan lucrativo y generalizado que requiere una sólida infraestructura para mantenerlo a flote”.Gavin Reid, director de inteligencia de amenazas de Cisco

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9006dfUk&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9009d7mN&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2044%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20cybercrime%20and%20its%20lucrative%20infrastructure.%0A%0Ahttp%3A//cs.co/9006d7W6


Atando cabos: DarkLeech y Linux/CDorked

La campaña de ataque de DarkLeech que informó Cisco en 201318 subraya cómo el compromiso de servidores de alojamiento puede servir como un trampolín para una campaña más grande. Se estima que los ataques de DarkLeech comprometieron, en un breve período, al menos 20 00019 sitios web legítimos de todo el mundo que usan el software de servidor HTTP Apache. Los sitios se infectaron con una puerta trasera de servicio de shell seguro (SSHD) que permitió que atacantes remotos cargaran y configuraran módulos Apache malintencionados. El compromiso permitió que los atacantes inyectaran dinámicamente iframes (elementos HTML) en tiempo real en los sitios web alojados, lo que envió código de explotación y otro contenido malintencionado por medio del juego de explotación Blackhole.

Debido a que las inyecciones de iframes de DarkLeech ocurrieron solamente en el momento de la visita a un sitio, los signos de la infección pueden no advertirse fácilmente. Además, para evitar la detección del compromiso, los delincuentes usan una selección sofisticada de criterios condicionales, por ejemplo, inyectar el iframe solamente si el visitante llega de la

FIGURA 25

Compromisos del servidor DarkLeech por país: 2013Fuente: Cisco TRAC/SIO

58% Estados Unidos

2% Italia

,5% Turquía

,5% Chipre

1% Suiza

,5% Otro

2% España

1% Australia

1% Japón

,5% Malasia

1% Lituania

,5% Dinamarca

1% Holanda

9% Alemania 1% Bélgica

2% Singapur

2% Tailandia

3% Canadá

10% Reino Unido

2% Francia

,5% Irlanda



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9009dfUb&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9000d7WE&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2045%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20DarkLeech%20Server%20Compromises%20by%20Country%2C%202013.%0A%0Ahttp%3A//cs.co/9003d7WH


FIGURA 26

Respuestas del servidor comprometido: DarkLeechFuente: Cisco TRAC/SIO

0,5% Apache/CentOS

43% Apache/2.2.3 CentOS

39% Apache-unspeci�ed

8% Apache/2.2.3 RedHat

7% Apache/2.2.22

2% Apache/2.2.8

página de resultados de un motor de búsqueda, no inyectar el iframe si la dirección IP del visitante coincide con la del propietario del sitio o la del proveedor de alojamiento, e inyectar el iframe solamente una vez cada 24 horas para los visitantes individuales.

La investigación de Cisco TRAC/SIO reveló que los compromisos de DarkLeech se extendieron por todo el mundo; lógicamente, los países con la mayor cantidad de proveedores de alojamiento experimentaron la tasa más alta de infección.

Los investigadores de Cisco SIO/TRAC consultaron a miles de servidores comprometidos para determinar la distribución de las versiones de software de servidor afectadas.

En abril de 2013, se detectó otra puerta trasera que infectó cientos de servidores que ejecutaban el software de servidor HTTP Apache. Linux/CDorked20 reemplazó el binario HTTPD en las versiones de Apache con cPanel instalado. También se descubrieron puertas traseras similares dirigidas a Nginx y Lighttpd. Tan selectivo como DarkLeech en sus métodos de ataque, CDorked también usa criterios condicionales para inyectar en forma dinámica




iframes en sitios web alojados en el servidor afectado. Cualquier visitante que navegue un sitio web afectado luego tendrá contenido malintencionado enviado por otro sitio web malintencionado, donde un juego de herramientas de crimeware intentará comprometer aún más la PC del usuario.21

Una característica exclusiva de Linux/CDorked es que rota a través de los dominios de sitios web en 24 horas, en promedio. Menos sitios comprometidos se usan durante más tiempo. Por lo tanto, aunque se informe un dominio de malware, los atacantes ya estarán en otro lugar. Además, con Linux/CDorked, se cambian con frecuencia los proveedores de alojamiento (aproximadamente cada dos semanas), rotando a través de los hosts comprometidos para evitar detecciones. Los servidores de nombres comprometidos en estos mismos proveedores de alojamiento permiten que los actores malintencionados se muevan de un host a otro sin perder el control de los dominios durante la transición. Una vez que se encuentran en un host nuevo, los atacantes comienzan un ciclo de nuevos dominios, generalmente mediante el uso de nombres de dominio estilo typosquatting22 en un intento por parecer legítimos para los observadores ocasionales.

El análisis de Cisco TRAC/SIO de los patrones de tráfico con CDorked sugiere enfáticamente una conexión con DarkLeech. La dirección URL de referencia codificada especialmente y empleada por CDorked denota específicamente tráfico de DarkLeech. No obstante, ese no es el giro más interesante acerca del malware: tanto CDorked como DarkLeech parecen ser parte de una estrategia mucho más grande y compleja.

“La sofisticación de estos compromisos sugiere que los ciberdelincuentes han ganado un control significativo sobre miles de sitios web y múltiples servidores de alojamiento, incluidos los servidores de nombres empleados por estos hosts”, dice Gavin Reid, director de inteligencia contra amenazas de Cisco. “Combinado con el reciente aluvión de ataques de inicio de sesión por fuerza bruta a sitios web independientes, pareciera que estamos evidenciando una nueva tendencia, en la que la infraestructura de la Web se utiliza para formar lo que solo puede describirse como un gran (y muy poderoso) botnet. Este überbot se puede utilizar para enviar correo electrónico no deseado, malware y lanzar ataques por DDoS en una magnitud nunca antes vista”.

CDorked y DarkLeech parecen ser parte de una

estrategia mucho más amplia y mucho más

compleja.




El tráfico malicioso, a menudo un signo de ataques dirigidos, se detecta en todas las redes corporativasSegún un análisis de tendencias de inteligencia contra amenazas realizado por Cisco, el tráfico malicioso se observa en la totalidad de las redes corporativas. Esto significa que hay evidencia de que delincuentes sofisticados u otros individuos han penetrado en esas redes y es posible que operen sin que se los detecte durante un largo tiempo.

Todas las organizaciones deben suponer que han sido vulneradas o por lo menos deben aceptar que no se trata de determinar si serán objeto de un ataque, sino de cuándo y por cuánto tiempo.

En un proyecto reciente de revisión de búsquedas del servicio de nombres de dominio (DNS) que se originaron dentro de las redes corporativas, los expertos en inteligencia contra amenazas de Cisco observaron que, en todos los casos, las organizaciones evidenciaron que sus redes se habían utilizado mal o perdieron su carácter confidencial (Figura 27). Por ejemplo, la totalidad de las redes empresariales analizadas por Cisco presentaban tráfico hacia sitios web que alojan malware, mientras que el 92% muestra tráfico hacia páginas web sin contenido, que por lo general aloja actividad maliciosa. El 96% de las redes revisadas evidenció tráfico hacia servidores vulnerados.

Asimismo, Cisco detectó tráfico hacia sitios web militares o del gobierno en empresas que habitualmente no hacen negocios con esas entidades, así como también el tráfico a sitios web de áreas geográficas de alto riesgo, como países con prohibición de hacer negocios con Estados Unidos. Cisco ha observado que, por lo general, estos sitios pueden utilizarse debido a la muy buena reputación de la que gozan las organizaciones públicas o gubernamentales. Es posible que el tráfico hacia estos sitios no sea un signo definitivo de riesgo, pero en el caso de organizaciones que habitualmente no hacen negocios con el gobierno o las fuerzas armadas, ese tráfico podría indicar que delincuentes han vulnerado las redes y las están utilizando para infringir sitios web y redes del gobierno o militares.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9002dfUe&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9005d7WJ&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2048%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20Cisco%27s%20findings%20on%20misused%20and%20compromised%20networks.%0A%0Ahttp%3A//cs.co/9000d7WO


A pesar de haber hecho su mejor esfuerzo para mantener sus redes libres de amenazas maliciosas, todas las organizaciones examinadas por Cisco durante 2013 mostraron signos de tráfico sospechoso. El tráfico identificado a través de las búsquedas de DNS puede proporcionar IoC sólidos y merece una investigación más exhaustiva por parte de las organizaciones que desean poner un freno a estas amenazas difíciles de detectar en sus redes. Es un método de aumentar la visibilidad del movimiento delictivo que habitualmente es muy difícil de localizar.

FIGURA 27

La propagación del tráfico malicioso

100%

100%

96%

92%

88%

79%

71%

50%

Malware de gran amenaza Conexiones a dominios que son sitios conocidos de amenaza de malware o vectores de amenaza.

Gobierno y militar Trá�co sospechoso y excesivo dirigido a lugares habitualmente no contactados por el público.

Infraestructura asaltada Conexiones a infraestructura asaltada o sitios comprometidos conocidos.

Sitios sin contenido Conexiones a sitios en blanco que pueden tener código para inyectar malware en los sistemas.

FTP sospechosa Conexiones inesperadas a sitios FTP irregulares.

VPN sospechosa Conexiones desde el interior de una organización a sitios VPN sospechosos.

Educación a través de amenazas

Conexiones a universidades en lugares sospechosos, que potencialmente sirven como puntos pivote para otros tipos de malware.

Pornografía Volumen muy alto de intentos de conexión a sitios conocidos de pornografía.



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9003dfU5&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9003d7WR&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2049%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20The%20Pervasiveness%20of%20Malicious%20Traffic.%0A%0Ahttp%3A//cs.co/9006d7Wp


INVESTIGACIÓN ESPECIAL DE SEGURIDAD DE CISCO:

Nuevos giros en bitsquatting y nuevas maneras de detener ataquesCybersquatting, la práctica de registrar nombres de dominio que son idénticos o similares de manera confusa a una marca distintiva, es desde hace tiempo una herramienta para los delincuentes informáticos. Recientemente, “bitsquatting”, el registro de nombres de dominio que difieren en un dígito binario del dominio original, se ha convertido en otra manera de redirigir el tráfico de Internet a sitios que alojan malware o estafas.

Bitsquatting es una manera de cybersquatting que tiene como objetivo generar errores de bits en la memoria del equipo. Un error de memoria se produce cada vez que uno o más bits que se leen desde la memoria han cambiado su estado en comparación con lo que se escribió previamente. Estos errores en la memoria pueden deberse a muchos factores, incluidos rayos cósmicos (partículas de alta energía que impactan en la Tierra con una frecuencia de 10 000 por metro cuadrado por segundo), un dispositivo que se utiliza fuera de sus parámetros ambientales recomendados, defectos de fabricación e incluso explosiones nucleares de baja magnitud.

Con la modificación de un solo bit, un dominio como “twitter.com” puede convertirse en el dominio confusamente similar “twitte2.com”. Un atacante puede simplemente registrar un dominio confusamente similar, esperar a que se produzca un error en la memoria y luego interceptar el tráfico de Internet.

Los investigadores abocados a la seguridad creen que los ataques de bitsquatting se producen mayormente contra nombres de dominio resueltos con frecuencia, ya que estos dominios son los que aparecen con más probabilidad en la memoria cuando se producen errores de bits. Sin embargo, la investigación reciente de Cisco predice que los dominios que anteriormente no se consideraban lo suficientemente “populares” para atacar, producirán verdaderas cantidades de tráfico de dominios confusamente similares. Esto se debe a que tanto la cantidad de memoria por dispositivo como la cantidad de dispositivos conectados a Internet se encuentran en aumento; según los cálculos de Cisco, habrá 37 000 millones de “elementos inteligentes” conectados a Internet para el año 2020.23

Vectores de ataques de bitsquatting

Cisco TRAC/SIO ha identificado nuevos vectores de ataques de bitsquatting, entre los que se incluyen los siguientes:

• Bitsquatting de delimitador de subdominio: de conformidad con la sintaxis aceptada para las etiquetas de nombres de dominio, los únicos caracteres válidos en un nombre de dominio son A-Z, a-z, 0-9 y el guión. No obstante, cuando se comprueba la existencia de dominios confusamente similares y se limita la búsqueda a estos caracteres, se omite un carácter importante que también es válido en los nombres de dominio: el punto. Una nueva técnica de bitsquatting se basa en errores de bits que provocan que una letra “n” (binario 01101110) se convierta en un punto “.” (binario 00101110) y viceversa.

• Delimitadores de subdominio en los que “n” cambia a “.”: en una variación de la técnica anterior, si un nombre de dominio de segundo nivel contiene la letra “n” y hay dos o más caracteres luego de la letra “n”, es posiblemente un dominio confusamente similar. Por ejemplo, “windowsupdate.com” podría convertirse en “dowsupdate.com”.

• Dominios confusamente similares de delimitadores de URL: un contexto popular para los nombres de dominios es dentro de una URL. Dentro de una URL típica, las barras diagonales como “/” actúan como delimitadores, ya que separan el esquema del nombre del host de la ruta de la URL. La barra diagonal (binario 00101111) puede, con la alteración de un carácter, convertirse en la letra “o” (binario 01101111) y viceversa.





Prevención de ataques de bitsquatting: creación de una zona RPZ (zona de políticas de respuesta) de dominios confusamente similares

Las dos técnicas de mitigación que se han utilizado comúnmente para prevenir los ataques de bitsquatting tienen su lugar en el arsenal de seguridad, pero ninguno de esos métodos es óptimo:

• Uso de memoria de corrección de errores (ECC): toda la base de dispositivos instalados debería cambiar de versión simultáneamente en todo el mundo para que esta solución fuera eficaz.

• Registro del dominio confusamente similar para que un tercero no pueda registrarlo: esto no siempre es posible, debido a que muchos de los dominios populares confusamente similares ya se han registrado. Según la longitud del nombre de dominio, esto puede, además, ser costoso.

La buena noticia es que estas técnicas de mitigación no son las únicas que puede implementar un profesional de seguridad para proteger a los usuarios del mal redireccionamiento accidental del tráfico de Internet. Si se adoptan de manera suficiente, las nuevas técnicas de mitigación podrían eliminar el problema de bitsquatting casi por completo.

Por ejemplo, las zonas de políticas de respuesta (RPZ) han sido una opción de configuración desde la versión 9.8.1 de BIND, y existen parches para las versiones anteriores de BIND. (BIND es un software de DNS ampliamente utilizado en Internet). Las zonas RPZ son archivos de zonas locales que permiten al solucionador de DNS responder a solicitudes específicas de DNS mediante el mensaje de que el nombre de dominio no existe (NXDOMAIN), el redireccionamiento del usuario a un “jardín vallado” (una plataforma cerrada) u otras posibilidades.

Para mitigar los efectos de errores de un solo bit en el caso de usuarios de un solucionador de DNS, el administrador del solucionador puede crear una zona RPZ que proteja contra dominios confusamente similares de nombres de dominio frecuentemente resueltos o solo internos. Por ejemplo, se puede configurar la zona RPZ para que cada solicitud que se hace al solucionador de DNS para variantes confusamente similares de estos dominios obtengan una respuesta NXDOMAIN, que “corrija” los errores de bits automáticamente sin intervención del cliente que experimenta el error.24





SectorLos investigadores de Cisco SIO elevan la conversación acerca de las tendencias del sector que se extienden más allá de la telemetría de Cisco.


54 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Sector

Intentos de inicio de sesión por fuerza bruta, una táctica preferida para vulnerar sitios webA pesar de que los intentos de inicio de sesión por fuerza bruta no son una nueva táctica para los delincuentes informáticos, su uso aumentó el triple en el primer semestre de 2013.

Durante la investigación, los investigadores y Cisco TRAC/SIO detectaron un concentrador de datos utilizado para alimentar esas acciones. Incluía 8,9 millones de combinaciones posibles de nombres de usuario y contraseñas, incluidas contraseñas seguras y no solo la variedad de “contraseña123” fáciles de vulnerar. Las credenciales de usuario robadas permiten mantener la lista bien provista, así como a otras como esta.

FIGURA 28

Cómo funcionan los intentos de inicio de sesión por fuerza bruta

El equipo se conecta con el servidor de comando y control y descarga un troyano.

Las futuras víctimas reciben los descargadores y el ciclo se repite.

Los sitios web afectados se convierten en relés de correo no deseado.

Al completarse satisfactoriamente, el equipo carga el bot PHP y otros scripts al sitio web recientemente comprometido.

El equipo ataca al sitio con varias vulnerabilidades de seguridad CMS/intentos de inicio de sesión de fuerza bruta.

El equipo obtiene los nombres de los sitios objetivo desde el servidor de comando y control.




Los objetivos clave de recientes intentos de inicio de sesión por fuerza bruta son las plataformas de sistemas de administración de contenidos (CMS) como WordPress y Joomla. Los intentos con éxito de obtener acceso no autorizado a través de un CMS proporcionan a los atacantes la capacidad de cargar puertas traseras de PHP (preprocesador de hypertexto) y otros scripts maliciosos a los sitios web comprometidos. En algunos casos, la vulnerabilidad puede permitir a los atacantes encontrar una ruta al servidor de alojamiento, que luego se puede controlar (Figure 28).

Si se tiene en cuenta que hay más de 67 000 000 de sitios de WordPress en todo el mundo (y que los editores utilizan la plataforma para crear blogs, sitios nuevos, sitios de empresas, revistas, redes sociales, sitios deportivos, entre otros), no es sorprendente que muchos delincuentes informáticos apunten a obtener acceso a través de este CMS.25 Drupal, una plataforma de CMS de rápido crecimiento, también ha sido el objetivo de estos delincuentes; por ejemplo, en mayo, se recomendó a los usuarios que cambien sus contraseñas debido a un “acceso no autorizado [a Drupal] a través de software de terceros instalado en la infraestructura del servidor de Drupal.org”.26

Sin embargo no es solo la popularidad de estos sistemas la que los convierte en objetivos deseables. Muchos de estos sitios (aunque siguen activos) han sido desatendidos en gran manera por sus propietarios. Probablemente haya millones de blogs desatendidos y dominios comprados que permanecen inactivos; es posible que muchos de ellos sean hoy propiedad de delincuentes informáticos. Los expertos en seguridad de Cisco predicen que el problema solo empeorará a medida que cada vez más personas en mercados emergentes de Internet en todo el mundo creen un blog o un sitio web, solo para luego dejarlos perecer.

Se ha comprobado además que el uso generalizado de complementos, diseñados para ampliar la funcionalidad de un CMS y potenciar videos, animaciones y juegos, es un beneficio para las personas malintencionadas que buscan obtener acceso no autorizado a plataformas como WordPress y Joomla. Muchas vulnerabilidades de CMS que observaron los investigadores de Cisco en 2013 se pueden retrotraer a complementos escritos en lenguaje de scripting web PHP mal diseñados y sin tener en cuenta la seguridad.

Muchos delincuentes informáticos centran

su atención en obtener acceso a través

de CMS.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9004dfUg&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9008d7Wn&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2054%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20key%20targets%20for%20recent%20brute-force%20login%20attempts.%0A%0Ahttp%3A//cs.co/9009d7WX


Ataques por DDoS: lo antiguo vuelve a ser modernoLos ataques por denegación de servicio distribuido (DDoS), que interrumpen el tráfico hacia y desde sitios web determinados y que pueden paralizar los ISP (proveedores de servicios de Internet), se han incrementado tanto en volumen como en gravedad.

Debido a que los ataques por DDoS durante mucho tiempo se han considerado “viejas noticias” en términos de técnicas de delitos informáticos, muchas empresas confiaron en que las medidas de seguridad que habían implementado podían brindarles la protección adecuada. No obstante, esa confianza se vio sacudida por ataques por DDoS a gran escala en 2012 y 2013, incluido el ataque conocido como Operation Ababil, que fue dirigido a varias instituciones financieras y fue probablemente motivado por cuestiones políticas.27

“Los ataques por DDoS deben ser una cuestión de máxima seguridad para las organizaciones de los sectores público y privado en 2014”, comenta John N. Stewart, vicepresidente sénior y jefe de seguridad de Cisco. “Se espera que las campañas futuras sean incluso más exhaustivas y que duren períodos prolongados. Las organizaciones, en particular aquellas que trabajan con sectores o tiene intereses en sectores que ya son objetivos principales, como el de servicios financieros y el energético, deben preguntarse, ‘¿podemos ser flexibles frente a un ataque por DDoS?’”

Un nuevo giro: algunos ataques por DDoS se utilizan probablemente para esconder otra actividad maliciosa, como

AMPLIFICACIÓN DE DNS:

Técnicas de mitigaciónLos ataques iniciados a través de la amplificación de DNS seguirán siendo una preocupación en 2014, según los expertos en seguridad de Cisco. El proyecto Open Resolver Project (openresolverproject.org) informa que, hasta octubre de 2013, 28 000 000 de solucionadores abiertos en Internet representan una “amenaza significativa”. (Tenga en cuenta que el ataque Spamhaus por DDoS de 300 Gbps utilizó solamente 30 000 solucionadores abiertos).

Si un solucionador es abierto, significa que no filtra dónde se envían las respuestas. El DNS usa el protocolo UDP, que no tiene estado, es decir que se puede hacer una solicitud en nombre de otra persona. Esa persona recibe luego una cantidad amplificada de tráfico. Es por este motivo que identificar a los solucionadores abiertos (y tomar medidas para cerrarlos) es algo con lo que el sector deberá lidiar durante el próximo tiempo.

Las empresas pueden reducir la posibilidad de ataques iniciados mediante amplificación de DNS de varias maneras; entre ellas, la implementación de la Mejor práctica actual (BCP) 38 del Grupo de Trabajo de Ingeniería de Internet (Internet Engineering Task Force) para evitar ser el origen de los ataques. En esta práctica BCP se recomienda que los proveedores de corriente arriba de conectividad IP filtren los


[

]



http://www.openresolverproject.org

https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9006dfUi&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9007d7W5&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2055%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20how%20attacks%20launched%20through%20DNS%20amplification%20will%20remain%20a%20concern%20in%202014.%0A%0Ahttp%3A//cs.co/9008d7Wq


paquetes que ingresan a sus redes desde clientes de corriente abajo y que descarten cualquier paquete que tenga una dirección de origen que no esté asignada a ese cliente.30 La práctica BCP se estableció en colaboración con Cisco, que ofrece pautas para implementar el URPF, es decir, su implementación.31

Otra técnica de mitigación es la configuración de todos los servidores de DNS autoritativos para que limiten las tasas. El servidor de nombres autoritativo, que sirve al dominio de una empresa, está abierto generalmente a todas las solicitudes. El límite de tasa de respuesta de DNS (DNS RRL) es una característica que puede activarse para evitar que un servidor DNS responda a la misma consulta de la misma entidad demasiadas veces; de esta manera, se protege a la empresa de se la utilice como un intermediario de ataques por DDoS. La característica del DNS RRL se habilita en servidores DNS y es una manera, para que un administrador de servidores limite la eficacia con la que los atacantes pueden usar un servidor en ataques de amplificación. El límite de tasa de respuesta DNS es una característica más nueva y no es compatible con todos los servidores DNS; sin embargo, es compatible con ISC BIND, un servidor DNS popular.

Asimismo, todos los servidores DNS recursivos deben configurarse con una lista de control de acceso (ACL) de manera que solo respondan a



el fraude por medios electrónicos antes, durante o después de una campaña. (Consulte “DarkSeoul” en la página 58). Estos ataques pueden abrumar al personal de una entidad bancaria, evitar que se envíen notificaciones de transferencias a los clientes y evitar que los clientes puedan informar fraudes. Para el momento en que la institución se recupera de tal evento, no se puede recuperar de su pérdida financiera. Uno de estos ataques que se produjo el 24 de diciembre de 2012, estuvo dirigido al sitio web de una institución financiera regional de California y “ayudó a distraer a los empleados del banco de la toma de una cuenta en línea de uno de sus clientes, de la que se embolsaron más de USD 900 000”.28

Los conocimientos sobre servidores de alojamiento malintencionados que se acrecientan rápidamente solo harán que sea más fácil para los delincuentes informáticos los ataques por DDoS y los robos a organizaciones determinadas (consulte “Quiebres en un ecosistema frágil” en la página 44). Mediante el control de una parte de la infraestructura de Internet, los actores maliciosos pueden aprovechar grandes volúmenes de ancho de banda, lo que los coloca en posición para lanzar cualquier cantidad de poderosas campañas. Ya está ocurriendo: en agosto de 2013, el gobierno chino informó que el mayor ataque por DDoS que tuvo que enfrentar bloqueó Internet china durante horas.29

Incluso los spammers (fuentes de correo no deseado) utilizan los ataques por DDoS para derribar organizaciones a las que consideran un obstáculo para su generación de ganancias. En marzo de 2013, la organización sin fines de lucro Spamhaus, que rastrea spammers y creó la Lista de bloqueo Spamhaus, un directorio de direcciones IP sospechosas, fue el objetivo de un ataque por DDoS que desactivó temporalmente su sitio web y redujo la velocidad del tráfico de Internet en todo el mundo. Los atacantes estaban supuestamente afiliados a CyberBunker con base en Holanda, un proveedor de hosting con condiciones de uso permisivas, y a STOPhaus, que ha expresado abiertamente su disconformidad con las actividades de




consultas de los hosts de su propia red. Una lista ACL mal administrada puede ser un factor principal en ataques a DNS, en especial en grandes servidores con grandes volúmenes de ancho de banda disponible. Esta técnica ayuda además a reducir las posibilidades de convertirse en un intermediario en un ataque por DDoS.

“Debido a que existen conversaciones en el sector de la seguridad acerca de permitir que los servidores de nombres autoritativos desactiven el servicio a entidades que terminan convirtiéndose en intermediarios de ataques por DDoS, las empresas deben implementar las técnicas de mitigación simples descritas anteriormente”, comenta Gavin Reid, director de inteligencia contra amenazas de Cisco.

Para más información sobre las mejores prácticas de DNS, consulte “Mejores prácticas de DNS, protecciones de red e identificación de ataques”: http://www.cisco.com/web/about/security/intelligence/dns-bcp.html.


Spamhaus. El ataque por DDoS ocurrió luego de que el ampliamente utilizado servicio de Spamhaus incluyera a CyberBunker en su lista negra. En aparente represalia, los supuestos spammers intentaron dejar a Spamhaus sin conexión a través de un ataque por DDoS.

Este incidente de DDoS utilizó un ataque por amplificación de DNS, que explota solucionadores abiertos de DNS que responden incluso a las consultas fuera de su intervalo IP. Mediante el envío a un solucionador abierto de una muy pequeña consulta, deliberadamente formada por una dirección de origen falsificada del destino, los atacantes pueden provocar una respuesta significativamente mayor que el objetivo esperado. Luego de que los intentos iniciales de dejar a Spamhaus sin conexión no tuvieran éxito, los atacantes utilizaron un ataque por amplificación de DNS dirigido al nivel 1 y a otros proveedores de corriente arriba de Spamhaus.

DarkSeoulComo se anunció en “Ataques por DDoS: lo antiguo vuelve a ser moderno”, el nuevo enfoque y los conocimientos cada vez mayores de los delincuentes informáticos acerca de la vulnerabilidad de servidores de alojamiento solo hace que sea más sencillo el lanzamiento de ataques por DDoS y el robo a organizaciones.

Los investigadores abocados a la seguridad de Cisco advierten que es probable que campañas futuras de DDoS sean capaces de crear tanto interrupciones como daños, incluidas pérdidas financieras por robo.

Los ataques dirigidos a DarkSeoul en marzo de 2013 implicaron malware “limpiador” diseñado para destruir los datos en los discos duros de decenas de miles de equipos y servidores. Los ataques estaban dirigidos a instituciones



http://www.cisco.com/web/about/security/intelligence/dns-bcp.html




financieras y medios de comunicación en Corea del Sur, con la carga útil configurada para activarse al mismo tiempo. Sin embargo, el malware limpiador aparentemente es solo una faceta del ataque. Al mismo tiempo que se lanzaba el malware, se alteró el sitio web del proveedor de red coreano LG U+ y las redes de otras organizaciones objetivo comenzaron a dejar de funcionar (funcionalidades que no se pueden reproducir en el malware limpiador).32

Algunos creen que los ataques fueron el resultado de una guerra cibernética llevada a cabo por Corea del Norte para provocar interrupciones económicas en Corea del Sur o un acto de sabotaje provocado por otro país. Sin embargo, existe la posibilidad de que los ataques DarkSeoul tuvieran la intención de ocultar una ganancia financiera.33

Los investigadores abocados a la seguridad todavía siguen tratando de entender estos ataques (y de descubrir quién es el responsable), pero las pruebas indican que los planes de DarkSeoul podrían haberse puesto en marcha en 2011. Durante ese año, la Oficina Federal de Investigación (FBI) de EE. UU. advirtió por primera vez sobre la existencia de troyanos bancarios diseñados para ocultar la transferencia fraudulenta de fondos de las cuentas de las víctimas.34 Más tarde, en 2012, la empresa de seguridad RSA informó sobre una nueva raza de delincuentes informáticos que construía una campaña sofisticada de troyanos que iniciaría un ataque en un día programado y que intentaría “retirar dinero de tantas cuentas vulneradas como fuera posible antes de que los sistemas de seguridad detuvieran sus operaciones”.35 Y en la Nochebuena de 2012, ladrones informáticos utilizaron un ataque por DDoS como cubierta mientras robaban a una institución financiera regional de California.36

Un malware binario identificado en los ataques de DarkSeoul dirigidos a organizaciones de medios e instituciones financieras es un troyano bancario que apuntó específicamente a clientes de esos mismos bancos coreanos, según los investigadores de Cisco TRAC/SIO. Ese hecho, junto con la línea de tiempo de tendencias de delitos informáticos que apunta a DarkSeoul, indica que ladrones podrían haber lanzado la campaña para que simulara ser algo más.

Ransomware

Durante 2013, los atacantes se han alejado cada vez más de las infecciones tradicionales de equipos impulsadas por botnet. Parte de este cambio incluyó un mayor uso de ransomware como la carga útil de malware final de sitios web comprometidos, correo electrónico malicioso y descargadores troyanos. El ransomware es una categoría de malware que evita el funcionamiento normal de los sistemas infectados hasta que se paga una suma determinada.

Durante 2013, los atacantes se han

alejado cada vez más de las infecciones tradicionales de

equipos impulsadas por botnet.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9008dfUY&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9000d7Ws&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2058%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20how%20attacks%20are%20moving%20away%20from%20traditional%20botnet-driven%20infections%20on%20PCs.%0A%0Ahttp%3A//cs.co/9001d7Wt


El ransomware ofrece a los atacantes una fuente de ingresos directa y difícil de rastrear sin la necesidad de usar servicios rentados de intermediarios, como los que proveen los botnets tradicionales. Los atacantes reflejan las economías legítimas locales que han observado un aumento significativo de empresas unipersonales como resultado de la pérdida de empleo y la recesión económica, pero la motivación de los delincuentes informáticos es la pérdida de la disponibilidad de botnet y de kits de explotación a los que se tiene acceso debido a bloqueos.

En el otoño de 2013, un nuevo tipo de ransomware, denominado CryptoLocker, comenzó a cifrar archivos de las víctimas con una combinación de pares de claves de 2048 bits RSA y AES-256, que se considera imposible de quebrar. Cuando se activa, CryptoLocker mueve archivos de la máquina local para incluir tipos de archivos coincidentes en cualquier unidad asignada grabable. Una vez completada la rutina de cifrado, las víctimas observan una serie de cuadros de diálogo que proporcionan instrucciones detalladas para el pago del rescate (Figura 29). Aparece además un temporizador que le indica a la víctima que el pago debe efectuarse en un período específico (varía de 30 a 100 horas). El cuadro de diálogo también advierte que si no se paga el rescate en el tiempo asignado, se eliminará la clave privada del servidor de comando y control, en cuyo caso se perdería la posibilidad de descifrar los archivos.

CryptoLocker surgió a mediados de octubre, posiblemente como respuesta a los kits de explotación Blackhole y Cool después del arresto del supuesto autor de esos marcos.

FIGURA 29

Instrucciones de rescate de CryptoLocker




La escasez de personal calificado en seguridad y la falta de solucionesLa sofisticación de la tecnología y las tácticas que utilizan los delincuentes informáticos (y sus intentos continuos de vulnerar la seguridad de la red y de robar datos) han superado la capacidad de hacer frente a estas amenazas de los profesionales de TI y seguridad. La mayoría de las organizaciones no tienen el personal o los sistemas para supervisar sus redes sistemáticamente y para determinar cómo los están infiltrando.

La escasez de personal calificado en seguridad empeora el problema: aun cuando los presupuestos son generosos, los CISO deben luchar para contratar personas que tengan habilidades actualizadas en seguridad. Se prevé que para 2014, el sector tendrá una escasez de un millón de profesionales en seguridad en todo el mundo. También está en baja la cantidad de profesionales en seguridad con habilidades en datos científicos (la comprensión y el análisis de los datos de seguridad pueden ayudar a mejorar la alineación con los objetivos comerciales). (Consulte el apéndice de la página 69, “Las organizaciones de seguridad necesitan científicos de datos: herramientas preliminares de análisis de datos para profesionales en seguridad”).

Los CISO deben luchar para contratar personas que tengan

habilidades actualizadas en seguridad.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9009dfUl&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9004d7Wa&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2060%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20how%20organizations%20cope%20with%20consistently%20monitoring%20their%20networks%20for%20attack.%0A%0Ahttp%3A//cs.co/9009d7WF


La nube como nuevo perímetroComo los CISO suelen decir a los expertos en seguridad de Cisco (consulte la página 18), transferir cantidades cada vez mayores de datos empresariales importantes a la nube es una cuestión de seguridad en crecimiento.

La revolución de la nube, comenta Michael Fuhrman, vicepresidente de ingeniería de Cisco, se compara con el aumento de soluciones basadas en la Web de finales de la década de los noventa.

“Este fue un cambio radical en el uso empresarial de la nueva tecnología; al mismo tiempo, observamos un aumento en ataques informáticos perpetrados por delincuentes”, dice Fuhrman. “En la actualidad, el cambio radical proviene de la nube. Las empresas no solo alojan muchas de sus aplicaciones críticas en la nube, sino que además utilizan la nube para consumir y analizar información empresarial importante”.

El aumento de la computación en nube no se puede negar ni detener. Cisco ha previsto que el tráfico de red en la nube crecerá más del triple para el año 2017.37

Desde 2014 en adelante, los profesionales abocados a la seguridad pueden esperar que perímetros corporativos completos se transfieran a la nube. Estos perímetros de la red han experimentado el proceso de convertirse en mucho menos definidos en los años recientes. Sin embargo, con tantas aplicaciones y tantos datos en la nube, las organizaciones pierden rápidamente la capacidad de observar quién está moviendo qué cosa dentro y fuera de los límites de la empresa, y qué acciones realizan los usuarios.

Esta transición a la nube cambia las reglas del juego ya que redefine dónde se almacenan, se transfieren y se tiene acceso a los datos, además de crear mayores oportunidades para los atacantes.

Al temor de ceder el control de los datos a la nube se le suma la falta de información sobre cómo los proveedores de servicios en la nube defienden sus productos de las infracciones de seguridad. A menudo las organizaciones no hacen demasiadas preguntas acerca de los contenidos de los acuerdos de nivel de servicio de sus proveedores o sobre con qué frecuencia los proveedores cambian su software de seguridad de versión o revisan sus vulnerabilidades.

El aumento de la computación en nube no se puede negar ni parar.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9000dfUm&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9002d7W4&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2061%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20how%20entire%20corporate%20perimeters%20could%20move%20to%20the%20cloud%20in%202014.%0A%0Ahttp%3A//cs.co/9005d7W7


Las organizaciones deben asegurarse de que los proveedores de servicios en la nube utilizan las herramientas más sofisticadas y las estrategias disponibles para frustrar ataques o para detectar y detenerlos mientras están en curso. En el caso de los equipos de seguridad de la información, la decisión de avanzar con frecuencia se reduce a una pregunta: “¿Qué controles debo buscar en un proveedor para confiar en que puede administrar y proteger mis datos?”

Por otro lado, los proveedores de servicios en la nube deben luchar para identificar e implementar un conjunto razonable de controles asignados a una creciente cantidad de normas internacionales, que se necesitan para abordar un entorno de amenazas cada vez más hostil.

“Cuando elegimos proveedores para la seguridad y la infraestructura crítica, por lo general, lo hacemos en función de su certificación técnica y su reputación”, comenta John N. Stewart, vicepresidente sénior y jefe de seguridad de Cisco. “Últimamente, el proceso del proveedor y el enfoque evolutivo en la seguridad se han convertido también en factores cada vez más importantes”.

Casualmente, las muchas cosas que hacen que la nube sea una amenaza (como la ubicación fuera del perímetro de la red y el creciente uso de la nube para datos importantes empresariales) permiten a las organizaciones tomar decisiones de seguridad más precisas y prácticamente en tiempo real. Con un tráfico mayor moviéndose en la nube, las soluciones de seguridad que también se basan en la nube pueden analizar rápida y fácilmente este tráfico y aprovechar esta información adicional. Asimismo, en el caso de organizaciones más pequeñas o de aquellas que tienen presupuestos limitados, un servicio en la nube bien protegido y bien administrado puede ofrecer una mayor protección de seguridad que los servidores y firewalls propios de la empresa.

“Cuando elegimos proveedores para la seguridad y la infraestructura crítica, por lo general, lo hacemos en función de su certificación técnica y su reputación. Últimamente, el proceso del proveedor y el enfoque evolutivo en la seguridad se han convertido también en factores cada vez más importantes”.John N. Stewart, vicepresidente ejecutivo y jefe de seguridad de Cisco.




RecomendacionesMás organizaciones luchan para consolidar una visión de seguridad que se sustenta en una estrategia eficaz que utiliza nuevas tecnologías, simplifica su arquitectura y sus operaciones, y refuerza sus equipos de seguridad.


65 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Recomendaciones

Objetivos para 2014: verificar la confianza y mejorar la visibilidadActualmente, en un entorno en el que el nivel de confianza asociado a una red o un dispositivo se debe evaluar dinámicamente, las organizaciones se enfrentan a modelos fragmentados de seguridad que ofrecen cumplimiento heterogéneo, inteligencia contra amenazas aislada y una proliferación de proveedores y productos para administrar.

Las conexiones entre las organizaciones, los datos y los ataques avanzados iniciados por actores maliciosos son demasiado complejas para que las aborde un solo dispositivo. Además, muchas organizaciones carecen de personal de seguridad con conocimientos y experiencia para ayudar a adaptar sus modelos de seguridad a los desafíos (y oportunidades) que presenta la computación en la nube, la movilidad y otras nuevas maneras de hacer negocios que están impulsadas por los avances tecnológicos.

En el último año se han visto organizaciones de todo tipo tratando de comprender cómo aprovechar la innovación sin crear nuevas brechas de seguridad o acrecentar las que ya se conocen. En el 2013, surgió además el problema de confiar en la vanguardia. Usuarios de todo tipo tienden actualmente a cuestionar la confianza de la tecnología en la que se basan a diario, ya sea en el trabajo como en sus vidas personales. Es por lo tanto más importante que nunca antes, que los proveedores de tecnología ayuden a los clientes a garantizar que la seguridad sea una prioridad en sus procesos de fabricación y a estar preparados para respaldar esas garantías.

“Nos encontramos en una transición del mercado en la que la confianza importa y los procesos y la tecnología deben ser características integrales del diseño de productos para que un proveedor pueda satisfacer las necesidades de las amenazas actuales”, comenta John N. Stewart, gerente de seguridad de Cisco. “La promesa de una empresa no es suficiente. Las empresas necesitan verificaciones a través de productos certificados, procesos de desarrollo integrados, tecnología innovadora y prestigio en el sector. Las organizaciones deben además lograr que la verificación de la confianza de los productos tecnológicos que utilizan y de los proveedores que los proporcionan sea una prioridad constante”.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9002dfUo&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9004d7oG&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2064%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20read%20Cisco%27s%20chief%20security%20officer%20John%20N.%20Stewart%20discuss%20trust%20in%20a%20transitioning%20market.%0A%0Ahttp%3A//cs.co/9008d7oK


Mejorar el ajuste entre las operaciones de seguridad y los objetivos comerciales es también una medida importante para fortalecer la seguridad empresarial. En un clima de recursos limitados y presupuestos ajustados, esta alineación puede ayudar a que los CISO y otros ejecutivos de seguridad de la organización identifiquen riesgos clave y enfoques de mitigación adecuados. Parte de este proceso es la aceptación del hecho de que no todos los recursos de la empresa se pueden proteger en todo momento. “Es necesario llegar a un acuerdo sobre lo que es más importante desde una perspectiva de seguridad informática”, expresa Gavin Reid, director de inteligencia de amenazas de Cisco. “Se trata de un enfoque más productivo que esperar encontrar una remedio mágico que pueda solucionarlo todo”.

Para hacer frente a los desafíos de seguridad actuales, las organizaciones deben examinar integralmente sus modelos de seguridad y obtener visibilidad en toda la secuencia de los ataques:

•Antesdeunataque: para defender sus redes, las organizaciones deben estar alertas de lo que incluyen; es decir, dispositivos, sistemas operativos, servicios, aplicaciones y usuarios, entre otras cosas. Además, deben implementar controles de acceso, hacer cumplir las políticas de seguridad y bloquear las aplicaciones y el acceso general a los activos fundamentales. No obstante, las políticas y los controles son solo una pequeña parte de un panorama más amplio. Estas medidas pueden ayudar a reducir el área expuesta al ataque, pero siempre habrá brechas que los atacantes encontrarán y utilizarán para lograr sus objetivos.

•Duranteunataque: las organizaciones deben abordar una amplia gama de vectores de ataque con soluciones que funcionan cada vez que un ataque se manifiesta, ya sea en la red, en los terminales, desde dispositivos móviles y en los entornos virtuales. Gracias a la implementación de soluciones eficaces, los profesionales de seguridad estarán mejor posicionados para bloquear amenazas y ayudar a proteger el entorno.

•Despuésdeunataque: constantemente, muchos ataques se realizan con éxito. Esto significa que las organizaciones deben poner en práctica un plan formal que les permita determinar el alcance del daño, contener el evento, corregirlo y reanudar el funcionamiento normal tan pronto como sea posible.

“Los atacantes y sus herramientas han evolucionado para evadir las defensas tradicionales. La realidad es que ya no se trata de si los atacantes logran ingresar, sino de cuándo”, comenta Marty Roesch, arquitecto de seguridad ejecutivo del Grupo de Seguridad de Cisco.

“Para proteger a los usuarios en toda la secuencia del ataque (antes, durante y después de un ataque), se necesita un enfoque de seguridad impulsado por la visibilidad y centrado en las amenazas”.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9003dfUU&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9003d7oP&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2065%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20how%20attackers%20and%20their%20tools%20have%20advanced%20to%20evade%20traditional%20defenses.%0A%0Ahttp%3A//cs.co/9007d7oT


Cómo ayudan los servicios a superar los desafíos de seguridadCon un área mayor expuesta a los ataques, la creciente proliferación y sofisticación de los modelos de ataques, además de la cada vez mayor complejidad dentro de la red, muchas organizaciones luchan por consolidar una visión de seguridad que utilice nuevas tecnologías, simplifique su arquitectura y sus operaciones, y refuerce sus equipos.

La falta de personal calificado en seguridad, como se explicó en la página 61, complica estas cuestiones. Asimismo, el sector de la seguridad está innovando de una manera más rápida de la que las organizaciones pueden adoptar y poner en funcionamiento estas nuevas herramientas.

Encontrar al personal calificado adecuado para abordar el panorama de seguridad cambiante de manera eficaz puede ser todo un desafío. Incorporar recursos externos complementarios no solo puede ayudar a reducir costos, sino también a permitir que la empresa libere recursos para que se concentren en sus mayores prioridades.

Refuerzo de puntos débilesLa prevención de amenazas es por supuesto primordial para mantener la ciberseguridad. Por este motivo, con más delincuentes informáticos que cambian su enfoque para vulnerar la infraestructura de Internet en vez de equipos individuales, los expertos de seguridad de Cisco recomiendan que los ISP y las empresas de hosting tengan un rol más activo en términos de ayudar a proteger la integridad de Internet.

Identificar amenazas difíciles de detectar, como DarkLeech y Linux/CDorked (consulte la página 46) requiere mucha más “capacidad de respuesta humana” por parte de los proveedores de hosting. Esta capacidad de respuesta incluye investigar exhaustivamente los informes de los usuarios y tomarlos en serio. Los proveedores deben además establecer mejores controles para asegurarse de que puedan verificar la integridad de las instalaciones de sistemas operativos en sus servidores. Los investigadores de Cisco sostienen que con el malware furtivo, como CDorked, los equipos de seguridad no hubieran tenido manera de detectar que se había reemplazado el código binario si no se hubiera implementado un control para verificar la integridad de la instalación.

Los sistemas de usuarios individuales son susceptibles de ser vulnerados, obviamente, pero la debilidad de la cadena comienza por lo general mucho antes de que una amenaza los alcance. Actualmente es mucho más frecuente que el ataque suceda en el medio de la cadena; por este motivo, los proveedores deben tener una mayor consciencia de las posibles amenazas destinadas a la infraestructura de Internet.




Apéndice


69 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Apéndice

Las organizaciones de seguridad necesitan científicos de datos Herramientas preliminares de análisis de datos para profesionales en seguridad

Los equipos de jefes de seguridad de Cisco (CSO) están recopilando una cantidad de datos sin precedentes y la inteligencia que se obtiene de estos datos es demasiado valiosa como para no utilizarla. El análisis de datos relevantes para la seguridad aporta pistas sobre las actividades de los atacantes y proporciona una información que se puede procesar a fin de frustrar los ataques.

El análisis de datos no es algo nuevo para los profesionales de seguridad. Existe además una expectativa entre los profesionales de seguridad de que los registros se generarán y etiquetarán. Los pentesters crean un registro de investigación después de una evaluación. Los diseñadores de sistemas operativos implementan subsistemas de auditorías. Los desarrolladores de aplicaciones diseñan aplicaciones que generan registros.

Independientemente de cómo se denominen los registros, una cosa es cierta: los profesionales de seguridad tienen gran cantidad de datos y analizar esos datos puede llevar a importantes descubrimientos.

Si bien el análisis de datos en sí mismo no es una novedad, la evolución del panorama de seguridad ha tenido un impacto en el proceso de análisis de datos:

•El simple volumen de datos generados es asombroso.

•La frecuencia con la que se necesita el análisis de datos ad hoc está en aumento.

•Los informes estandarizados, si bien son útiles, resultan insuficientes.

Los profesionales de seguridad tienen

gran cantidad de datos y analizar esos datos puede

llevar a importantes descubrimientos.




Afortunadamente, la barrera para que los profesionales de seguridad puedan analizar datos, aún en este entorno más complejo, es baja, y el ecosistema de herramientas de análisis de datos es valioso. A continuación, se incluye una descripción general de tan solo algunas de las herramientas gratuitas disponibles que los profesionales pueden usar para empezar a analizar los datos.

Análisis de tráfico con Wireshark y Scapy

Dos herramientas que se destacan en el análisis de tráfico son Wireshark y Scapy. Para Wireshark no se necesita presentación. Scapy es una herramienta basada en Python que se puede utilizar como un módulo de Python o de manera interactiva para diseñar o inspeccionar tráfico.

Los valiosos conjuntos de herramientas de línea de comando y disectores de protocolo de Wireshark la hacen indispensable. Por ejemplo, gracias al campo de filtrado de visualización tcp.stream de Wireshark, un archivo pcap que contiene varias secuencias TCP se puede dividir en archivos más pequeños, cada uno de los cuales contiene todos los paquetes que corresponden a una sola secuencia TCP.

En la Figura A1 se muestra este comando que imprime el índice de la secuencia TCP de los primeros cinco paquetes TCP en traffic_sample.pcap.

FIGURA A1

Comando tshark para extraer el índice tcp.stream

tshark -r tra�c_sample.pcap -T �elds -e tcp.stream tcp | head -n 5

tshark es una de las herramientas de línea de comandos de Wireshark.

tcp.stream se re�ere al campo de índice de transmisión de �ltros de presentación TCP.




Con esta información, se puede escribir una secuencia que divida traffic_sample.pcap en archivos pcap independientes:

$ cat ~/bin/uniq_stream.sh #!/bin/bash

function getfile_name() {

orig_name=$1 stream=$2 file_name=”$(echo $orig_name | cut -d’.’ -f1)” file_name+=”-${stream}.pcap”

echo “${file_name}”

return 0 }

streams=$(tshark -r ${1} -T fields -e tcp.stream | sort -un | tr ‘\n’ ‘ ‘)

for x in ${streams} do file_name=$(getfile_name ${1} ${x}) echo “Creating ${file_name}...” tshark -r ${1} -w $file_name tcp.stream eq ${x} done $

La secuencia crea un solo archivo pcap para cada una de las 147 secuencias TCP en traffic_sample.pcap. Ahora es más fácil hacer una análisis más detallado de cada secuencia TCP. Tenga en cuenta que los paquetes que no son TCP de traffic_sample.pcap no aparecerán en ninguno de los nuevos archivos pcap:

$ /bin/uniq_stream.sh traffic_sample.pcap Creating traffic_sample-1.pcap... Creating traffic_sample-2.pcap... … … Creating traffic_sample-146.pcap... Creating traffic_sample-147.pcap...




Scapy tiene sus propias fortalezas. Como está desarrollada en Python, se pueden utilizar todas las características del lenguaje Python y otras herramientas Python. En el siguiente fragmento se muestra cómo Scapy hace uso de la sobrecarga de operador de manera que se puede crear tráfico rápida e intuitivamente:

# scapy

>>> dns_query = IP()/UDP()/DNS()

>>> from socket import gethostbyname,gethostname

>>> dns_query[IP].src = gethostbyname(gethostname())

>>> dns_query[IP].dst = “8.8.8.8”

>>> import random

>>> random.seed()

>>> dns_query[UDP].sport = random.randint(0, 2**16)

>>> dns_query[DNS].id = random.randint(0, 2**16)

>>> dns_query[DNS].qdcount = 1

>>> dns_query[DNS].qd = DNSQR(qname=“www.cisco.com”)

>>> scapy.sendrecv.sr1(dns_query)

>>> response = scapy.sendrecv.sr1(dns_query)

Begin emission:

............Finished to send 1 packets.

.*

Received 14 packets, got 1 answers, remaining 0 packets

>>> response[DNS].ar[DNSRR].rdata

‘64.102.255.44’

>>>

En este ejemplo se muestra cómo se pueden armar los paquetes y cómo se puede analizar el tráfico en vivo. Sin embargo, Scapy se puede utilizar para analizar archivos pcap así de simple.




Análisis de datos CSV

Los valores delimitados por coma (CSV) son un formato popular para intercambiar datos. Muchas herramientas (entre ellas, tshark) permiten al usuario exportar datos en formato CSV. Por lo general, los profesionales de seguridad utilizan programas de hojas de cálculo, como Excel, para analizar los datos CSV. También es posible utilizar herramientas de línea de comando, como grep, cut, sed, awk, uniq y sort.

Considere usar csvkit como alternativa. Csvkit ofrece varias utilidades que facilitan el procesamiento de datos CSV de la línea de comandos. Examine el siguiente archivo CSV y observe qué fácil es encontrar todas las líneas que tienen el host tty.example.org en la columna src:

$ head -n 3 tcp_data.csv src,srcport,dst,dstport “tty.example.org”,“51816”,”vex.example.org”,”443” “vex.example.org”,”443”,”tty.example.org”,”51816”

$ csvgrep -n tcp_data.csv 1: src 2: srcport 3: dst 4: dstport

$ csvgrep -c 1 -r ‘tty\.example\.org’ tcp_data.csv | head -n 5 src,srcport,dst,dstport tty.example.org,51816,vex.example.org,443 tty.example.org,51816,vex.example.org,443 tty.example.org,51427,paz.example.org,5222 tty.example.org,51767,bid.example.org,80




Csvkit incluye un montón de utilidades. Csvstat es particularmente útil ya que calcula automáticamente varias estadísticas. Por ejemplo, es fácil calcular la frecuencia de los cinco hosts src principales:

$ csvstat -c 1 tcp_data.csv 1. src <type ‘unicode’> Nulls: False Unique values: 55 5 most frequent values:

tty.example.org: 2866 lad.example.org: 1242 bin.example.org: 531 trw.example.org: 443 met.example.org: 363 Max length: 15

Row count: 6896

Matplotlib, Pandas, IPython y otros

Está disponible un valioso conjunto de herramientas de visualización y análisis de datos basada en Python. Un lugar fabuloso para conocer estas herramientas es el sitio SciPy (http://www.scipy.org). Los paquetes Matplotlib, pandas y IPython revisten un interés particular:

•Matplotlib permite una visualización fácil y flexible.

•Pandas ofrece herramientas para manipular y examinar datos sin procesar.

•IPython aporta características al intérprete de Python que facilitan el análisis interactivo de datos.



http://www.scipy.org


A continuación, se muestra cómo los profesionales de seguridad pueden utilizar estas tres herramientas para diseñar los principales hosts src en tcp_data.csv:

In [3]: df = read_csv(“/Users/shiva/tmp/data_analysis/tcp_data.csv”)In [4]: dfOut[4]: <class ‘pandas.core.frame.DataFrame’>Int64Index: 6896 entries, 0 to 6895Data columns (total 4 columns):src 6896 non-null valuessrcport 6896 non-null valuesdst 6896 non-null valuesdstport 6896 non-null valuesdtypes: int64(2), object(2)In [5]: df[‘src’].value_counts()[0:10]Out[5]: tty.example.org 2866lad.example.org 1242bin.example.org 531trw.example.org 443met.example.org 363gee.example.org 240gag.example.org 126and.example.org 107cup.example.org 95chi.example.org 93dtype: int64In [6]: df[‘src’].value_counts()[0:10].plot(kind=“bar”)Out[6]: <matplotlib.axes.AxesSubplot at 0x8479c30>




FIGURA A2

Gráfico generado con trazado ()

0

1000

500

1500

2000

2500

3000

tty.

exam

ple.

org

lad.

exam

ple.

org

bin.

exam

ple.

org

trw

.exa

mpl

e.or

g

met

.exa

mpl

e.or

g

gee.

exam

ple.

org

gag.

exam

ple.

org

and.

exam

ple.

org

cup.

exam

ple.

org

chi.e

xam

ple.

org

El atractivo de pandas reside en la manera en que permite a los usuarios explorar los datos. Por ejemplo, se requiere muy poco esfuerzo para encontrar la cantidad de srcports únicos que tty.example.org conecta desde cada dst único y la combinación dstport con la que se comunica:

In [229]: tty_df = df[df.src == “tty.example.org”] In [230]: num_ports = lambda x: len(set(x)) In [231]: pivot_table(tty_df, rows=[‘dst’,‘dstport’], values=‘srcport’, aggfunc=num_ports) Out[231]: dst dstport add.example.org 80 2 ala.example.org 80 3 and.example.org 80 1 auk.example.org 80 2 bid.example.org 80 1 …




Inicio de análisis de datos

Los ejemplos que aparecen en las páginas anteriores son simplemente una pequeña muestra y no están a la altura de las herramientas a las que se hace referencia. No obstante, son suficientes para que los profesionales de seguridad puedan comenzar a hacer un análisis significativo de datos.

Los CSO deben lograr que sus profesionales de seguridad cumplan la función de científicos de datos. Ahondar en los datos disponibles proporcionará información que no sería posible obtener de otra manera. Con el tiempo, se desarrollará la intuición para reconocer qué porción de los datos se debe explorar. Algunas organizaciones pueden incluso descubrir que pueden beneficiarse de tener científicos de datos exclusivos en sus equipos.




Acerca de Cisco SIO


79 Informe anual de seguridad de 2014 de Cisco Acerca de Cisco SIO

Cisco SIOAdministrar y asegurar las redes ágiles y distribuidas en la actualidad se ha convertido en un desafío cada vez más difícil.

Los delincuentes informáticos continúan explotando la confianza que tienen los usuarios en las aplicaciones y los dispositivos para consumidores, lo cual incrementa el riesgo para las empresas y los empleados. La seguridad tradicional, que depende de la disposición en capas de los productos y del uso de varios filtros, no es suficiente para defenderse de la última generación de software malicioso, que se disemina rápidamente, tiene objetivos mundiales y utiliza múltiples vectores para propagarse.

Cisco se adelanta a las últimas amenazas por medio de la inteligencia de amenazas en tiempo real de Cisco Security Intelligence Operations (SIO). Cisco SIO es el ecosistema de seguridad basado en la nube más grande del mundo, el que utiliza más de 75 terabits de fuentes de datos en vivo provenientes de soluciones de sistema de prevención de intrusiones (IPS), firewall, Internet y correo electrónico de Cisco.

Cisco SIO compara y procesa los datos, categoriza las amenazas automáticamente y crea reglas con más de 200 parámetros. Los investigadores de seguridad también recopilan y proporcionan información sobre eventos de seguridad que tienen el potencial de afectar en gran medida las redes, las aplicaciones y los dispositivos. Las reglas se distribuyen en forma dinámica en los dispositivos de seguridad de Cisco implementados cada tres a cinco minutos.

El equipo de Cisco SIO también publica recomendaciones sobre las mejores prácticas de seguridad y pautas tácticas para frustrar las amenazas. Cisco se compromete a ofrecer soluciones de seguridad completas que se integren, que sean oportunas, integrales y eficaces, para habilitar la seguridad holística para las empresas en todo el mundo. Gracias a Cisco, las empresas pueden ahorrar tiempo de investigación de amenazas y vulnerabilidades y centrarse más en adoptar un enfoque proactivo hacia la seguridad.

Si desea más información sobre la inteligencia de aviso temprano, análisis de amenazas y vulnerabilidades y soluciones de mitigación de Cisco comprobadas, visite: www.cisco.com/go/sio.

La seguridad tradicional no es suficiente para

defenderse de la última generación de

software malicioso.



www.cisco.com/go/sio


Notas 1 Para más información sobre la evolución de cualquiera con cualquiera, consulte “The Nexus of Devices, Clouds, and

Applications” en el Informe anual de seguridad de 2013 de Cisco: https://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf.

2 Ibídem.

3 No More Chewy Centers: Introducing The Zero Trust Model Of Information Security de John Kindervag, Forrester, 12 de noviembre de 2012

4 “Timeline of Edward Snowden’s Revelations”, Al Jazeera America: http://america.aljazeera.com/articles/multimedia/timeline-edward-snowden-revelations.html.

5 “NSA collecting phone records of millions of Verizon customers daily” de Glenn Greenwald, The Guardian, 5 de junio de 2013: http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order.

6 GCHQ: Government Communications Headquarters, a British intelligence agency.

7 “NSA infiltrates links to Yahoo, Google data centers worldwide, Snowden documents say” de Barton Gellman y Ashkan Soltani, 30. de octubre de 2013, The Washington Post: http://www.washingtonpost.com/world/national-security/nsa-infiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html.

8 Para más información, consulte “Ciclo de vida del desarrollo seguro de Cisco (CSDL)”: http://www.cisco.com/web/about/security/cspo/csdl/index.html.

9 Ibídem.

10 Cisco define a Internet de Todo como “la próxima tendencia del crecimiento espectacular de Internet que vendrá de la mano de la confluencia de personas, procesos, datos y cosas”.

11 “Massive Spam and Malware Campaign Following the Boston Tragedy”, Cisco Security Blog, 17 de abril de 2013: http://blogs.cisco.com/security/massive-spam-and-malware-campaign-following-the-boston-tragedy/.

12 Ibídem.

13 Ibídem.

14 Página “Acerca de” del sitio web de Java: http://www.java.com/en/about/.

15 Conozca más sobre la “evolución de todo tipo”, consulte el Informe anual de seguridad 2013 de Cisco: http://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf.

16 “Department of Labor Watering Hole Attack Confirmed to be 0-Day with Possible Advanced Reconnaissance Capabilities” de Craig Williams, Cisco Security Blog, 4 de mayo de 2013: http://blogs.cisco.com/security/department-of-labor-watering-hole-attack-confirmed-to-be-0-day-with-possible-advanced-reconnaissance-capabilities/.

17 “Watering-Hole Attacks Target Energy Sector” de Emmanuel Tacheau, Cisco Security Blog, 18 de septiembre de 2013: http://blogs.cisco.com/security/watering-hole-attacks-target-energy-sector/.

18 “Apache DarkLeech Compromises” de Mary Landesman, Cisco Security Blog, 2 de abril de 2013: http://blogs.cisco.com/security/apache-DarkLeech-compromises/.

19 “Ongoing malware attack targeting Apache hijacks 20,000 sites” de Dan Goodin, Ars Technica, 2 de abril de 2013: http://arstechnica.com/security/2013/04/exclusive-ongoing-malware-attack-targeting-apache-hijacks-20000-sites/.

20 “Linux/CDorked FAQS” de Mary Landesman, Cisco Security Blog, 1 de mayo de 2013: http://blogs.cisco.com/security/linuxcdorked-faqs/.

21 “DarkLeech Apache Attacks Intensify” de Matthew J. Schwartz, InformationWeek, 30 de abril de 2013: http://www.informationweek.com/security/attacks/DarkLeech-apache-attacks-intensify/240153922.

22 Typosquatting es la práctica de registrar nombres de dominios que difieren en un carácter del nombre de un dominio popular.

23 “Thanks to IoE, the next decade looks positively ‘nutty’” de Dave Evans, Cisco Platform Blog, 12 de febrero de 2013: http://blogs.cisco.com/news/thanks-to-ioe-the-next-decade-looks-positively-nutty/.


https://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf

https://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf

http://america.aljazeera.com/articles/multimedia/timeline-edward-snowden-revelations.html

http://america.aljazeera.com/articles/multimedia/timeline-edward-snowden-revelations.html

http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order

http://www.washingtonpost.com/world/national-security/nsa-infiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html



http://www.cisco.com/web/about/security/cspo/csdl/index.html

http://www.cisco.com/web/about/security/cspo/csdl/index.html

http://blogs.cisco.com/security/massive-spam-and-malware-campaign-following-the-boston-tragedy/

http://www.java.com/en/about/

http://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf

http://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf

http://blogs.cisco.com/security/department-of-labor-watering-hole-attack-confirmed-to-be-0-day-with-possible-advanced-reconnaissance-capabilities/

http://blogs.cisco.com/security/department-of-labor-watering-hole-attack-confirmed-to-be-0-day-with-possible-advanced-reconnaissance-capabilities/

http://blogs.cisco.com/security/watering-hole-attacks-target-energy-sector/

http://blogs.cisco.com/security/apache-DarkLeech-compromises/

http://blogs.cisco.com/security/apache-DarkLeech-compromises/

http://arstechnica.com/security/2013/04/exclusive-ongoing-malware-attack-targeting-apache-hijacks-20000-sites/

http://blogs.cisco.com/security/linuxcdorked-faqs/

http://blogs.cisco.com/security/linuxcdorked-faqs/

http://www.informationweek.com/security/attacks/DarkLeech-apache-attacks-intensify/240153922

http://blogs.cisco.com/news/thanks-to-ioe-the-next-decade-looks-positively-nutty/


24 Para más información sobre las estrategias de mitigación de bitsquatting, lea el informe técnico Cisco, Examining the Bitsquatting Attack Surface, 2013: http://blogs.cisco.com/wp-content/uploads/Schultz-Examining_the_Bitsquatting_Attack_Surface-whitepaper.pdf.

25 “WordPress Sites in the World” y “A Look at Activity Across WordPress.com”, WordPress.com: http://en.wordpress.com/stats/.

26 “Important Security Update: Reset Your Drupal.org Password”, Drupal.org, 29 mayo de 2013: https://drupal.org/news/130529SecurityUpdate.

27 Puede encontrar un informe detallado de los patrones y cargas útiles de la campaña Operation Ababil en “Cisco Event Response: Distributed Denial of Service Attacks on Financial Institutions”: http://www.cisco.com/web/about/security/intelligence/ ERP-financial-DDoS.html.

28 “DDoS Attack on Bank Hid $900,000 Cyberheist” de Brian Krebs, KrebsonSecurity blog, 19 de febrero de 2013: http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.

29 “Chinese Internet Hit by Attack Over Weekend” de Paul Mozer, China Real Time Report, WSJ.com, 26 de agosto de 2013: http://blogs.wsj.com/chinarealtime/2013/08/26/chinese-internet-hit-by-attack-over-weekend/.

30 Fuente: Wikipedia: “Ingress Filtering”: http://en.wikipedia.org/wiki/Ingress_filtering.

31 “Understanding Unicast Reverse Path Forwarding”, sitio web de Cisco: http://www.cisco.com/web/about/security/intelligence/unicast-rpf.html.

32 “Your Hard Drive Will Self-Destruct at 2 p.m.: Inside the South Korean Cyberattack” de Sean Gallagher, Ars Technica, 20 de marzo de 2013: http://arstechnica.com/security/2013/03/your-hard-drive-will-self-destruct-at-2pm-inside-the-south-korean- cyber-attack/.

33 “Thoughts on DarkSeoul: Data Sharing and Targeted Attackers” de Seth Hanford, Cisco Security Blog, 27 de marzo de 2013: http://blogs.cisco.com/tag/darkseoul/.

34 Ibídem.

35 “Cyber Gang Seeks Botmasters to Wage Massive Wave of Trojan Attacks Against U.S. Banks” de Mor Ahuvia, RSA, 4 de octubre de 2012: https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u-s-banks/.

36 “DDoS Attack on Bank Hid $900,000 Cyberheist” de Brian Krebs, KrebsonSecurity blog, 19 de febrero de 2013: http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.

37 “Cisco projects data center-cloud traffic to triple by 2017”, ZDNet, 15 de octubre de 2013: http://www.zdnet.com/cisco-projects-data-center-cloud-traffic-to-triple-by-2017-7000021985/.


http://blogs.cisco.com/wp-content/uploads/Schultz-Examining_the_Bitsquatting_Attack_Surface-whitepaper.pdf

http://blogs.cisco.com/wp-content/uploads/Schultz-Examining_the_Bitsquatting_Attack_Surface-whitepaper.pdf

http://en.wordpress.com/stats/

https://drupal.org/news/130529SecurityUpdate

http://www.cisco.com/web/about/security/intelligence/ERP-financial-DDoS.html



http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/

http://blogs.wsj.com/chinarealtime/2013/08/26/chinese-internet-hit-by-attack-over-weekend

http://en.wikipedia.org/wiki/Ingress_filtering

http://arstechnica.com/security/2013/03/your-hard-drive-will-self-destruct-at-2pm-inside-the-south-korean-cyber-attack/

http://arstechnica.com/security/2013/03/your-hard-drive-will-self-destruct-at-2pm-inside-the-south-korean-cyber-attack/

http://blogs.cisco.com/tag/darkseoul/

https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u-s-banks/

https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u-s-banks/

http://www.zdnet.com/cisco-projects-data-center-cloud-traffic-to-triple-by-2017-7000021985

http://www.zdnet.com/cisco-projects-data-center-cloud-traffic-to-triple-by-2017-7000021985

Cisco tiene más de 200 oficinas en todo el mundo. Las direcciones y los números de teléfono y de fax están disponibles en el sitio web de Cisco en www.cisco.com/go/offices.

La totalidad del contenido pertenece a Copyright © 2011–2014 Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Cisco y el logotipo de Cisco son marcas comerciales de Cisco Systems, Inc. o de sus filiales en los Estados Unidos y en otros países. Para obtener una lista de las marcas comerciales de Cisco, visite www.cisco.com/go/trademarks. Las marcas registradas de terceros mencionadas en este documento pertenecen a sus respectivos propietarios. El uso de la palabra partner no implica la existencia de una asociación entre Cisco y cualquier otra compañía. (012114 v1)

Sede Central en América Cisco Systems, Inc. San José, CA

Sede Central en Asia Pacífico Cisco Systems (EE. UU.) Pte. Ltd. Singapur

Sede Central en Europa Cisco Systems International BV Ámsterdam, Países Bajos

www.cisco.com/go/offices

http://www.cisco.com/

Informe anual de seguridad de 2014 de Cisco

Technology

Transcript of Informe anual de seguridad de 2014 de Cisco