2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados.

Informe sobre el estado de la seguridad 2019 H1

Página 0 de 25

Desde la seguridad en móviles hasta el ciberriesgo,

desde las noticias más relevantes hasta las más técnicas y las vulnerabilidades más habituales, comprende los riesgos del panorama actual

elevenpaths.com

Informe sobre el estado de la seguridad 2019 H1

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 1 de 25

Informe sobre el estado de la seguridad 2019 H1

ÍNDICE

LOS INCIDENTES MÁS DESTACADOS DEL PRIMER SEMESTRE DE 2019 ................................................................................. 3

MÓVILES ............................................................................................................................................................................................. 3 Apple iOS ........................................................................................................................................................................................ 4 Android ........................................................................................................................................................................................... 7

VULNERABILIDADES DESTACABLES ........................................................................................................................................... 10 Las vulnerabilidades en cifras ................................................................................................................................................... 12

OPERACIONES APT, GRUPOS ORGANIZADOS Y MALWARE ASOCIADO ................................................................................. 16

EVALUACIÓN DEL CIBERRIESGO POR SECTORES ...................................................................................................................... 19

RECAPITULACIÓN ........................................................................................................................................................................... 24

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 2 de 25

Informe sobre el estado de la seguridad 2019 H1

El objetivo de este informe es sintetizar la información sobre ciberseguridad de

los últimos meses (desde la seguridad en móviles hasta el ciberriesgo, desde las noticias más relevantes hasta las más técnicas y las vulnerabilidades más

habituales), tomando un punto de vista que abarque la mayoría de los

aspectos de esta disciplina, para así ayudar al lector a comprender los riesgos del panorama actual.

Durante el primer semestre de 2019, los protagonistas han sido de nuevo la privacidad y los fallos potencialmente “gusanables” con reminiscencias al

tristemente célebre WannaCry. En enero se filtraba posiblemente la mayor cantidad de contraseñas (asociadas a sus correos) de la historia. El revuelo fue

notable, puesto que llamó la atención de muchos usuarios cómo era posible acumular tantos datos privados de una sola vez y, además, se preguntaban

cómo llegaron allí. Las contraseñas siguen siendo la fórmula de protección más común, pero sucesos como

este pusieron el foco en su importancia. Servicios como haveibeenpwned dispararon su uso, hasta el punto de que durante este mismo semestre, han anunciado que

están a la venta porque el proyecto se ha desbordado. Aun así, Windows 10 ha dado un paso adelante animando a no cambiar las contraseñas del sistema a

menudo.

Ya al final de este semestre, BlueKeep ha despertado a los fantasmas de WannaCry. El fallo corregido por Microsoft en el Remote Desktop Protocol todavía

mantenía en vilo a buena parte de la comunidad. El problema podía ser “gusanable” y causar un caos parecido al de WannaCry debido a la cantidad de

sistemas expuestos. Afortunadamente no se desarrolló el exploit de inmediato, si bien se conocía que era posible su desarrollo y que estaba disponible de forma privada, todavía no se ha liberado ningún malware que se

propague a través de esa fórmula.

Además, este semestre la investigadora de seguridad PolarBear ha mantenido en jaque a Microsoft con la liberación de diversos fallos de seguridad que permitían

la escalada de privilegios, lo que volvía a abrir el debate sobre la difusión responsable de los problemas de seguridad entre la comunidad. Precisamente la

comunidad agradeció a la NSA la liberación de GHIDRA, el programa libre y gratuito que permite el análisis de binarios y “reversing” y que compite directamente con

IDA, agitando un mercado estancado desde hace años. No sabemos si Tavis Ormandy se sirvió de este

analizador para descubrir en mayo, posiblemente, la primera fórmula para ejecutar una shell a través de una

vulnerabilidad en Notepad.

Tanto si es aficionado como profesional, es importante que sea capaz de seguir el ritmo de las noticias

relevantes sobre ciberseguridad: ¿qué es lo más relevante que está pasando? ¿Cuál es el panorama

actual? ¿Cómo evolucionan los problemas de seguridad, vulnerabilidades y ataques? Se hace necesario

sintetizar, sin perder profundidad.

El lector dispondrá con este informe de una herramienta para comprender el estado de la seguridad desde

diferentes perspectivas, y podrá conocer su estado

actual y proyectar posibles tendencias a corto plazo.

La información recogida se basa en buena parte en la recopilación y síntesis de datos internos, contrastados

con información pública de fuentes que consideramos

de calidad.

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 3 de 25

Informe sobre el estado de la seguridad 2019 H1

LOS INCIDENTES MÁS DESTACADOS DEL PRIMER SEMESTRE DE 2019 A continuación, damos cuenta de aquellas noticias que mayor impacto han tenido durante el transcurso de este primer

semestre de 2019.

Boletines de Microsoft Microsoft publica una nueva

tanda de boletines de seguridad, entre ellos, destaca un peligroso

fallo que podría permitir la ejecución de código arbitrario en

el servidor DHCP. Leer más

DNS Flag Day Comenzamos febrero con el

denominado “flag day”, un día marcado en la agenda de la

industria para que todos los servidores adopten EDNS, un

mecanismo para extender el protocolo DNS y mejorar su

seguridad. Pasado el 1 de febrero, en teoría, se ignorarán

aquellos servidores DNS que no respondan a mensajes EDNS.

Leer más

Sigue la saga MagecartInteresante análisis por parte de

RiskIQ, sobre la saga Magecart, que sigue dando noticias. Los

grupos que están tras la herramienta la han evolucionado

hasta conseguir reducir el número de líneas necesarias,

discriminación de user-agents o el uso de metadatos en

imágenes para extraer las direcciones de los servidores de

captura de datos. Leer más

Vulnerabilidad en ApacheInteresante y peligrosa

vulnerabilidad que afecta al servidor web Apache HTTPd. El

fallo, con CVE-2019-0211, permitiría a un usuario elevar

privilegios en sistemas UNIX a través de un CGI. Este fallo es

especialmente importante en ambientes de hosting

compartido. En este escenario, un usuario malicioso que pudiese

crear un CGI podría obtener el control del servidor y por ende de

todos los sitios alojados en este último.

Leer más

Exploits por SandboxEscaperLa investigadora conocida como

SandboxEscaper, ha publicado una serie de exploits 0-days para

elevar privilegios en sistemas Windows. No es la primera vez

que realiza este tipo de publicaciones. El código de los

exploits fue publicado en un repositorio de Github [y

posteriormente eliminado]. Leer más

Criptominado con Nansh0u El malware de minado de

criptomoneda, a pesar de su decremento debido a la baja

rentabilidad de las criptomonedas, sigue dando

titulares. Guardicore, publica un completo informe acerca de

Nansh0u, un malware que ha llegado a infectar 50.000

servidores para minar la criptomoneda TurtleCoin.

Leer más

Phishing con Modlishka

Se publica un kit para realizar ataques de phishing llamado

Modlishka. Sencillo de usar, potente y que además permite

eludir el segundo factor de autenticación. Al contrario de

otras herramientas similares, Modlishka no se basa en

plantillas que imitan al sitio original, sino que mediante un

proxy inverso interactúa con el dominio suplantado.

Leer más

Botnet TheMoonInteresante concepto de

rentabilización de una botnet. ”TheMoon”, una botnet nacida

en 2014 y especializada en ataques de denegación de

servicio, añade un nuevo ”servicio”: el alquiler de proxies.

Esto permite a los atacantes que renten los recursos de la botnet

un abanico de posibilidades, desde la anonimización de

actividades hasta la visita fraudulenta de videos de

YouTube para elevar de forma artificial las visitas.

Leer más

Ghidra, de la NSA

La agencia estadounidense de inteligencia, NSA, publica una

herramienta de ingeniería inversa llamada "Ghidra”.

Competencia inmediata y directa de IDA Pro.

Curiosamente, al poco de ser liberada, se dio a conocer que

Ghidra expone el puerto 18001 en todas las interfaces, propio del

modo debug del protocolo JDWP de Java. Esto, exponía al usuario

a ataques de ejecución de código arbitrario.

Leer más

Windows build 1903Con la introducción de Windows

build 1903, Microsoft cambia su política de seguridad de una

forma atrevida e interesante: no exige 256 bits en Bitlocker, ahora

el mínimo es de 128. Bloquea el uso por voz del equipo cuando el

escritorio está bloqueado. Ahora es imprescindible que un binario

esté firmado por Microsoft para que pueda ser cargado por

‘svhost.exe’. Por último, y la más llamativa: ya no se recomienda

(Microsoft califica de obsoleta e insignificante esta medida) que

las contraseñas expiren.Leer más

Parches de MicrosoftMicrosoft publica su habitual

tanda de parches de seguridad, entre ellos se encuentra el CVE-

2019-0708, una vulnerabilidad en Terminal Server que permite

la ejecución remota de código arbitrario. Con una puntuación

CVSS de 9.8, se teme que pueda ser usado como exploit para un

gusano. Es tal la preocupación, que se han incluido parches para

versiones de Windows sin soporte.

Leer más

Fallo en servidor correo EXIM Descubierto un grave fallo en el

servidor de correo EXIM que permitiría la ejecución de código

arbitrario. Además de esto, el parche no fue categorizado

como “seguridad”. Esto hizo que muchas distribuciones no lo

publicaran de forma preferente, ocasionando que sistemas

críticos de correo en producción continuaran expuestos a pesar

de la existencia de una solución oficial

Leer más

Aplicación maliciosa china

Secure-D, descubre una aplicación maliciosa de origen

chino que venía preinstalada en los móviles Alcatel Pixi 4 y A3.

Entre otras operaciones, extraía datos sensibles y suscribía al

usuario a servicios premium de tarificación a través de mensajes

SMS.Leer más

Cracking contraseñas hashcatLos avances en la capacidad de

cómputo y una nueva actualización del popular

programa de crackeo de contraseñas, hashcat, consiguen

bajar el tiempo de obtención de una contraseña de ocho

caracteres, a partir de un hash NTLM, en dos horas y media. Por

poner un ejemplo, por 25 dólares en un servicio de computación

en nube, se podría obtener una contraseña a partir de un hash

NTLM sin cálculo previos. Leer más

Actividad del grupo FIN7

A pesar de los arrestos que tuvieron lugar durante el verano

de 2018, hay indicios de que el grupo FIN7 (conocidos sobre

todo por Carbanak) sigue activo. Se han encontrado evidencias de

un nuevo malware adjunto a correos electrónicos

denominado SQLRat. Este, utilizaría consultas SQL para

reconstruir binarios sin dejar huellas en el sistema. Además,

también se ha encontrado malware denominado DNSBot

que se camuflaría en el tráfico DNS.

Leer más

Problemas en WPA3

A WPA3, el nuevo estándar de seguridad WIFI, comienzan a

salirle los problemas de seguridad. Dos investigadores

publican una completa investigación en la que detallan

varios ataques sobre WPA3 que podrían causar desde

denegación de servicio del punto de acceso WIFI a degradación

hacia WPA2 o ataques de canal lateral. En su conjunto, los

ataques reciben el nombre de Dragonfly.

Leer más

Fallos en pila TCP de Linux

Ingenieros de Netflix descubren fallos en la implementación de la

pila TCP del kernel Linux que podrían causar denegación de

servicio con un paquete TCP especialmente manipulado. En

concreto, se trata de la forma en la que el kernel maneja paquetes

SACK (una mejora que permite la retransmisión granular de

paquetes TCP perdidos que permite ahorrar tráfico).

Leer más

enero febrero juniomarzo abril mayo

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 4 de 25

Informe sobre el estado de la seguridad 2019 H1

MÓVILES

Apple iOS

Noticias destacables

El año 2019 para iOS comenzó con una actualización de seguridad bastante completa. El 22 de enero se publicaba la versión 12.1.3 del sistema operativo móvil

de Apple. Entre los fallos de seguridad corregían varios correspondientes al kernel, que permitirían elevar

privilegios o ejecutar código arbitrario. Otro fallo corregido destacable se ha parcheado en FaceTime (la aplicación de Apple para videollamadas). Permitiría a un

atacante remoto iniciar una llamada en FaceTime y

ejecutar código arbitrario durante el transcurso de esta1.

No pasó mucho tiempo tras la versión 12.1.3 y Apple liberó la siguiente, 12.1.4, el 7 de febrero. En esta ocasión fue para corregir cuatro fallos de seguridad

importantes que afectaban a FaceTime (de nuevo), IOKit, Foundation y Live Photos. Quizás, el fallo más mediático era el que afectaba a FaceTime y que permitía al creador de una llamada en grupo forzar la aceptación de esta a cualquier receptor. No siempre se trata de

errores que posibilitan la ejecución de código arbitrario cuya explotación requiere de conocimientos altamente técnicos, en esta ocasión peligraba la privacidad de los

usuarios con una técnica relativamente sencilla de

aprovechar2.

El 25 de marzo, iOS cambiaba a 12.2. Al ser un cambio de versión menor (de la 12.1 a la 12.2) contenía mejoras

en la experiencia de usuario. No obstante, lo llamativo era la gran cantidad de correcciones de seguridad que contenía esta versión, hasta 51 parches que afectaban a

un amplio abanico de subsistemas de iOS3.

1 https://support.apple.com/kb/HT209443

2 https://support.apple.com/kb/HT209520

Curiosamente, no hubo versiones de parche entre la 12.2 y la 12.3. El 13 de mayo vería la luz esta última, que corregía una gran cantidad de fallos, al igual que hizo su predecesora. Destaca la gran cantidad de errores centrados en el motor del navegador Safari: WebKit.

Como funcionalidad no relacionada con la seguridad, Apple actualiza la imagen del icono de AppleTV con esta

versión4.

Algo más de una semana después de la 12.3, se publica la versión 12.3.1. Esta versión de nivel de parche corrige fallos funcionales y no posee ningún CVE o error de seguridad asociado. No obstante, uno de los fallos que

corrige esta versión es la no aparición de mensajes de

spam procedentes de iMessages en las notificaciones5.

Finalmente, el 10 de junio, ve la luz una nueva versión, la 12.3.2, que tan solo proporciona un parche para un error en la toma de fotografías del modelo iPhone 8 Plus.

Respecto a la versión 13, Apple la anuncia en el evento anual para desarrolladores WWDC, y programa su liberación para el tercer trimestre de este año. Veremos en el siguiente informe las novedades de seguridad que

ha introducido Apple en esta nueva iteración de su sistema operativo móvil. Adelantamos, eso sí, el sistema de autenticación única, “Sign in with Apple”. Permitirá a

los usuarios autenticarse mediante su ID de Apple de forma similar a como ya se hace con cuentas de Google o Facebook pero con foco en la privacidad del usuario(por ejemplo, permite la creación al vuelo de cuentas de

correo desechables).

3 https://support.apple.com/en-us/HT209599

4 https://support.apple.com/es-es/HT210118

5 https://support.apple.com/en-gb/HT201222

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 5 de 25

Informe sobre el estado de la seguridad 2019 H1

Evolución de vulnerabilidades en iOS durante el primer semestre de 2019

Curiosamente, en los años 2015 y 2017 el número de

vulnerabilidades fue el mismo, 387.

El smartphone de Apple ha sido y sigue siendo un objeto preciado en manos de investigadores, tanto por el prestigio de encontrar un fallo en estos sistemas como

las recompensas que se pagan en el mercado negro por aquellas que presentan mayor gravedad.

El descubrimiento de fallos sigue siendo un mercado en alza. Tan solo en el primer semestre de 2019 se han

descubierto más fallos que en todo 2018. A pesar de ello,

solo unos pocos poseen la categoría de ejecución de código arbitraria y, por tanto, en este primer semestre se ha elevado el precio de mercado de una

vulnerabilidad de este tipo. Hasta dos millones según Zerodium.

1

9 27 32 37

112 96 122

387

163

387

125

155

1 310 14 13

74 58 50

232109

241

63 5

2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019

VULNERABILIDADES EN IOS 2019-H1Evolución de vulnerabilidades por año

Total de vulnerabilidades encontradas

Categoría dentro de "ejecución de código arbitrario"

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados.

Informe sobre el estado de la seguridad 2019 H1

Página 6 de 25

Fragmentación de versiones

A fecha de 30 de mayo (información de Apple), la

fragmentación en iOS posee la siguiente distribución:

La fragmentación no es un problema para el dispositivo móvil de Apple. Si bien los desarrolladores móviles deben lidiar con diferentes tipos de pantalla (dado el

abanico de dispositivos de la misma línea) y densidades de píxel, no es comparable con el escenario tan diverso de niveles de API correspondientes a las diferentes

versiones de Android, lo que complica el apartado de desarrollo en esta plataforma.

Solicitud de retirada de aplicaciones de Apple store

Apple publica en un ejercicio de transparencia qué gobiernos les piden eliminar apps de su market. Además, también desvelan cuántas veces estos

gobiernos solicitan datos de usuarios y dispositivos o intervención de cuentas. El periodo abarca el segundo

semestre de 2018.

▪ Ha eliminado 634 apps de su market, de 770que fueron solicitadas. 517 de las que fueroneliminadas se pidieron desde China (porpornografía y juego) y ninguna de EstadosUnidos, además de otros 10 países. Noruega y

Arabia Saudí junto con China, fueron los que

más solicitaron retiradas de apps.

▪ Sin embargo, Estados Unidos sí que solicitó

4.680 peticiones de acceso a dispositivos, másque ningún país. Aunque esto incluye casos de

robos y situaciones de emergencia.

▪ Con respecto al acceso a cuentas, se pidieron4.875 solicitudes de acceso a un total de22.503 cuentas, la mayoría también desde

Estados Unidos. En un 82% de los casos seproporcionaron datos de las cuentas, y en el

resto solo información no relacionada

directamente con los datos.

▪ También se pueden solicitar “conservación” de

datos de cuentas por 90 días. De 1.823peticiones con 5.553 cuentas, se conservaron3.963 para potenciales intervenciones legales

futuras, por ejemplo. Solo dos cuentas fueronborradas en el mundo por solicitud de

gobiernos.

Toda la información sobre este informe de Apple, se encuentra sintentizado en gráficas en esta

entrada de blog:

https://empresas.blogthinkbig.com/datos-

solicitados-gobiernos-apple/

85%

9%

6%

iOS 12

iOS 11

Anterior

FRAGMENTACIÓN EN APPLE IOS 2019-H1Según datos de la App Store a 30 mayo 2019

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 7 de 25

Informe sobre el estado de la seguridad 2019 H1

Android

Noticias destacables

Con Android Q aún en el horno, a la espera de su publicación programada para agosto de este año, Android Pie (o Android 8) continúa siendo la versión de

referencia en el sistema operativo móvil de Google.

Aún en fase Beta, Android Q traerá consigo mejoras en la privacidad de los usuarios en el sentido de cómo estos comparten la información personal con las aplicaciones instaladas e intentará mejorar la transparencia del uso

de los datos por parte de estas. Algo que también se mejora (en el sentido de la compartición de datos entre aplicaciones) es el acceso a la información almacenada

en dispositivos externos (las sdcards principalmente), haciendo más granular y filtrado las necesidades de

acceso de las aplicaciones.

Otro aspecto interesante que se prevé va a incluir Q, es la restricción de la obtención de foco a las aplicaciones que se ejecuten en segundo plano. Es decir, los usuarios que estén usando una aplicación, no verán más cómo

una aplicación que se ejecuta en segundo plano “cambia” a primer plano de forma no solicitada. Esto limitará el problema de abuso de publicidad por parte de

ciertas aplicaciones.

Respecto a la identidad de usuarios en ambientes de redes públicas o potencialmente hostiles, se limita la difusión de propiedades estáticas. Esto se entiende

como aquellos elementos del sistema que permitirían una identificación unívoca del usuario por ser fijos, léase: IMEI, dirección MAC de las interfaces de red, etc. Por

ejemplo, para prevenir un seguimiento de usuario a través de la dirección MAC del terminal, se emplearán

direcciones MAC aleatorias cuando el dispositivo se

conecte a redes WIFI que no se consideren seguras.

Por último, se ha mejorado el soporte biométrico adecuándolo a reconocimiento facial y se da soporte a la versión 1.3 de la especificación de cifrado TLS, la cual se activará por defecto en las negociaciones de

6 https://developer.android.com/about/dashboards/

conexiones seguras. En el próximo informe veremos con

más detalle las mejoras de seguridad que nos traerá la

nueva versión de Android.

Fragmentación en sistemas Android

La situación de la fragmentación en Android no posee visos de cambiar en un corto plazo. Como ya

comentamos en el informe anterior, dicha fragmentación es acusada principalmente por los desarrolladores, que deben medir con cuidado que nivel

de API es usado por sus aplicaciones, además de proveer compatibilidad hacia atrás si no quieren desprenderse

de un porcentaje significativo de la tarta de ingresos.

Al contrario que su mayor competencia, un homogéneo iOS con gran cobertura de su versión principal, el

ecosistema Android debe convivir con múltiples niveles de API y con una significativa parte de sistemas

considerados obsoletos aun en perfecto funcionamiento. Esto hace que un buen número del parque de instalaciones queden fuera del soporte de seguridad, lo que se traduce en una exposición

demasiado prolongada.

El estado de la fragmentación del sistema operativo

móvil de Google, Android, es el siguiente6:

10,4

15,4

12,9

7,8

11,4

16,9

11,5

3

6,9

3,2

0,3

0,3

Pie

Oreo 8.1

Oreo 8.0

Nougat 7.0

Nougat 7.1

Marshmallow

Lollipop 5.1

Lollipop 5.0

KitKat

Jelly Bean

Ice Cream

Gingerbread

FRAGMENTACIÓN EN ANDROID

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 8 de 25

Informe sobre el estado de la seguridad 2019 H1

Evolución de vulnerabilidades en Android durante el primer semestre de 2019

Aunque faltan seis meses para cerrar el capítulo anual, el número de vulnerabilidades descubiertas ha sido

notablemente menor que en los periodos

inmediatamente anteriores. De hecho, en lo que llevamos de año el conteo no pasa de 60 entradas y tan solo cuatro de ellas calificadas de ejecución de código

arbitrario.

Veremos si a final de año se mantiene la tendencia o, por el contrario, existe una disminución palpable en la búsqueda de fallos de seguridad en el sistema operativo

móvil de Google.

Tiempo medio de retirada de aplicaciones maliciosas en Google

Play

Hemos vuelto a estudiar el tiempo medio de retirada de aplicaciones maliciosas en Google Play. Lo primero que

nos llama la atención es la gran cantidad de aplicaciones retiradas (casi tres veces más) que el periodo anterior. Esto puede representar que, o bien están realizando una “limpieza” más profunda del mercado, o bien que todavía sigue siendo relativamente fácil colar

aplicaciones de baja calidad en él.

Hemos analizado el tiempo que tarda Google Play (el market oficial de aplicaciones para Android) en retirar aplicaciones maliciosas o como es denominado por

Google: PUA, Potentially Unwanted Application. Esto es, desde que la aplicación es subida por su autor o autores

hasta que finalmente es retirada.

No solo se tiene en cuenta que la aplicación haya sido retirada, dado que esta operación suele ser común y no siempre por ser esta calificada como maliciosa, sino que

5 1 9 5 7 13125

525

843

611

60

0 1 14 1

256

106 8732 4

2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019

VULNERABILIDADES EN ANDROID 2019-H1Evolución de vulnerabilidades por año

Total de vulnerabilidades encontradas

Categoría dentro de "ejecución de código arbitrario"

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 9 de 25

Informe sobre el estado de la seguridad 2019 H1

la aplicación debe ser detectada como malware por al

menos un motor antivirus.

El periodo de estudio comprende desde el 1 de enero de 2019 hasta el 30 de junio de 2019. El grueso de aplicaciones seleccionada es de 44.782 aplicaciones

retiradas en algún momento del periodo mencionado.

De ellas, hemos analizado un subconjunto representativo de más de 5000 aplicaciones, en que hemos calificado 115 aplicaciones como maliciosas. Lo

que, extrapolando, podemos establecer como aproximadamente un 2% de las apps retiradas por considerarse malware. Finalmente, los datos

comparativos de tiempo (medido en días) de retirada del market con respecto al semestre anterior arrojan los

resultados de la gráfica.

Esto quiere decir que Google Play retira las apps consideradas malware en una media de algo más de 51

días, aunque algunas han podido llegar a mantenerse en él hasta 138. Además, estos datos no suponen una

variación relevante con respecto al segundo semestre de 2018.

En próximos estudios podremos comprobar si existe una

tendencia o los números son estables.

Mínimo = 4 Mínimo = 3

Mediana = 43,5

Media = 47,54

Máximo = 144

Mediana = 44

Media = 51,12

Máximo = 138

PLAZO DE RETIRADA DEL MARKET Tiempo medido en días

20018 H2 20019 H1

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 10 de 25

Informe sobre el estado de la seguridad 2019 H1

VULNERABILIDADES DESTACABLES Comentamos en esta sección algunas de las vulnerabilidades más notables de este primer semestre de 2019. Es decir,

aquellas que destacan por su especial relevancia o peligrosidad.

CVE ID OBJETIVO DESCRIPCIÓN SCORING

(CVSS V3.0)

CVE-2019-12735 Editor de textos

Vim y NeoVim

Vim y NeoVim utiliza cierto tipo de metadatos en archivos de texto plano para configurar ciertas propiedades del editor. Existe un fallo que permite a ciertas opciones de este mecanismo (denominado ‘modeline’) evadir la sandbox y

ejecutar comandos del sistema de forma arbitraria. Como puede derivarse de la descripción, tan solo es necesario agregar una línea comentada a un archivo de texto plano con contenido malicioso y esperar a que un usuario de este editor de texto abra el archivo para que dicho contenido se

ejecute en el sistema.

https://bugs.debian.org/cgi-

bin/bugreport.cgi?bug=930020

9.3

CVE-2019-11683 Kernel Linux Un error en el proceso de paquetes UDP podría causar un estado de denegación de servicio en el sistema a través de paquetes UDP especialmente manipulados. Solo afecta a la

rama 5 del kernel Linux.

https://www.openwall.com/lists/oss-security/2019/05/05/4

10.0

CVE-2019-0708 Microsoft Windows (Terminal

Server)

Conocida como BlueKeep, esta vulnerabilidad permitiría a un atacante no autenticado ejecutar código arbitrario a través de paquetes RDP especialmente manipulados. Hasta el momento no se tiene conocimiento de la existencia de exploit para ejecutar código arbitrario, no

obstante, sí se han hecho públicas varias versiones que

provocan denegación de servicio en los sistemas sin parche.

https://portal.msrc.microsoft.com/en-US/security-

guidance/advisory/CVE-2019-0708

9.8

CVE-2019-11477 Kernel Linux Ingenieros de Netflix han encontrado un fallo en la implementación de SACK del kernel Linux. SACK permite

seleccionar de forma unitaria para su retrasmisión aquellos paquetes TCP que no han sido recibidos. Esta función

N/D

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 11 de 25

Informe sobre el estado de la seguridad 2019 H1

ahorra tráfico, dado que sin SACK, si se reclama un paquete

no recibido, la otra parte enviará el paquete no recibido y todos los paquetes posteriores; incluso si estos si fueron recibidos por el cliente. Se da la particular circunstancia de que el fallo ha permanecido 10 años sin ser descubierto, o al menos, sin noticia de su explotación durante este periodo

de tiempo tan prolongado.

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-

001.md

CVE-2018-12130

(ZombieLoad)

Múltiples CPU de

Intel

Nuevo fallo de seguridad que afecta a las CPU de Intel Core y Xeon que permitiría el acceso a datos sensibles de otros

procesos. Este tipo de fallos explotan la ejecución especulativa de los procesadores, es decir, la anticipación en la ejecución de instrucciones que podrían ser o no

descartadas. Una forma de optimización que permite “adelantar” trabajo de CPU antes de que el flujo de ejecución alcance ese punto.

https://zombieloadattack.com/

https://www.cyberus-technology.de/posts/2019-05-14-

zombieload.html

https://www.intel.com/content/www/us/en/security-

center/advisory/intel-sa-00233.html

6.5

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 12 de 25

Informe sobre el estado de la seguridad 2019 H1

Las vulnerabilidades en cifras

En números concretos de vulnerabilidades descubiertas (con CVE y gravedad asignados), la distribución de CVE publicados por nivel de riesgo (scoring basado en

CVSSv3), ha sido la siguiente:

Un buen número de ellas se concentran en puntuaciones altas, a partir de 8.0, cuando la gravedad es considerada alta y el impacto posee mayores consecuencias. Los programas de recompensa que han desplegado las compañías tecnológicas animan en parte a los investigadores a centrarse en los hallazgos más críticos (los mejor premiados) en vez de aquellos

que no cualifican o su recompensa es mucho menor.

Top 25 compañías con más CVE acumulados

Como en otras ocasiones, hemos de relativizar los datos aquí expuestos. Esto es debido a que algunos fabricantes poseen numerosos productos candidatos a obtener un CVE, como puede ser el caso de Oracle y su cuantioso catálogo de productos (alta dispersión). Por el contrario, compañías con un número menor de

productos candidatos, sí poseen una gran concentración de CVE en ciertos productos, como puede ser Adobe con Flash y Reader, que acumulan un alto

número de vulnerabilidades.

0

5

16

82

337

786

179

1184

518

421

0

4

24

145

427

1069

266

1193

730

637

Nivel 1

2

3

4

5

6

7

8

9

Nivel 10

VULNERABILIDADESDistribución de vulnerabilidades por riesgo

2019-H1

2018-H2

363

331

300

242

220

182

161

151

142

137

136

134

113

109

98

88

83

82

61

56

51

44

38

35

35

Microsoft

Oracle

Adobe

Debian

Apple

Redhat

Cisco

Google

Jenkins

FedoraProject

IBM

Canonical

HP

Opensuse

Qualcomm

Foxitsoftware

Netapp

Intel

Linux

Apache

Gitlab

Mozilla

Schneider-electric

Zohocorp

GNU

VULNERABILIDADESTop 25 fabricantes por CVE acumulados

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 13 de 25

Informe sobre el estado de la seguridad 2019 H1

Debemos hacer notar también que existen vulnerabilidades con transversalidad. Es decir, Canonical (que es sinónimo de Ubuntu), Debian, FedoraProject, openSUSE y ReadHat comparten un gran número de binarios y bibliotecas, además del mismo núcleo del sistema operativo: el kernel Linux. Cuando en realidad se

trata de una misma vulnerabilidad o CVE, su parche se distribuye a todos los fabricantes, quienes elaboran un

paquete para su o sus distribuciones particulares.

Top 10 CWE más representativos

CWE (Common Weakness Enumeration) es una clasificación que agrupa todas las debilidades

identificadas en productos informáticos. Similar al esfuerzo realizado con CVE para etiquetar las

vulnerabilidades concretas, halladas por producto, CWE se centra en definir los tipos de forma abstracta. Esto

permite realizar un mapeo directo entre CVE y CWE.

Esta lista comprende a los 10 CWE que más se han asignado por número de CVE. Esto nos permite observar qué tipo o clase de debilidades han sido más frecuentes

en este periodo de estudio.

374

340

198

461

149

122

155

81

105

92

483

433

429

408

296

238

224

150

129

127

CWE-79

CWE-119

CWE-20

CWE-284

CWE-200

CWE-264

CWE-125

CWE-255

CWE-77

CWE-416

VULNERABILIDADESTop 10 CWE más representativos

2018-H2

2019-H1

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 14 de 25

Informe sobre el estado de la seguridad 2019 H1

Tabla descriptiva de cada CWE

CWE TÍTULO DESCRIPCIÓN CANTIDAD

CWE-79 Improper Neutralization of Input

During Web Page Generation

Básicamente, recoge los tres tipos conocidos de vectores para realizar un Cross-site scripting:

Reflejado, almacenado y basado en DOM

483

CWE-119 Improper Restriction of Operations within the Bounds of a

Memory Buffer

De forma general, recoge aquellos errores de programación donde no se está controlando la capacidad de un buffer de memoria, tanto en

operaciones de escritura como de lectura.

433

CWE-20 Improper Input Validation Categoría general para errores que consisten en un control deficiente o inexistente en entradas de datos

procedentes de usuario.

429

CWE-284 Improper Access control La aplicación no restringe el acceso a los recursos de forma adecuada. Se trata de un capítulo genérico

donde se recoge aquellos defectos relacionados con la falta de prohibición o control adecuado cuando un tercero accede a recursos para los cuales no posee

los permisos adecuados.

408

CWE-200 Information Exposure Recoge, de forma general, el compromiso de información sensible debido a la ausencia o

deficiencia de controles que impidan la fuga de

información.

296

CWE-264 Permissions, Privileges and Access

Controls

Se trata de una categoría general donde entra toda deficiencia relacionada con los permisos atribuidos a los usuarios o procesos, los privilegios que se les atribuye y el control de acceso a los recursos

(relacionada, en este sentido, con CWE-284).

238

CWE-125 Out-of-bounds Read Muy relacionada con CWE-119, recoge operaciones de lectura a memoria rebasando los límites de

control de un búfer en concreto.

224

CWE-255 Credentials Managenements Comprende todas aquellas vulnerabilidades que afectan a la forma en la que se gestionan las

credenciales de usuarios. Por ejemplo, su almacenamiento, transporte y creación.

150

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 15 de 25

Informe sobre el estado de la seguridad 2019 H1

CWE-77 Improper Neutralization of Special

Elements user in a Command

Se refiere a la ausencia o deficiencia de filtrado de elementos en cadenas que podrían permitir la

ejecución arbitraria de comandos en el sistema.

129

CWE-416 Use After Free Fallo en la gestión de memoria de un proceso que permite llamar a un objeto o referenciar una zona de memoria en el montículo que ha sido liberada

previamente.

127

Conclusiones

Grosso modo, las vulnerabilidades se centran en una ausencia o deficiente inspección de datos procedentes

de usuario o exógenas al proceso. Es decir, valores que se dan en las entradas de datos y que no son suficientemente inspeccionados antes de su procesamiento. Esta situación da lugar a desviaciones en el uso de una función o llamada que finalmente

deriva en una ejecución de código arbitrario.

Otro aspecto reseñable, es que la gestión de memoria sigue siendo una asignatura pendiente en los desarrollos. A pesar de la introducción de nuevos lenguajes de programación y sus respectivos entornos

de ejecución dinámica, que gestionan de forma automática la memoria, los lenguajes no gestionados siguen siendo (y lo seguirán haciendo) fundamentales

para desarrollar servicios con un rendimiento adecuado.

Finalmente, siguen existiendo vulnerabilidades cuya naturaleza es un descuido o falta de comprensión de la seguridad como concepto principal en un desarrollo. Gestión insegura de credenciales, accesos privilegiados

a entidades que no deben o necesitan poseerlos, etc.

Solamente con una adecuada integración de un ciclo de desarrollo seguro y test unitarios que incluyan el estudio

de la gestión de memoria, se evitarían muchas de las vulnerabilidades que actualmente pueblan las listas de

CVEs; cuyos números siguen aumentando año tras año.

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 16 de 25

Informe sobre el estado de la seguridad 2019 H1

OPERACIONES APT, GRUPOS ORGANIZADOS Y MALWARE ASOCIADO Repasamos la actividad de los distintos grupos a los que se les atribuye la autoría de operaciones APT o

campañas reseñables.

Advertimos que la atribución de este tipo de operaciones, así como la composición, origen e ideología de los grupos organizados, es compleja y,

necesariamente, no puede ser completamente fiable.

Esto es debido a la capacidad de anonimato y engaño inherente a este tipo de operaciones, en la que los

actores pueden utilizar medios para manipular la información de modo que oculte su verdadero origen e

intenciones; incluso es posible que en determinados casos actúen con el modus operandi de otros grupos para desviar la atención o perjudicar a estos últimos.

Actividad APT notable, detectada durante el primer semestre de 2019

DARKHYDRUS

2019 comenzó con un notable pico de actividad del grupo DARKHYDRUS, que ya presentamos en el informe pasado. Un mecanismo que no pasó desapercibido por la comunidad de analistas y los medios dedicados, es el uso del API de Google Drive como canal de control en el

malware RogueRobin; creación usada por el grupo.

Esto es solo una pequeña muestra de la innovación que se da dentro del grupo. Debemos sumar el uso de formatos de archivo relativamente recientes, que dificultan la detección basada en patrones de formato

de archivo que usan los analistas en sus sistemas de detección automatizados y, además, el uso de técnicas

de vanguardia para la evasión de AppLocker.

Este actor continúa cobrando importancia, a pesar de que su área de operaciones se mantiene en el medio oriente exclusivamente y en particular, dirigido a las

organizaciones gubernamentales e instituciones de educación de los países que lo conforman. Sin duda, un nuevo jugador que emplea recursos de última factura e

incluso innova con nuevas técnicas.

MuddyWater

El grupo, presumiblemente Iraní, MuddyWater continua operativo. En uno de sus últimos análisis, con fecha de abril de 2019, investigadores de Check Point han encontrado nuevas muestras que confirman la actividad persistente del grupo en países como Bielorrusia, Turquía y Ucrania; ampliando así de su área de acción,

basada principalmente en Medio Oriente, Estados

Unidos y Europa.

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 17 de 25

Informe sobre el estado de la seguridad 2019 H1

El grupo vuelve a utilizar la combinación de documentos con macros maliciosas y spear phishing. Algo que, aunque simple, les confiere un índice de infección suficiente para robar documentos internos de las organizaciones afectadas y usarlos como cebo para nuevas oleadas para instalar su artefacto característico,

basado en PowerShell, denominado POWERSTAT.

Como novedad, para estas operaciones activas, han incluido una ventana personalizada en el idioma de los objetivos para incentivar a los usuarios para que

habiliten las macros; paso fundamental para que se desencadene la descarga de POWERSTAT.

Algo reseñable en la nueva operativa del grupo es la inclusión de plantillas de documentos externos que incluyen los mecanismos de infección. Esto permite, hasta cierto grado, que un análisis preliminar del documento adjunto no de positivo al no incluir la carga

maliciosa.

Tiempo después, hacia principios de junio, investigadores de Trend Micro destapan una nueva operación del grupo. La evolución, incluso en un periodo de tiempo tan corto, es palpable. Además de lo comentado anteriormente, el grupo utiliza malware específico para dispositivos Android y esquemas de

falsificación de bandera falsa con el objetivo de ocultar su verdadero origen o implicar a un tercero.

En esta ocasión, las víctimas, incluyen a una universidad en Jordania y el gobierno turco; ambos, atacados bajo esquemas de Spear Phishing. Curiosamente, en vez de cuentas de correo falsificadas se utilizaron cuentas bajo el dominio de correo de los respectivos organismos. Algo

que, por supuesto, eleva notablemente el nivel de

credibilidad.

Invariablemente, en los correos se incluyen documentos con formatos Office con macros maliciosas, que llevan a descargar una nueva iteración de su malware de

referencia, POWERSTAT v3. Curiosamente, esta vez no usaron la técnica de inyección de plantillas que

comentamos anteriormente.

FIN7

Probablemente, el nombre de Carbanak no pase desapercibido para muchos. Carbanak, Anunak o Carbon

Spider, fue el grupo tras los ataques dirigidos quirúrgicamente a empleados de banca para obtener el control de dispositivos financieros, tales como cajeros

automáticos o TPV.

Aunque el grupo fue parcialmente desarticulado con las detenciones de varios de sus miembros por parte de las fuerzas y cuerpos de seguridad del estado (entre las que

se encontraban las de España), varios de sus miembros restantes, y otros grupos con los cuales compartían herramientas y modus operandi, continúan con las

actividades criminales.

En esta ocasión, el laboratorio de Kaspersky ha hecho público un informe en el que se detallan las últimas actividades de la escisión FIN7, uno de los grupos

asociados a FIN. Entre esas actividades, la de publicar ofertas de trabajo ‘legal’ para contratar pentesters, traductores y programadores con la finalidad de cubrir las necesidades del grupo criminal en materia de

herramientas, phishings, etc.

Se da la circunstancia de que varios de los extrabajadores de empresas asociadas a FIN7, incluso nombraban a estas como parte de su experiencia laboral ignorando, estos, que habían servido a las órdenes de

una organización criminal.

https://securelist.com/fin7-5-the-infamous-

cybercrime-rig-fin7-continues-its-activities/90703/

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 18 de 25

Informe sobre el estado de la seguridad 2019 H1

Nuevos actores detectados durante el primer semestre de 2019

BlindEagle

Se ha registrado actividad APT de un nuevo grupo presumiblemente localizado en Sudamérica. Denominado como APT-C-36 o BlindEagle, en su modus operandi se hacen pasar por miembros de la agencia de

ciberseguridad colombiana o la fiscalía del mismo país con el objeto de robar información confidencial a objetivos colombianos o de empresas extranjeras con

delegaciones en dicho país.

El grupo utiliza documentos office con macros maliciosas para instalar una variante de ‘Imminent Monitor RAT”, una herramienta de administración

remota. Puede leerse un interesante análisis técnico de la empresa china Qihoo 360, quien destapó las

actividades del grupo.

Técnicas destacables y herramientas empleadas

FINTEAM

De nuevo, investigadores de Check Point han descubierto una peculiar (aunque no original) forma de

introducir una herramienta de control remoto derivada

de un producto legítimo: Team Viewer.

Durante una campaña de Spear Phishing, contra embajadas en suelo europeo, se detectó un documento Excel malicioso con macros que descargaban un

ejecutable. Se trataba del software de administración y control remoto Team Viewer.

No obstante, los atacantes depositaron una DLL maliciosa sustituyendo funcionalidad del software para

añadir características que Team Viewer no posee, a saber: ocultación total de las actividades de este software frente al usuario (el Team Viewer original

notifica claramente al usuario cuando este cede el control), recolección y filtración de credenciales, envío de información técnica del equipo y bajada y ejecución

de binarios maliciosos adicionales.

Aunque el uso de herramientas RAT (Remote Administration Tool) es constante en el ámbito APT, no lo es tanto la reutilización de un software legítimo, como

Team Viewer, para emplearlo de puerta trasera. Se trata, por así decirlo, de una solución de baja tecnología que permite a los atacantes ahorrar esfuerzos en la

construcción o compra de un RAT genuino.

https://research.checkpoint.com/finteam-trojanized-teamviewer-against-government-targets/

Cadena de infección (fuente: Check Point).

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados.

Informe sobre el estado de la seguridad 2019 H1

Página 19 de 25

EVALUACIÓN DEL CIBERRIESGO POR SECTORES Para establecer una comparativa de seguridad entre industrias, utilizamos la tecnología de BitSight y su

Security Rating Platform.

BitSight genera medidas objetivas y cuantitativas sobre el rendimiento de la seguridad de una empresa, evaluada diariamente. No se monitorizan las políticas, leyes o buenas prácticas ni se analizan análisis de red. Se

incluyen incidentes, evidencias externas (por ejemplo, conexiones a panel de control desde una IP que

pertenece a la compañía, leaks en redes sociales, …) y otros datos que, gracias a los algoritmos de BitSight, permiten ofrecer una idea muy aproximada de la

seguridad en una compañía, incluyendo incluso sus proveedores tecnológicos. Esto implica una de las evaluaciones más exactas sobre el riesgo en

ciberseguridad. Los datos se dividen en cuatro clases:

sistemas comprometidos, diligencia, comportamiento

del usuario, y revelaciones públicas.

Con esta tecnología, hemos conseguido destilar información muy relevante sobre las prácticas de

seguridad de los sectores industriales en Europa y

comparado con España, como en el siguiente ejemplo.

Datos de infecciones detectadas y neutralizadas (por sector económico)

A continuación se muestran las cifras agrupadas por sector económico de la media de días efectivos desde que la amenaza es detectada hasta que es neutralizada

por la organización.

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 20 de 25

Informe sobre el estado de la seguridad 2019 H1

Producción de alimentos 4,41

Producción de alimentos11,17

Manufactura 4,02

Manufactura 7,83

Comercio 2,77

Comercio 6,56

Turismo 3,09

Turismo 6,53

Gestión de Servicios 3,31

Gestión de Servicios 6,05

Aeroespacial/Defensa 3,4

Aeroespacial/Defensa 5,94

Ingeniería 3,38

Ingeniería 5,78

Transporte 3,2

Transporte 5,47

Seguros 1,76

Seguros 5,25

Sanidad 3,44

Sanidad 5,08

Energía/Recursos 2,98

Energía/Recursos 5,05

Medios/Entretenimiento 3,12

Medios/Entretenimiento 4,92

Inmobiliaria 2,87

Inmobiliaria 4,91

TBD 2,55

TBD 4,20

Gobierno 2,68

Gobierno 3,96

Telecomunicaciones 2,49

Telecomunicaciones 3,94

Finanzas 2,61

Finanzas 3,73

ONG 3,61

ONG 2,99

Bienes de consumo 2,62

Bienes de consumo 2,97

Educación 2,08

Educación 2,89

Sector Público 3,06

Sector Público 2,89

Legal 2,46

Legal 2,74

2018-H2 2019-H1

PRÁCTICAS DE SEGURIDADNúmero medio de días efectivos que necesita una compañía europea para solucionar una amenaza

de malware, agrupado por sector

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 21 de 25

Informe sobre el estado de la seguridad 2019 H1

Aeroespacial/Defensa 3,52

Aeroespacial/Defensa 4,00

Alimentación 2,88

Alimentación 4,66

Bienes de consumo 2,52

Bienes de consumo 6,30

Comercio 2,38

Comercio 2,98

Energía/Recursos 2,36

Energía/Recursos 2,88Finanzas 3,07

Finanzas 6,39

Gestión de Servicios 3,2

Gestión de Servicios 8,25

Ingeniería 5,25

Ingeniería 8,06

Manufactura 3,86

Manufactura 5,60

Sanidad 3,55

Sanidad 17,18

Seguros 2,13

Seguros 2,56

Servicios Públicos 3,21

Servicios Públicos 2,64

Tecnología 5,05

Tecnología 4,57

Telecomunicaciones 2,39Telecomunicaciones 2,55

Transporte 4,13

Transporte 5,23

Turismo 4,54

Turismo 8,51

2018-H2 2019-H1

PRÁCTICAS DE SEGURIDADNúmero medio de días efectivos que necesita una compañía española para solucionar una amenaza

de malware, agrupado por sector

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados.

Informe sobre el estado de la seguridad 2019 H1

Página 22 de 25

Se observa un enorme aumento en el sector de la sanidad, víctima en los últimos tiempos del ransomware

en todo el mundo.

El siguiente gráfico compara el tiempo de respuesta entre España y Europa, durante el primer semestre de

2019, agrupado por sector.

Las calificaciones de seguridad soberanas de BitSight son mediciones objetivas del rendimiento de seguridad de los estados, las industrias y las compañías de infraestructura crítica. El siguiente gráfico muestra la diferencia de seguridad entre distintos sectores en el

ámbito europeo y español, según el rating de Bitsight.

5,94

11,17

2,97

6,56

5,05

3,73

6,05

5,78

7,83

4,92

5,08

5,25

2,89

4,97

3,94

5,47

6,53

4,00

4,66

6,30

2,98

2,88

6,39

8,25

8,06

5,60

1,00

17,18

2,56

2,64

4,57

2,55

5,23

8,51

Aeroespacial/Defensa

Alimentación

Bienes de consumo

Comercio

Energía/Recursos

Finanzas

Gestión de Servicios

Ingeniería

Manufactura

Medios/Entretenimiento

Sanidad

Seguros

Servicio Público

Tecnología

Telecomunicaciones

Transporte

Turismo

COMPARATIVA DETECCIÓN-NEUTRALIZACIÓN ENTRE ESPAÑA Y EUROPA DURANTE 2019-H1 POR SECTORMedida en número medio de días

EUROPA ESPAÑA

5.500 6.500 7.500 8.500

Aeroespacial/Defensa

Alimentación

Bienes de consumo

Comercio

Energía/Recursos

Finanzas

Gestión de Servicios

Ingeniería

Inmobiliaria

Manufactura

Medios/Entretenimie…

Sanidad

Seguros

Servicios Públicos

TBD

Tecnología

Telecomunicaciones

Transporte

Turismo

COMPARACIÓN ENTRE EL RATING BITSIGHT DE ESPAÑA Y EUROPABitSight Sovereign Security Ratings

España Europa

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados.

Informe sobre el estado de la seguridad 2019 H1

Página 23 de 25

Las 25 familias de malware e infecciones detectadas en Europa

A continuación, se muestran las 25 familias de malware que más sistemas infectan en Europa, así como el crecimiento experimentado con respecto al ranking

anterior.

Las 25 familias de malware e infecciones detectadas en España

A continuación, se muestran las 25 familias de malware que más sistemas infectan en España, así como el crecimiento experimentado con respecto al ranking

anterior.

0 10.000 20.000 30.000 40.000

Conficker

Gamarue

PrizeRAT

Uupay

SpeesiPro

Powmet

Gozi

Ramnit

Sality

GinkgoSDK

Zeus

Necurs

AndroidBauts

Gamut

PushDo

Zusy

Rerdom

Nymaim

Conficker.C

Ztorg

Bifrose

Ghokswa

Cryoloader

ZeroAccess

HummingBad

CRECIMIENTO DE LAS 25 FAMILIAS DE MALWARE MÁS VIRULENTAS EN EUROPACrecimiento experimentado desde 2018-H2 a

2019-H1

0 500 1.000 1.500 2.000 2.500 3.000

Gamarue

Conficker

Uupay

Sality

PrizeRAT

Powmet

Zusy

Ramnit

Zeus

AndroidBauts

Gozi

Bondat

Necurs

SpeesiPro

Rerdom

PushDo

GinkgoSDK

Phorpiex

Mkero

Renocide

Ztorg

Gamut

Kjworm

Alureon

Nymaim

CRECIMIENTO DE LAS 25 FAMILIAS DE MALWARE MÁS VIRULENTAS EN ESPAÑACrecimiento experimentado desde 2018-H2 a

2019-H1

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 24 de 25

Informe sobre el estado de la seguridad 2019 H1

RECAPITULACIÓN ▪ Durante los primeros 6 meses del año, se han

publicado 155 vulnerabilidades en iOS, aunquesolo 5 realmente graves como para permitirejecución de código. Con esto acumula 1656

vulnerabilidades desde 2007.

▪ Durante el mismo periodo se han publicado 60

vulnerabilidades en Android, solo 4 quepermitan ejecución de código. Con esto

acumula 2014 vulnerabilidades desde 2009.

▪ Aproximadamente un 2% de las apps retiradasen Google Play (en este trimestre Google ha

retirado considerablemente más apps entérminos absolutos) son detectadas porantivirus. Permanecen de media 51 días en el

market.

▪ El 6% de los iPhone ejecutan un iOS anterior al11. En el caso de Android, menos de la mitad

ejecutan una versión 8 o superior.

▪ Hemos analizado 4495 vulnerabilidades enestos seis meses. Como el semestre anterior, el62% tienen una gravedad de 7 o superior.

Oracle, Adobe y Microsoft siguen siendo los

fabricantes con más CVEs asignados.

▪ El empleo de spear phishing y documentosofimáticos maliciosos (principalmente a travésde macros) sigue siendo la fórmula de infecciónmás común entre los grupos de atacantes más

sofisticados.

▪ Una compañía europea necesita una media decasi 5 días para solucionar una amenaza demalware, dos más que el semestre anterior. Losmás rápidos son el sector legal (con algo más

de dos días) y los más lentos, el sector de la alimentación de nuevo, pero ahora necesita 11

días.

▪ En España, el sector de la salud necesita hasta17 días para neutralizar una amenaza pormalware.

▪ Gamarue y Conficker siguen siendo lasamenazas de malware más populares enEuropa, con cifras además muy superioresal

semestre anterior.

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 25 de 25

Informe sobre el estado de la seguridad 2019 H1

Acerca de ElevenPaths En ElevenPaths, la unidad global de ciberseguridad del Grupo Telefónica, creemos que es posible un mundo digital más

seguro. Apoyamos a nuestros clientes en su transformación digital, creando innovación disruptiva, aportando la

privacidad y la confianza necesaria en nuestra vida digital diaria.

Combinamos la frescura y energía de una start-up con la potencia, conocimiento y robustez de Telefónica, contribuyendo con soluciones que posibilitan la prevención, detección y respuesta ante amenazas diarias en nuestro

mundo digital.

Generamos alianzas estratégicas que permiten ampliar la seguridad de nuestros clientes y además, colaboramos con organismos y entidades como la Comisión Europea, CyberThreat Alliance, ECSO, EuroPol, Incibe, y la Organización de

los Estados Americanos (OEA).

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados.

La información contenida en el presente documento es propiedad de Telefónica Digital España, S.L.U. (“TDE”) y/o de cualquier otra entidad dentro del Grupo Telefónica o sus licenciantes. TDE y/o cualquier compañía del Grupo Telefónica o los licenciantes de TDE se reservan todos los derechos de propiedad industrial

e intelectual (incluida cualquier patente o copyright) que se deriven o recaigan sobre este documento, incluidos los derechos de diseño, producción, reproducción, uso y venta del mismo, salvo en el supuesto de que dichos derechos sean expresamente conferidos a terceros por escrito. La información contenida en el presente documento podrá ser objeto de modificación en cualquier momento sin necesidad de previo aviso.

La información contenida en el presente documento no podrá ser ni parcial ni totalmente copiada, distribuida, adaptada o reproducida en ningún soporte sin que medie el previo consentimiento por escrito por parte de TDE.

El presente documento tiene como único objetivo servir de soporte a su lector en el uso del producto o servicio descrito en el mismo. El lector se compromete

y queda obligado a usar la información contenida en el mismo para su propio uso y no para ningún otro.

TDE no será responsable de ninguna pérdida o daño que se derive del uso de la información contenida en el presente documento o de cualquier error u omisión del documento o por el uso incorrecto del servicio o producto. El uso del producto o servicio descrito en el presente documento se regulará de acuerdo con lo

establecido en los términos y condiciones aceptados por el usuario del mismo para su uso.

TDE y sus marcas (así como cualquier marca perteneciente al Grupo Telefónica) son marcas registradas. TDE y sus filiales se reservan todo los derechos sobre las mismas.