la seguridad de los sitios web I 2015 - certisur.com · analizar e interpretar las nuevas...

Informe de Symantec sobre las amenazas para

la seguridad de los sitios web I 2015

Primera parte

2 I Symantec Website Security Solutions

índIce

Introducción

Resumen ejecutivo

Amenazas en Internet

Ciberdelincuencia y malware

Consejos y prácticas recomendadas

Perfil de Symantec

3

4

5

21

36

40


Esta red supervisa las amenazas existentes en más de 157 países y regiones mediante una combinación de productos y servicios de Symantec, como:

• SymantecDeepSight™ThreatManagementSystem

• Symantec™ManagedSecurityServices

• ProductosdeNorton™

• SymantecWebsiteSecuritySolutions

• Otrasfuentesdedatosexternas

Symantec también mantiene una de las bases de datos sobre vulnerabilidades más completas del mundo.Enestemomento,hayregistradasmásde 60 000 vulnerabilidades que afectan a más de 54 000 productos de más de 19 000 proveedores.

Los datos sobre spam (envío de correo no deseado), phishing (suplantación de la identidad) y malware (código dañino) se registran a través de distintos recursos, como :

• SymantecProbeNetwork,unsistemaqueabarcamás de cinco millones de cuentas señuelo

• Symantec.cloud

• SymantecWebsiteSecuritySolutionsylosproductosdeprotecciónfrentealmalwareylasvulnerabilidades

• OtrastecnologíasdeseguridaddeSymantec

LatecnologíaheurísticapatentadadeSymantec.cloud,denominadaSkeptic™,detectalosataquesdirigidos más nuevos y avanzados antes de que lleguen a la red del cliente. 14 centros de datos proce- san más de 8400 millones de mensajes de correo electrónico al mes y filtran más de 1 700 millones de solicitudes por Internet al día. Symantec también recopila información sobre phishing a través de una amplia comunidad antifraude de empresas, proveedores de seguridad y más de 50 millones de consumidores.

IntroduccIón

Symantec cuenta con la fuente de datos más completa que existe sobre las amenazas enInternet:Symantec™GlobalIntelligenceNetwork,unsistemacompuestopormásde 41,5 millones de sensores de ataque que registra miles de incidencias por segundo.

157

54 000

19 000

60 000

proveedores

productos

vulnerabilidades registradas

1700 MILLONES

14

8400 MILLONES

centros de datos

de solicitudes

de correos electrónicos

SymantecWebsiteSecuritySolutionsfuncionasininterrupción, permite comprobar si un certificado digital X.509seharevocadoonomedianteelprotocolodeestadodecertificadosenlínea(OCSP)yprocesaadiariomásde6000 millones de consultas de este tipo en todo el mundo. Gracias a estos recursos, los analistas de Symantec cuentan con fuentes de información insuperables para detectar, analizar e interpretar las nuevas tendencias en materia de ataques, malware, phishing y spam.

TodosestosdatosnoshanservidoparaelaborarelinformesobreamenazasparalaseguridaddelossitioswebdeSymantec,queofreceaempresasyconsumidoresinformaciónesencialparaproteger sussistemasdeformaeficaztantoahoracomoenelfuturo.

Symantec mantiene una de las bases de datos sobre vulnerabilidades más completas del mundo

Skeptic™, la tecnología heurística patentada de Symantec.cloud

4 Symantec Website Security Solutions I

Por supuesto, mientras Heartbleed acaparaba titulares, los ciberdelincuentes seguían buscando nuevas maneras de atacar, robar y perjudicar a sus víctimas. En 2014, recurrieron a tácticas más profesionales, avanzadas y agresivas que afectaron tanto a empresas como a consumidores.

Las vulnerabilidades, un riesgo que pone en peligro a todos

Heartbleed no fue la única vulnerabilidad descubierta en 2014. Los ciberdelincuentes también se sirvieron de PoodleyShellshockparainfiltrarseenservidores,robardatos e instalar malware.

Curiosamente,elnúmerodesitioswebconmalware seredujoalamitad(unodecada1126),peseaqueelporcentaje con vulnerabilidades fue el mismo que en 2013:trescuartosdeltotalanalizado.Noestáclarosiestatendenciasedebeenparteaquelossitioswebestán mejor protegidos o si, por el contrario, podría indicar el avance de otras vías de distribución de malware, como las redes sociales y la publicidad dañina (malvertising).

Pordesgracia,quienesquisieronaprovecharlasvulnerabilidadeslotuvieronmuyfácilporquemuchísimagentenosemolestóenactualizarelsoftware.Sinlosparchespertinentes,undispositivooservidorestándesprotegidos frente a los droppers,herramientasdeataquehabitualesquebuscanvulnerabilidadessinresolver y, si las encuentran, provocan una infección con descargas no autorizadas u otras técnicas, como las estafas en las redes sociales.

de profesión, ciberdelincuente

En 2014, los atacantes perfeccionaron sus métodos y siguieron «profesionalizándose». La ciberdelincuencia ya es un negocio con mercados paralelos a los del sector tecnológico y con sus correspondientes especialidades y proveedores de servicios.

Porejemplo,alquilarunkitdeherramientaswebqueinfecte a las víctimas con descargas no autorizadas cuesta entre 100 y 700 dólares estadounidenses por semana,conderechoaactualizacionesyasistenciaatodashoras.Elpreciodelosataquesdistribuidosdedenegacióndeservicio(DDoS)oscilaentrelosdiezylos mil dólares al día1; los datos de tarjetas de crédito se venden a entre 0,50 y 20 dólares por tarjeta; y mil seguidores en una red social cuestan entre dos y doce dólares solamente.

Los métodos de ataque, cada vez más amorales y agresivos

Losciberdelincuentesnuncahanmostradoespecialcompasión por sus víctimas, pero en 2014 fueron aún más implacables.

Según lo observado por Symantec, la incidencia del cryptoware se multiplicó por catorce de mayo a septiembre2. Esta variante del ransomware cifra los archivosdelavíctima—fotos,contratos,facturasoloquesetercie—ypideunrescateacambiodelasclavesprivadasnecesariasparadescodificarlos.Normalmente,el pago debe realizarse en bitcoins a través de una página webdelaredTor,loqueimpideseguirlapistadelosatacantesylespermitecontinuarconsusfechorías.

Las redes sociales y el phishing también se usaron para explotar los miedos de la gente, como el temor al hacking y a ciertas situaciones de alarma sanitaria. En algunos casos, los delincuentes se sirvieron de enlaces relacionados con estos temas para obtener clics y registros (y luego sacarles partidoeconómicomedianteprogramasdeafiliación).En otros, recurrieron a las descargas de malware para infectaralasvíctimasocrearonsitioswebdephishing con formularios diseñados para el robo de datos.

reSumen ejecutIvo

El incidente de mayor impacto en 2014 fue sin duda, la vulnerabilidad Heartbleed, que sacudió los cimientos de la seguridad en Internet. En este caso, el quid del problema no era la sagacidad de los ciberdelincuentes, sino otra verdad incómoda: que ningúnprogramaesinfalibley,porlotanto,hayquecuidaralmáximolaseguridaddelossitioswebconsistemasmásavanzadosyeficaces.

1. http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services2http://www.symantec.com/connect/blogs/australians-increasingly-hit-global-tide-cryptomalware


AmenAzAS en Internet


reSumen

1Enabril,losdatosdeaproximadamenteunmillóndesitiosweb

considerados fiables corrieron peligro a consecuencia de la vulnerabilidad

Heartbleed3.

2 AraízdelosucedidoconHeartbleed,muchosaprendieronlaleccióny

tomaron medidas para que las tecnologías SSL y TLS fueran más seguras.

3 Losciberdelincuentesaprovechanlatecnologíaylainfraestructuradelas

redes publicitarias legítimas para sus estafas y ataques.

4En 2014, las páginas de navegación anónima pasaron a representar el

5%deltotaldesitioswebinfectados,unsaltoquelassitúaentrelasdiez

categorías con mayor número de infecciones.

5 Desde2013,eltotaldesitioswebconmalwaresehareducidopráctica-

mente a la mitad.

3http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html


Todo esto convirtió a Internet en un auténtico campo de minas,ynohayrazónparapensarqueestatendenciavaya a invertirse en 2015. Tanto las vulnerabilidades como los nuevos tipos de malware dejaron claro que las empresas deben volcarse por completo en mejorar la seguridaddelossitiosweb.

En el momento en que se redactó este documento en2015,variosinvestigadoresdeseguridadhabíanidentificado una nueva vulnerabilidad en la tecnología SSL/TLS,denominada«FREAK»4,quepermitíahacerataquesdeinterposición«Man-in-the-Middle»parainterceptar y descifrar las comunicaciones entre un sitio webysusvisitantes,robarcontraseñaseinformaciónpersonaly,enciertoscasos,volveraatacarelsitiowebafectado posteriormente.

IntroduccIón

En 2014, Internet se llenó de amenazas de mayor envergadura y peligrosidad. Sedescubrióquealgunasherramientasyprotocolosdecifradodeusocorrienteno eran tan seguros como se creía, y las víctimas tuvieron más dificultades para zafarse de las garras de sus atacantes.

4http://www.symantec.com/connect/blogs/freak-vulnerability-can-leave-encrypted-communications-open-attack


Heartbleed

Heartbleedsehizonoticiaenabril,fechaenlaquesedescubrió que, en caso de ataque, esta vulnerabilidad en labibliotecadesoftwarecriptográficoOpenSSLpermitíaacceder a los datos almacenados en la memoria de un servidorwebydescodificarlainformacióntransmitidadurante una sesión cifrada. Esto ponía en peligro datos confidenciales de gran valor, como contraseñas, infor- mación de tarjetas de crédito e incluso claves privadas.5

Ensudía,secalculóqueHeartbleedpodríahaberafectadoal17%delosservidoreswebSSL,queutili-zan certificados SSL y TSL emitidos por autoridades de certificación de confianza.6Niquedecirtieneque el incidente fue un duro golpe para empresas y consumidores.

Nosoloquedódesprotegidaunagrancantidaddedatos confidenciales, sino que las empresas tuvieron que pasar por el mal trago de pedir a los clientes que cambiaran sus contraseñas, no sin antes tomar otras medidas: actualizarlosservidoresdesussitioswebconlaversiónmásrecientedeOpenSSL,instalarcertificadosSSLnuevos y revocar los antiguos.

Por suerte, la respuesta fue rápida. A los cinco días, ningunodelosmilsitioswebmásvisitadossegúnAlexaseguía siendo vulnerable a Heartbleed (y de los 50 000 conmásvisitas,soloel1,8%aúnnohabíaresueltoelproblema).7

ShellShock y Poodle

Heartbleed no fue la única vulnerabilidad que salió alaluzen2014.Enseptiembresedescubrió«BashBug»(tambiénllamada«ShellShock»),queafectabaala mayoría de las versiones de Linux y Unix, incluido MacOSX.ShellShockesunbuenejemplodelorápidoquepuedecambiartodocuandosetieneunsitioweb.

Aunque se instalen todas las revisiones, si se descubre que son insuficientes, los servidores dejarán de estar protegidosdeundíaparaotroyhabráqueinstalarotras.

En este caso, los atacantes podían usar la interfaz de entradacomún(CGI,porsussiglaseninglés),conlaquesegeneracontenidowebdinámico,parainfiltrarseen los servidores y añadir un comando malicioso a una variable de entorno. Con esta técnica se consigue queBash—elcomponentedelservidorafectadoporlavulnerabilidad—interpreteyejecutelavariableencuestión.8

Pronto surgieron multitud de amenazas diseñadas para explotar esta vulnerabilidad. Los servidores (y las redes a lasqueseconectaban)quedaronamerceddelmalware, y aumentó el riesgo de espionaje e infección en un gran número de dispositivos.

En octubre, Google descubrió Poodle, que volvió a poner enentredichoelcifrado.Estavulnerabilidaddejabadesprotegidos los servidores compatibles con la versión 3.0deSSL,interfiriendoconelhandshake(elprocesoquecompruebaquéprotocoloadmiteelservidor)yobligandoalosnavegadoreswebaestablecerunaconexión mediante el protocolo SSL 3.0 en vez de usar una versión más reciente.9

Unataquedeinterposición«Man-in-the-Middle»realizado en estas condiciones permite descifrar las cookies HTTP seguras y, de este modo, robar datos o apropiarse de cuentas de servicios en Internet. Por suerte, Poodle no era tan grave como Heartbleed, ya que, para explotarla, el atacante debía tener acceso a la red entre el cliente y el servidor (como ocurre cuando se utilizaunpuntodeaccesoWi-Fipúblico).

LAS vuLnerAbILIdAdeS DE MAYOR IMPACTO

5http://www.symantec.com/connect/blogs/heartbleed-bug-poses-serious-threat-unpatched-servers6http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html7http://www.symantec.com/connect/blogs/heartbleed-reports-field8http://www.symantec.com/connect/blogs/shellshock-all-you-need-know-about-bash-bug-vulnerability9http://www.symantec.com/connect/blogs/poodle-vulnerability-old-version-ssl-represents-new-threat


La importancia de aplicar pronto las revisiones cuando se detectan vulnerabilidades de gran repercusión mediática

Tras el anuncio de estas vulnerabilidades, no tardaron ensucederselosataques—loque,porsupuesto,también fue noticia, aunque no por el mismo motivo quelasvulnerabilidadesdedíacero—.Alnoponerenpeligro los dispositivos de acceso, sino los servidores, HeartbleedyShellShockseconsideraronunnuevotipodevulnerabilidad.Elsoftwarealqueafectabanestabainstalado en un gran número de sistemas y dispositivos, lo quelesdionotoriedadehizoquelosataquesempezaranaarreciarapenasunashorasdespuésdehacersepúblico el problema.

Los picos del gráfico indican que, poco después de anunciarse las vulnerabilidades, el número de ataques ya era muy elevado, si bien las firmas de Symantec los detectaron y bloquearon casi de inmediato. A las cuatro horasdeconocerselavulnerabilidadHeartbleed,losciberdelincuentesyalahabíanaprovechadoparaatacar.

Los certificados SSL y tLS no han perdido vigencia

Cabedestacarque,aunquelaseguridadwebpasóporhorasbajasen2014,loscertificadosSSLyTLS(susequivalentesmásmodernos)siguensiendoesencialesyofrecenlamismaprotecciónqueantes.Dehecho,Heartbleed demostró lo rápido que se puede responder a los ataques.

Gracias al esfuerzo y la vigilancia de organizaciones comoelCA/BrowserForum,alqueperteneceSymantec,los estándares del sector mejoran constantemente. Los mecanismos básicos que garantizan la protección de un sitiowebysusvisitantesnosolosiguensiendoválidos,sino que cada vez son más eficaces.

LAS vuLnerAbILIdAdeS DE MAYOR IMPACTO

0

5

15

20

25

30

35

40

MIL

ES

Ataques Heart Bleed

Ataques Shellshock

NOSAJJM

número de AtAqueS HeArtbLeed y SHeLLSHock en eL mundo, de AbrIL A novIembre de 2014

Fuente: Symantec


El número de vulnerabilidades varía ligeramente de un año a otro, pero sigue observándose una tendencia al alza. La mayoría de las vulnerabilidades conocidas tienen solución si se instalan revisiones o se toman otras medi-das, pero los creadores de malware saben que vale la penatratardeaprovecharlasporquemuchagentenohacenadaporremediarlas.Enmuchoscasos,seutilizaun dropper que busca vulnerabilidades conocidas sin resolver para usarlas como puerta trasera y propagar el malware. Instalar las actualizaciones resulta, por tanto, trascendental.

Estaeslarazónporlaque,conlaayudadekitsdeataquewebcomoSakurayBlackhole,estanfácilaprovecharvulnerabilidadesquesehicieronpúblicasmesesoañosatrás.Loprimeroquehacenestoskitsesanalizarelnavegadorporsihubieraalgúncomplementovulnerable.En caso de detectar alguno, pasan a determinar el mejor método de ataque, ya que puede que existan varios paracadavulnerabilidad.Muchoskitsdeherramientasno emplean el método de ataque más reciente si basta con utilizar otro anterior. Además, la mayoría de los ataquesnopretendenaprovecharlasvulnerabilidadesde día cero, aunque estas tienen especial interés para los ciberdelincuentes porque permiten realizar ataques de abrevadero o watering hole.

vuLnerAbILIdAdeS: PAnorAmA generAL

-3,6 %

+28 %2013

2014

6 7872012 5 291

6 549

vuLnerAbILIdAdeS nuevAS

Fuente: Symantec | Deepsight


Número total de vulnerabilidades, 2006 – 2014

Vulnerabilidades por buscador, 2011 – 2014

Fuente: Symantec I DeepsightFuente: Symantec I Deepsight

Fuente: Symantec I Deepsight

351

891

591

639

Opera

Mozilla Firefox

Microsoft Internet Explorer

Google Chrome

Apple Safari

Vulnerabilidades de los complementos por mes, 2013-2014

20

06

20

07

20

08

20

09

20

10

20

11

20

12

20

14

20

11

20

12

20

13

20

14

20

13

4 842

4 644

5 562

4 814

6 253

4 989

5 291

6 787

6 549

10

20

30

40

50

60

70

80

DNOJJMA AMFE

20142013

DNOS SAJJMAMFE

Java

Apple

Adobe

ActiveX

Plug-in Vulnerabilities by Month

35

71

27

54 54

45

58

17

53

42

48

29

11

48

29

8

31

13

3036

23

37

Las vulnerabilidades de día cero —aquellas que solo se descubren tras haberse explotado— son mucho más peligrosas que las ya conocidas. En el capítulo sobre los ataques dirigidos se profundiza más en este tema.


SItIoS web InfectAdoS

Puesto nombre

1 VulnerabilidadPOODLE(protocolosSSLyTLS)

2 Ataques de secuencias de comandos entre sitios

3 Compatibilidad con SSL v2

4 Compatibilidad con conjuntos de cifrado SSL poco seguros

5 Cadena de certificados SSL no válida

6 Deteccióndeunacookie de sesión SSL cifrada sin el atributo «Secure»

7 Vulnerabilidad en el proceso de renegociación de los protocolos SSL y TLS

8 Vulnerabilidad relacionada con la divulgación de información por medio de la funciónPHP‘strrchr()’

9 AtaquehttpTRACEXSS

10 TratamientodelerrordeOpenSSL‘bn_wexpend()’(vulnerabilidadsinespecificar)

En2014,unostrescuartosdelossitioswebanalizadospor Symantec presentaban vulnerabilidades, una cifra muy similar a la del año anterior. Sin embargo, el porcentaje clasificado como «crítico» pasó del 16 al 20 %.

La proporción de sitios con malware se redujo a uno de cada1126(en2013,eranunodecada566).Tambiéndisminuyóeltotaldeataqueswebbloqueadosaldía,pero solo en un 12,7 %, de lo que se deduce que el númerodeataquesporcadasitiowebinfectadofuemayor en 2014. Estas cifras se deben en parte a que algunoskitsdeherramientasdeataquewebseutilizanenlanubeconunmodelodesoftwarecomoservicio(SaaS).Losataquesyanosiempreprovienendelmalwaredeunsitiowebinfectado,sinoquepuedenrealizarseconunkitdeherramientasdeataquebasadoen SaaS que inyecte el código dañino con una etiqueta iframedeHTMLocódigoJavaScriptcamuflado.Lageneralizacióndeestoskitstambiénexplicaqueelnúmerodenuevosdominioswebconmalware sehayareducido en un 47 % (de 56 158 en 2013 a 29 927 en2014).

Loskitsdeherramientasdeataquewebanalizanlosequipos de las víctimas para buscar complementos vulnerablesy,encasodehallarlos,determinarelmejor método de ataque. Los basados en SaaS suelen encontrarse en servicios de alojamiento muy difíciles de identificar y desmantelar, con direcciones IP que cambian con rapidez y nombres de dominio que se generan de forma dinámica. Además, permiten controlar cuándo y cómo se llevará a cabo el ataque. Por ejemplo, para que ni los motores de búsqueda ni los analistas detecten el código dañino, puede especificarse como condicióndeataquequesehayadefinidounacookie paraelsitiowebinfectado.Loskitsdeherramientasdeataquewebseanalizanmásdetenidamenteenotroapartado de este capítulo.

Entrelasdiezcategoríasdesitioswebmásatacadosdestacanlossitioswebdenavegaciónanónima,quenoaparecían en años anteriores. Como en otras ocasiones, los delincuentes se limitan a seguir la corriente. Hoy en día, cada vez más consumidores quieren navegar de forma confidencial sin que su proveedor de servicios de Internetcontroleloquehacen.

PrIncIPALeS vuLnerAbILIdAdeS SIn reSoLver detectAdAS en LoS ServIdoreS web AnALIzAdoS

Fuente: Symantec I Website Security Solutions


SITIOS WEB ANALIZADOS QUE PRESENTABAN VULNERABILIDADES

SITIOS WEB EN LOS QUE SE DETECTÓ MALWARE


-1 %

2013

+25 %

2012

PORCENTAJE DE VULNERABILIDADES

CRÍTICAS

In 2014, 20 percent (1 in 5) of all vulnerabilities discovered on legitimate websites were considered critical, that could allow attackers access to sensitive data, alter the website’s content, or compromise visitors’ computers.



76 %2014

77 %

55 %

+4 %

2013

+8 %

2012


20 %2014

16 %

24 %

250

500

750

1 000

1 250

2012 2013 2014

1 126

566532

1 d

e ca

da

En 2014, el 20 % de las vulnerabilidades detectadas (una de cada cinco) se consideraron críticas porque, en caso de ser descubier-tas, habrían permitido a un atacante acceder a datos confidenciales, alterar el contenido del sitio web o infectar los equipos de quienes visitaran sus páginas.


TIPOS DE SITIOS WEB MÁS ATACADOS EN 2013 Y 2014

Fuente: Symantec | SDAP

Fuente: Symantec | SDAP, Safe Web, Rulespace

ATAQUES WEB BLOQUEADOS AL MES, 2013-2014

100

200

300

400

500

600

700

800

900

DNOJJMA AMFE

20142013

DNOS SAJJMAMFE

Línea de tendencia (2013)

Línea de tendencia (2014)


PuestoCategorías atacadas con más frecuencia en 2014

Porcentaje del total de sitios web infectados en 2014

Categorías de 2013

Porcentaje en 2013

1 Tecnología 21,5 % Tecnología 9,9 %

2 Alojamiento 7,3 % Empresas 6,7 %

3 Blogs 7,1 % Alojamiento 5,3 %

4 Empresas 6,0 % Blogs 5,0 %

5 Sitios web de navegación anónima 5,0 % Sitios web ilegales 3,8 %

6 Ocio 2,6 % Comercio electrónico 3,3 %

7 Comercio electrónico 2,5 % Ocio 2,9 %

8 Sitios web ilegales 2,4 % Automoción 1,8 %

9 Sitios web temporales 2,2 % Educación 1,7 %

10 Comunidades virtuales 1,8 % Comunidades virtuales 1,7 %

Mil

es


NUEVOS DOMINIOS WEB CON MALWARE

El descenso del 12,7 % en la media de ataques bloqueados a diario se concentró principalmente en la segunda mitad de 2013. En 2014, el ritmo de disminución fue mucho menor.

En 2014, se detectó un 47 % menos de dominios web con código dañino, lo que indica que se usan más kits de herramientas con un modelo de software como servicio (SaaS) basado en la nube.

Fuente: Symantec | .cloud

-47 %

-24 %

+34 %

2013

2014

56 1582012 74 0012011 55 000

29 927

ATAQUES WEB BLOQUEADOS AL DÍA


-12.7 %

+23 %

+144 %

2013

2014

568 7342012 464 1002011 190 000

496 657

Aunquelamayoríadelossitioswebsiguenpresentandovulnerabilidades,muchosdesuspropietariosprestanmenos atención a las evaluaciones de vulnerabilidad que alosanálisiscontrasoftwaremalicioso.Sinembargo,prevenir es mejor que curar y, por lo general, quien infecta con malwareunsitiowebhaencontradoantesuna vulnerabilidad que explotar.

Lossitioswebpresentantantasvulnerabilidadesqueresulta muy fácil atacarlos. En 2014, los delincuentes hicieronsuagostograciasalasvulnerabilidadesrelacionadas con la tecnología SSL y TLS, pero también empezaron a utilizar otras técnicas de distribución de malware, como las estafas en las redes sociales y el uso de publicidad dañina (malvertising),cuyaincidenciavaen aumento.


CINCO PRINCIPALES HERRAMIENTAS DE ATAQUE, 2012


Fuente: Symantec I SDAP, Wiki

Blackhole

Sakura

Phoenix

Nuclear

Otros

Redkit

Fuente: Symantec I SDAP, Wiki Fuente: Symantec I SDAP, Wiki

Sakura

Nuclear

Styx

Blackhole

Otros

Orange Kit

Fuente: Symantec I SDAP, Wiki

Otros

G01 Pack

Blackhole

Styx

Coolkit

Sakura



517 %

41 %3 %

7 %

10 %

22 %

526 %

23 %19 %

14 %

10 %8 %

Cronología del uso de los cinco principales kits de herramientas de ataque, 2014

Otros

Blackhole

Orange Kit

Nuclear

Sakura

Styx

550 %

5 %5 %7 %

10 %

23 %

DNOSAJJMAMFE

100 %

0 %


En 2014, el ransomware y el malvertising cruzaron sus caminos. A lo largo del año, el número de internautas alosqueseredirigióalsitiowebdeBrowlockalcanzócifras récord.

Browlockesunodelostiposderansomware menos agresivos que existen. En lugar de infectar con malware elequipodelavíctima,utilizaJavaScriptparaimpedirquecierreunapestañadelnavegador.Elsitiowebdetermina la localización geográfica del internauta y lo redirige a una página en la que se solicita el pago de una multa a la policía local por visitar sitios porno-gráficos ilegales.

Quienes usan esta técnica suelen comprar publicidad en redes legítimas con la intención de atraer visitas a susitioweb.Elanuncioconduceaunapáginaweb pornográficaque,asuvez,llevaalsitiowebdeBrowlock.El tráfico comprado con este sistema proviene de distintas fuentes, pero sobre todo de redes publicitarias de contenido pornográfico10.

En realidad, para salir indemne de esta trampa basta con cerrar el navegador, pero si los delincuentes hacenundesembolsoacambiodeestetipodetráficoesporquehaygentequepaga.Quizásedebaalsentimiento de culpabilidad, ya que para llegar a la páginadeBrowlockhayquehaberhechoclicenelanunciodeunsitiowebpornográfico.

otros usos de la publicidad dañina

La publicidad dañina no solo sirve para propagar ransomware. También puede conducir a las víctimas asitioswebdesdelosqueseinstalantroyanos.Enalgunos casos, los dispositivos se infectan mediante una descarga no autorizada, sin que sea necesario hacerclicenlosanuncios.

El malvertising tiene un gran atractivo para los ciberdelincuentes porque, si los anuncios se muestran ensitiosweblegítimosmuyconocidos,puedeatraerunagran cantidad de tráfico. Además, las redes publicitarias utilizan técnicas de segmentación muy precisas, lo que permite dirigir el engaño a víctimas concretas (por ejemplo,personasquehaganbúsquedasrelacionadasconserviciosfinancieros).Enocasiones,lasredespublicitarias legítimas se convierten en un medio al servicio de los delincuentes, cuya actividad no es fácil de detectar porque sus tácticas cambian con frecuencia.

Por ejemplo, un anuncio inofensivo que lleve semanas publicándose para parecer fiable puede volverse dañino de repente. Por eso es importante que las redes publicitariashagananálisisconregularidad,ynosolocuando se publica un anuncio nuevo.

Paralospropietariosdesitioswebnoesfácilproteger-se del malvertising, ya que las redes publicitarias y sus clientes son ajenos a su control. Sin embargo, los administradores pueden elegir redes que, al restringir determinadas funciones, impidan que los anunciantes incluyan código dañino en sus promociones. Hay que documentarse y estudiar a fondo las características de cada red.

PubLIcIdAd dAñInA (malvertising)

Página web de Browlock en la que se exige el pago de una multa por haber visitado sitios web de pornografía ilegal10

10 http://www.symantec.com/connect/blogs/massive-malvertising-campaign-leads-browser-locking-ransomware11 Ibid


AtAqueS de denegAcIón de ServIcIo

Por ejemplo, de enero a agosto de 2014, Symantec observó un aumento del 183 % en el número de ataques deamplificaciónDNS13.SegúnunaencuestadeNeustar,el 60 % de las empresas fueron víctimas de un ataque DDoSen2013,yel87%sufrieronvarios.Enalgunoscasos, se trata de una forma de extorsión, pero a veces

los motivos son otros, como el hacktivismo, la venganza o el deseo de desviar la atención de otros ataques. Además,losinteresadosenrealizarataquesDDoSrecurren cada vez más al mercado negro de Internet, donde se pueden alquilar servicios de ataque de distinta duración e intensidad por entre 10 y 20 dólares.

Losataquesdistribuidosdedenegacióndeservicio(DDoS)existendesdehacetiempo,peroahorasonmásintensosyfrecuentes.12 Se dirigen a empresas u organizaciones concretas en las que bloquean el acceso al correo electrónico, al sitioweboaotrossistemasesenciales,loqueinterrumpelasoperacionesypuedesuponer grandes pérdidas.

0

1

2

3

4

5

6

7

8

DNOSAJJMAMFE

MIL

LON

ES

Total de ataques DDoS

Ataque de amplificación DNS

Ataque genérico de inundación de ICMP

Ataque genérico de denegación de servicio a través de inundación de SYN del TCP

tráfIco de AtAqueS ddoS obServAdo Por SymAntec gLobAL InteLLIgence network

Fuente: Symantec I DeepSight Symantec Global Intelligence Network

12http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong13http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong14http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-continued-rise-of-ddos-attacks.pdf


En todos estos casos, los procesos de gestión de vulnerabilidades resultaron insuficientes porque el origen del problema no era el acostumbrado. Última-mente, los ordenadores portátiles y los servidores están bien controlados porque empresas como Adobe y Microsoftnotificanlasvulnerabilidadesmásrecientescon regularidad y tardan muy poco en sacar revisiones. Aunqueseguiráhabiendovulnerabilidadesqueafectena equipos y servidores, los procesos de notificación de incidenciasyaplicaciónygestiónderevisioneshanmejoradomucho.

Con frecuencia, los sistemas operativos y los provee-dores de aplicaciones aplican las revisiones de forma automática,asíqueesnaturalquelosatacanteshayancambiadodetácticas.Ahora,estánvolviendoacentrarseenbuscarnuevasvulnerabilidades,ysusexhaustivastécnicasdeanálisisyaleshanservidoparaencontrarlasen lugares que antes se consideraban seguros.

Para ver lo que nos depara el futuro, detengámonos un momento en otra de estas vulnerabilidades, ShellShock.Durantemásde25años,nadiereparóenestafunciónfallida(oerrordediseño)delshellBourneAgain(BASH)15. Y, de repente, se descubrió que podría explotarseysehizopúblicasuexistencia.ShellshockhaformadopartedeInternetduranteunabuenapartedelahistoriadeesta.Dehecho,nosolohapermitidoatacarroutersoservidoreswebdeLinux,sinotambién

servidores de correo electrónico e incluso botsDDoSqueutilizanelshell(esdecir,cualquiercomponentebasadoenUnixqueutiliceBASH).

eL Aumento de LAS vuLnerAbILIdAdeS

Enlosúltimosaños,sehahabladomuchodelagestióndevulnerabilidades.Sinembargo,hayunaciertatendenciaaconsiderarlacomounaincomodidadocomo un proceso menos interesante que la respuesta a incidentes o la necesidad de seguir la pista de los posibles atacantes. En 2014, quedó claro que las vulnerabilidadesdebíanpasaraunprimerplano.Poodle,ShellShockyHeartbleedno solo fueron noticia en la prensa especializada, sino también en los medios de comunicación de masas.

tim gallo

Heartbleed incluso tiene su propio logotipo

15UnshelldeUnix—paraquienesnoconozcanlaterminología—esunainterfazdeusuariodelalíneadecomandosatravésdelacualseinteractúaconelsistemaoperativo.BASHesunodelosshellsmásusadosenUNIXyLINUX.


En los próximos años, posiblemente sigan apareciendo vulnerabilidades de este tipo por varias razones. Enprimerlugar,yasehavistoquelosatacantesnotienen pensado usar eternamente sus viejos trucos; ahoralesinteresabuscarnuevasvulnerabilidadeseninfraestructuras más antiguas que estén muy extendidas y les permitan ampliar el radio de ataque.

Poodle,ShellShockyHeartbleeddemostraronque algunos de los componentes básicos de la infraes-tructura de Internet no eran seguros, pero también que los desarrolladores emplean prácticas dudosas, como la reutilización del código. A veces, parte del código de una aplicación nueva se copia de otras aplicaciones existentes.Esalgoquelosdesarrolladoreshanhechodesde siempre, pero también la causa de que existan vulnerabilidades en sistemas que, aparentemente, no tienen relación entre sí.

Heartbleed es un perfecto ejemplo de lo que puede ocurrir cuando se reutiliza el código, aunque sea de maneralegítima.ElcódigodelabibliotecaOpenSSLseconsiderabafiabledesdehacíamuchoynoseanalizabacon frecuencia porque se pensaba que era «un problema resuelto». Sin embargo, cuando se descubrió que no era así, los desarrolladores de todo el mundo tuvieron que arreglárselasparadeterminarsielcódigoquehabíanreutilizado era vulnerable.

Porotrolado,hanaumentadolosprogramasderecompensasporladeteccióndeerrores,ylosgobiernoshandejadode amenazar con penas de cárcel a quienes se dedican a destapar vulnerabilidades.16Asípues,nosolohaymayores incentivos para buscar vulnerabilidades, sino que quienes las encuentran ya no temen que se les

acuse de querer lucrarse o de divulgar información de forma irresponsable.

Sin embargo, es de esperar que también mejoren las medidas de seguridad y los métodos de resolución de problemas. Cualquier informático que se pase unas cuantas semanas sin dormir comprobará en sus propias carnes la importancia de ser previsor. Es vital que en toda la infraestructura se sigan las mismas directrices y los mismos procedimientos de configuración y aplicación de revisiones. Trasladar la infraestructura a la nube tambiénahorratiempoalpersonalinformático,queamenudo está desbordado con otras tareas.

Ahoraquelasvulnerabilidadeshanvueltoconfuerzasrenovadas, se está viendo que «detectar y solucionar» no es un buen enfoque. Para ser mejores profesionales delaseguridad,tambiénhemosdepensarencómo«proteger y responder» e «informar y evaluar». Tenemos que planificar mejor, optimizar los procedimientos de prueba, estar al tanto de lo que ocurre y conocer el entorno lo suficiente como para saber si la información esaprovechable.

EnInternetquedanmuchosfallospordescubriry,siqueremos un futuro mejor, es nuestra responsabilidad estar atentos para responder a las vulnerabilidades más recientes de forma sistemática y programada.

16http://www.wired.com/2013/03/att-hacker-gets-3-years


cIberdeLIncuencIA y malware


reSumen

1A juzgar por los precios del mercado negro, que se mantienen estables, la

demanda de identidades robadas, malware y servicios relacionados con la

ciberdelincuencia sigue siendo muy alta.

2 Aunquelasvulnerabilidadessehanreducidoconrespectoa2013,su

número sigue aumentando.

3 En 2014 aparecieron 317 256 956 nuevos tipos de malware, un aumento

del 26 % respecto al índice de crecimiento del año anterior.

4 El ransomwaresevolviómásfrecuenteypeligroso,yhubo45vecesmás

casos de crypto-ransomware que en 2013.

5 El número de bots fue un 18 % más bajo.


El correo electrónico sigue siendo eficaz para la práctica del phishingyparahacerenvíosmasivosdemalware y spam, y cada vez más mensajes contienen código dañino. Además, en Internet existe una economía sumergida de compraventa de servicios, malware, tarjetas de créditos robadas y botnets.

Las autoridades, en colaboración con empresas de seguri- dadcomoSymantec,hacenloposiblepordesmantelarlas botnets y arrestar a los culpables. Estos esfuerzos hanreducidobastantelosnivelesdeciberdelincuencia,aunque tal vez no de forma duradera.

La economía sumergida

EnlosrinconesmásoscurosdeInternethayunmercado negro floreciente en el que se comercia con datos roba-dos, malware y servicios de ataque17. Además, estos mercados ilegales son cada vez más clandestinos (por ejemplo, solo permiten el acceso con invitación o utilizan la red de navegación anónima Tor18).Lospreciosfluctúan según la oferta y la demanda. En general, el correo electrónicosehaabaratadodeformaconsiderable,la información de tarjetas de crédito se vende a un precio algo más bajo y los datos de cuentas de banca electrónica cuestan igual que antes.

También se puede comprar malware,kitsdeataque,informaciónsobrevulnerabilidadesyhastaloqueeninglés se denomina crimeware-as-a-service (toda la infraestructura necesaria para «ejercer» la ciberdelincuencia).

Los delincuentes se reparten el trabajo y cada cual tiene sus especialidades. Hay quien crea virus y troyanos, quien distribuye malware, quien ofrece botnets y quien vende datos de tarjetas de crédito robadas. Algunos de estosmercadosexistendesdehaceunadécadaomás,

peroSymantechaobservadoquecadavezestánmásprofesionalizados. Todos los productos o servicios que dan un beneficio económico al comprador se cotizan a buen precio19.

Alquilarunkitdeherramientaswebqueinfectealasvíctimas con descargas no autorizadas supone un desembolso de entre 100 y 700 dólares estadounidenses porsemana,conderechoaactualizacionesyasistenciaatodashoras.Elmalware SpyEye, detectado con el nombre de Trojan.Spyeye y utilizado para atacar servicios de banca online, puede alquilarse seis meses a un precio de entre 150 y 1250 dólares, y los ataques distribuidosdedenegacióndeservicio(DDoS)cuestanentre 10 y 1000 dólares al día20.

IntroduccIón

Todos los días, los phishers roban datos bancarios sirviéndose de mensajes de correoelectrónicoositioswebfalsos.Lasredesdeordenadoresinfectadosenvíanspam sin cesar y realizan ataques distribuidos de denegación de servicio. Y quienes son víctimas del ransomware—lapeordelassuertes—notienenmaneradeusarsusequiposporquealguienleshacifradolosarchivos.

Precios de los datos de tarjetas de crédito en el mercado negro de distintos países.

17http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services18http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services19http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services20http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services


mil direcciones de correo electrónico robadas

0,50-10 uSd Spam y phishing

Datos de tarjetas de crédito 0,50-20 uSd Compras fraudulentas

Pasaportes escaneados 1-2 uSd Robo de identidad

Cuentas de servicios de videojuegos robadas

10-15 uSd Adquisición de objetos virtuales valiosos

Malware personalizado 12-3500 uSd Desvíodefondosyrobodebitcoins

mil seguidores en una red social 2-12 uSd El interés de los usuarios de la red en cuestión

Cuentas de servicios en la nube robadas 7-8 uSd

Alojamiento de un servidor de comando y control (C&C)

envío de un millón de mensajes de spam a cuentas de correo electrónico verificadas

70-150 uSd Spam y phishing

tarjeta sim para móvil registrada y activada en rusia

100 uSd Fraudes

vALor de LA InformAcIón vendIdA en eL mercAdo negro

Fuente: Symantec


Inevitablemente,desdeentonceshansurgidootroskitsdeataquequehanllenadoelhuecodeBlackhole.Comoantes, gran parte del malware sigue estando diseñado para robar datos bancarios, pero en 2014 se atacaron nuevos mercados. Varias instituciones financieras japonesas fueron víctimas del troyano Snifula, dirigido al sector bancario , y el malwarenjRAT,surgidoenOrienteMedio,golpeólospaísesdelazona24.

En octubre, solo el 7 % de los mensajes de correo electrónico con malware contenían enlaces dañinos, pero en noviembre eran ya el 41 % y el porcentaje siguió aumentando a principios de diciembre. En estas fechas,aumentóelnúmerodemensajesbasadosenla

ingeniería social (algunos de los cuales simulaban ser avisosdefaxomensajesdevoz)conenlacesadominiossecuestrados y direcciones URL que llevaban a una página de destino con código PHP.

Sieldestinatariohacíaclicenlosenlaces,seabríaunarchivodañinocomoDownloader.PonikyDownloader.Upatre,dos de los más usados en este tipo de engaño. Ambos troyanos descargan malware en los equipos afectados, comoeltroyanoTrojan.Zbot(tambiénllamadoZeus),que se utiliza para robar información.25

En general, en 2014 el volumen de mensajes de correo electrónico utilizados para distribuir malware estuvo muy por debajo de las cifras récord alcanzadas en 2013.

malware

Afinalesde2013,selogróunapequeñavictoriaenlalargaluchacontraelmalware. Lasautoridadesrusasarrestarona«Paunch»,presuntocreadordelkitdeataqueBlackholeyresponsabledeungrannúmerodeinfeccionesentodoelmundo22,23.

nuevoS tIPoS de malware (dIferencIA con reSPecto AL Año AnterIor)

PorcentAje de menSAjeS de correo eLectrónIco con malware

2014 317 256 956

12 %2014

25 %2013

23 %2012

+26 %

-13 % +2 %

251 789 4582013

Fuente: Symantec I .cloud


En 2014 se crearon más de 317 millones de tipos de malware nuevos, un aumento de casi un millón al día. Pronto habrá en circulación 2000 millones de clases distintas (la cifra actual es de 1700 millones).

21http://en.wikipedia.org/wiki/Blackhole_exploit_kit22http://krebsonsecurity.com/2013/12/meet-paunch-the-accused-author-of-the-blackhole-exploit-kit/23http://www.symantec.com/connect/blogs/snifula-banking-trojan-back-target-japanese-regional-financial-institutions24http://www.symantec.com/connect/blogs/simple-njrat-fuels-nascent-middle-east-cybercrime-scene25http://www.symantec.com/connect/blogs/malicious-links-spammers-change-malware-delivery-tactics


PORCENTAJE DE MENSAJES DE CORREO ELECTRÓNICO CON MALWARE

MENSAJES DE CORREO ELECTRÓNICO CON MALWARE QUE SE VALIERON DE ENLACES EN LUGAR DE ARCHIVOS ADJUNTOS

1 de cada 291 1 de cada 1961 de cada 244

201220132014

En 2014, el 12 % del malware distribuido a través del correo electrónico se valió de enlaces en lugar de archivos adjuntos (en 2013, el porcentaje fue del 25 %).

0 %

10 %

20 %

30 %

40 %

50 %

60 %

M M JJJ S NNSJMMNSJMMJ

2013 20142012

PROPORCIÓN DE CORREOS ELECTRÓNICOS CON VIRUS, 2012–2014

400

350

300

250

200

150

100

1 d

e ca

da

M M JJJ S NNSJMMNSJMMJ

2013 20142012





En 2013, el crypto-ransomware representaba tan solo el 0,2 % del ransomware total, equivalente a un caso de cada quinientos. Sin embargo, a finales de 2014, este porcentaje yaeradel4%(unodecadaveinticincocasos).

Los ataques con ransomware son especialmente traumáticos para las víctimas, ya que cifran los datos deldiscoduro—fotospersonales,trabajosescolares,proyectos,música,unanovelaamedias—ysolicitanelpagodeunrescateparadesbloquearlosarchivos.Lamejor y prácticamente única defensa es tener copias de

seguridad con las que restaurar los datos, a poder ser fuera de Internet.

Haymuchasvariedadesderansomware y ningún sistema operativo es inmune a ellas.26 Además, los delincuentes se salen con la suya con relativa frecuencia porque, si biennadiedeberíapagarloquepiden,muchasempresasyparticularesacabanhaciéndoloporquequierenrecuperarlosarchivosolosnecesitan.

ransomware

En2014,hubomásdeldobledeataquesderansomware que en el año anterior (8,8millones,frentealos4,1millonesde2013),peroaúnmáspreocupanteeselaumento de un tipo en concreto: el crypto-ransomware, quecifralosarchivosdelavíctima.Mientrasqueen2013seregistraron8274casosdeestavariedadderansomware, solo un año después la cifra era 45 veces mayor: 373 342.


100

200

300

400

500

600

700

800

900

DNOJJMA AMFE

20142013

DNOS SAJJMAMFE

MIL

ES

número de AtAqueS de ransomware entre 2013 y 2014

Fuente: Symantec I Response

26 http://www.symantec.com/connect/blogs/windows-8-not-immune-ransomware-0


Existenvariedadesdistintas,comoCryptolocker28, CryptoDefense29yCryptowall30, pero el método de ataquesiempreeselmismo.Mientrasqueelransomware tradicional bloquea el equipo y exige un rescate a cambio de desbloquearlo, el crypto-ransomware, muchomásdañino,cifraarchivospersonalesyguardalasclavesparadescifrarlosenunsitiowebexterno.

La infección no siempre se propaga de la misma manera, perolohabitualesenviarunmensajedecorreoelectrónicoconunaimagenadjuntaounarchivoqueparezcaunafactura. A menudo, quienes ejecutan el crypto-ransomware y quienes lo entregan ni siquiera son las mismas personas. El envío forma parte de un servicio que revela una de las facetas más oscuras de la economía sumergida, en la que los delincuentes se ofrecen a infectar un número de equipos determinado a un precio fijo.

CryptoDefense,quesehizopúblicoenmarzo,ilustramuy bien la gravedad del crypto-ransomware y lo difícil queeshallaralosculpables.Elmalware se distribuye porcorreoelectrónico,mediantearchivosadjuntosquecifranlosarchivosdelavíctimaconclavesRSAde 2 048 bits ylainstanavisitarunapáginawebdelaredTor31 en la que se solicita el pago del rescate en bitcoins.

Así es como funciona este tipo de engaño, lo que en la mayoría de los casos impide seguir la pista de los atacantes y les permite seguir delinquiendo.

Nadadeestoocurriríasinofueraporelverdaderoobjetivo del engaño: el beneficio. Según los cálculos deSymantec,CryptoDefensehabríareportadoa los ciberdelincuentes más de 34 000 dólares estadounidenses en un mes.32Noesdeextrañar,portanto, que el crypto-ransomware se considere la forma de ciberdelincuencia más eficaz en la actualidad.

CryPto-ransomware

El ransomwareseduplicóde2013a2014,peroSymantechaobservadoalgomásalarmante: la explosión del crypto-ransomware,cuyoscasossehanmultiplicadopormás de 45.27

En 2013, el crypto-ransomware representaba aproximadamente el 0,2 % del total de ataques de ransomware. A finales de 2014, la cifra había alcanzado el 4 %.


10

20

30

40

50

60

70

80

DNOJJMA AMFE

20142013

DNOS SAJJMAMFE

MIL

ES

0,2 % a lo largo de 2013

6 5

72

48

36

62

4643

24

91210

cASoS de CryPto-ransomware entre 2013 y 2014

Fuente: Symantec I Response

27 http://www.symantec.com/connect/blogs/australians-increasingly-hit-global-tide-cryptomalware28 http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-9929 http://www.symantec.com/security_response/writeup.jsp?docid=2014-032622-1552-9930 http://www.symantec.com/security_response/writeup.jsp?docid=2014-061923-2824-9931 Tor,unhíbridodesoftwareyredabierta,permitenavegardeformaanónimayevitarelanálisisdetráfico.Noesestrictamenteilegal,perosípermite a los delincuentes escudarse en el anonimato.32 http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month


En 2014, el número de bots se redujo en un 18 % conrespectoalañoanterior,algoquenohabríasidoposiblesineltrabajodelFBI,elcentroeuropeocontralaciberdelincuencia(EC3)deEuropolyotrosorganismosinternacionales—encolaboraciónconSymantecyotrasempresasdelsectortecnológico—.Uno de los mayores logros en la batalla contra los bots

fue el desmantelamiento en 2014 de la botnet de Zeus Gameover Zeus, responsable de millones infecciones en todo el mundo desde su aparición en 201133,34. En los dos últimos años, la cooperación entre las autoridades ylasempresasinformáticashaservidoparaacabarconvarias botnets35,36 .

Bots y Botnets

fuenteS de ActIvIdAd mALIcIoSA: Bots (2012–2014)

País o región Puesto en 2014 por el n.º de bots Porcentaje de bots en 2014

Puesto en 2013 por el n.º de bots

Porcentaje de bots en 2013

China 1 16,5 % 2 9,1 %

españa 2 16,1 % 1 20,0 %

taiwán 3 8,5 % 4 6,0 %

italia 4 5,5 % 3 6,0 %

Hungría 5 4,9 % 7 4,2 %

Brasil 6 4,3 % 5 5,7 %

Japón 7 3,4 % 6 4,3 %

alemania 8 3,1 % 8 4,2 %

Canadá 9 3,0 % 10 3,5 %

Polonia 10 2,8 % 12 3,0 %

En 2014, China y Estados Unidos, dos de los países más poblados del mundo y con la mayor concentración de internautas, siguieron en cabeza en cuanto al número de bots, pero la primera le arrebató el primer puesto a los segundos —posiblemente, debido al desmantelamiento de la botnet de Zeus Gameover—.

Fuente: Symantec I GIN

33http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network34http://krebsonsecurity.com/2014/06/operation-tovar-targets-gameover-zeus-botnet-cryptolocker-scourge/35http://www.computerweekly.com/news/2240185424/Microsoft-partnership-takes-down-1000-cybercrime-botnets36http://www.computerweekly.com/news/2240215443/RSA-2014-Microsoft-and-partners-defend-botnet-disruption



NÚMERO DE BOTS

2014 1,9 MILLONES -18 %

-33 %2,3 MILLONES3,4 MILLONES

2013

2012

BOTNETS QUE ENVIARON MÁS SPAM EN 2014

Nombre de la botnetPorcen-taje de spam enviado

Mensajes aproxima-dos de spam al día

Países desde los que las botnets envían más spam

Puesto n.º 1 Puesto n.º 2 Puesto n.º 3

KELIHOS 51,6 % 884 044 España 10,5 % EE. UU. 7,6 % Argentina 7,3 %

DESCONOCIDO/OTRO

25,3 % 432 594 EE. UU 13,5 % Brasil 7,8 % España 6,4 %

GAMUT 7,8 % 133 573 Rusia 30,1 % Vietnam 10,1 % Ucrania 8,8 %

CUTWAIL 3,7 % 63 015 Rusia 18,0 % La India 8,0 % Vietnam 6,2 %

DARKMAILER5 1,7 % 28 705 Rusia 25,0 % Ucrania 10,3 % Kazajistán 5,0 %

DARKMAILER 0,6 % 9 596 Rusia 17,6 % Ucrania 15,0 % China 8,7 %

SNOWSHOE 0,6 % 9 432 Canadá 99,9 % EE. UU 0,02 % Japón 0,01 %

ASPROX 0,2 % 3 581 EE. UU 76,0 % Canadá 3,4 % Reino Unido 3,3 %

DARKMAILER3 0,1 % 1 349 EE. UU 12,7 % Polonia 9,6 % Corea del Sur 9,1 %

GRUM 0,03 % 464 Canadá 45,7 % Turquía 11,5 % Alemania 8,5 %

Fuente: Symantec I GIN


En 2014, el número de bots se redujo debido en parte a la «Operación Tovar», que acabó con la botnet de Zeus GameOver, utilizada para fraudes bancarios y para distribuir el ransomware CryptoLocker.37

37http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network


Enlosúltimosaños,Applesehadadocuentadelaimportancia de proteger su sistema operativo frente a lasamenazasmásrecientesyporfinhaincorporadoun par de funciones de seguridad. XProtect analiza las descargasylascotejaconlalistadearchivosdañinosdeApple para avisar al usuario si se detectan coincidencias. GateKeeperutilizalafirmadecódigocomocriterioparalimitar el número de aplicaciones que pueden ejecutarse enequiposOSX.Hayvariosgradosdeprotecciónposibles: permitir únicamente las instalaciones realizadas desde elMacAppStoreoficial;autorizarlainstalacióndeaplicaciones de desarrolladores que Apple considere fiables; o autorizar la instalación de aplicaciones firmadas de cualquier desarrollador.

Sin embargo, aunque estas medidas de seguridad para OSXayudanarepelerlasamenazas,tampocosoninfalibles. Con las soluciones de seguridad basadas en firmas, siempre existe el riesgo de que las aplicaciones infecten los equipos antes de que se creen las firmas necesarias para bloquearlas. Además, existen aplicaciones dañinas con firmas de desarrollador falsas o robadas.

En2014,lasamenazasdirigidasaOSXyaotrossistemasoperativos fueron muy similares. Los navegadores se utilizaron para la propagación de troyanos, y amenazas conocidascomoFlashback,queinfectómásde600000equiposMacen2012,siguieroncausandoestragos(dosvariantes de este troyano ocuparon el tercer y el décimo puestopornúmerodeataques).EntrelosataquesmáshabitualestambiénseencuentranlosquemodificanlaconfiguraciónDNS,ladelnavegadorolosparámetrosdebúsquedadelequipoOSX.

LaexistenciademalwareenalgunasaplicacionesdeOSXpiratasylapeligrosidaddeestasquedópatentesobre todo en dos casos.

El primer ejemplo fue el troyano OSX.Wirelurker, que atacatantoalosequiposMacconOSXcomoalosdispositivosiOSconectadosaellos.Laamenazasehizonoticiaaldescubrirseen467delasaplicacionesparaOSXalojadasenunatiendanooficialubicadaenChina.ParacuandoApplesediocuentayprocedióabloquearlas,yasehabíanrealizado356000descargas.

OtrocasomuysonadofueeldeOSX.Luaddit (o iWorm), queañadíalosequiposinfectadosaunabotnetdeOSX.En este caso, la amenaza estaba oculta en copias pirata deproductoscomercialescomoAdobePhotoshop,MicrosoftOfficeyParallels38. Antes de conocerse el problema,milesdepersonashabíandescargadoestasversionesensitioswebdearchivosTorrent.

Los troyanos OSX.Stealbit.A y OSX.Stealbit.B, cuya finalidad es el robo de bitcoins, analizan el tráfico del navegadorparahacerseconlosdatosdeaccesoalosprincipalessitioswebdetransaccionesconestamonedaelectrónica. El segundo se situó entre los cinco primeros puestosdelrankingdeamenazasparaOSXen2014.

También causó estragos el troyano OSX.Slordu, que recopila información sobre los equipos infectados y, alparecer,esunpuertoOSXdeunaconocidapuertatraseradeWindows.

OSX.Ventir, por su parte, se distinguió por su estructura, con componentes optativos para distintos fines: abrir una puerta trasera, registrar pulsaciones de teclas o instalarsoftwareespía.LosmódulosdescargadoseinstaladosenOSXvaríansegúnelusoqueelatacantequiera dar al equipo infectado.

OSX.Stealbit.A, cuya finalidad es el robo de bitcoins, analizaeltráficodedelnavegadorparahacerseconlosdatosdeaccesoalosprincipalessitioswebdetransacciones con esta moneda electrónica.

AtAqueS dIrIgIdoS A oSX

38http://www.thesafemac.com/iworm-method-of-infection-found/



TIPOS DE MALWARE PARA MAC OSX MÁS BLOQUEADOS EN DISPOSITIVOS CON ESTE SISTEMA OPERATIVO (2013-2014)

Puesto NombrePorcentaje de amenazas para Mac en 2014

NombrePorcentaje de amenazas para Mac en 2013

1 OSX.RSPlug.A 21,2 % OSX.RSPlug.A 35,2 %

2 OSX.Okaz 12,1 % OSX.Flashback.K 10,1 %

3 OSX.Flashback.K 8,6 % OSX.Flashback 9,0 %

4 OSX.Keylogger 7,7 % OSX.HellRTS 5,9 %

5 OSX.Stealbit.B 6,0 % OSX.Crisis 3,3 %

6 OSX.Klog.A 4,4 % OSX.Keylogger 3,0 %

7 OSX.Crisis 4,3 % OSX.MacControl 2,9 %

8 OSX.Sabpab 3,2 % OSX.FakeCodec 2,3 %

9 OSX.Netweird 3,1 % OSX.Iservice.B 2,2 %

10 OSX.Flashback 3,0 % OSX.Inqtana.A 2,1 %

Fuente: Symantec I SDAP


malware en SIStemAS vIrtuALeS

Esta función no solo sirve para eludir a los investigadores de seguridad. Una vez instalado en una máquina virtual, el malware podría pasar a otras máquinas virtuales del mismo equipo o infectar el hipervisor,conloqueseríamuchomáspeligrosoydifícilde eliminar41.Dehecho,estasituaciónyasehadadoconel malwareW32.Crisis,quetratadeinfectarimágenesdemáquinas virtuales guardadas en un equipo anfitrión42.

Para los responsables informáticos, estos ataques son especialmente preocupantes, ya que escapan a los sistemas de detección de intrusiones que analizan el perímetro de seguridad y a los firewalls que utilizan máquinas virtuales para aislar y detectar las amenazas en los llamados sandboxes. Además, no todas las máquinas virtuales están igual de protegidas que los clientes o servidores tradicionales, debido a la falsa creencia de que son inmunes al malware. Para que los planes de seguridad y el ciclo de aplicación de revisiones sigan siendo eficaces, las empresas deberían pensar en cómoprotegerlosequiposdered,loshipervisoresylasredesdefinidasporsoftware.

La virtualización no ofrece ninguna garantía contra el malware. En la actualidad, yahaytiposdemalware que detectan si se están ejecutando en una máquina virtual y, en lugar de detenerse, alteran su modus operandi para reducir el riesgo de detección39.Hastahacepoco,soloentornoal18%delmalware detectaba si estabaejecutándoseensistemasVMware,peroestaproporciónseelevóal28%aprincipios de 201440.

39http://www.symantec.com/connect/blogs/does-malware-still-detect-virtual-machines40 Ibid41http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/threats_to_virtual_environments.pdf42 Ibid


En 2014, el denominado crypto-ransomware fue noticia prácticamentetodoelaño.Mientrasqueelransomware corriente se limita a bloquear los dispositivos, esta variantemásnuevayvirulentacifralosarchivosdedatosy, en la mayoría de los casos, no permite recuperarlos. Sin embargo, el objetivo es el mismo en ambos casos: convencer a la víctima de que pague un rescate para librarse de la infección.

Aunque el ransomwareexistedesdehacemásdeunadécada,suusohaaumentadoenlosúltimosañosporque reporta más ingresos a los ciberdelincuentes que otras prácticas, como la creación de antivirus falsos. Podría decirseque,delosantivirusfalsos,sehapasadoalransomware y luego al crypto-ransomware, pero los creadores de malware nunca se duermen en los laureles y ya se empiezan a vislumbrar nuevos tipos de amenazas digitales.

Losantivirusyelsoftwaredeseguridadfalsossonaplicacionesdepagoquehacencreeralosusuariosquesu equipo está infectado y que deben tomar medidas para remediarlo, cuando en realidad se trata de un engaño.Estosprogramastienenunalargahistoria,pero vivieron su momento cumbre en 2009. Según un informe de Symantec, ese año se realizaron 43 millones deintentosdeinstalacióndesoftwaredeseguridadfalsocon 250 programas distintos, lo que supuso un coste de entre 30 y 100 dólares estadounidenses para cada una delaspersonasquecomprósoftwaredeestetipo.43

Se conoce como ransomwareauntipodesoftwaremalicioso que bloquea los equipos infectados, impide acceder a ellos y muestra a la víctima un mensaje de ingeniería social en el que se solicita un pago a cambio de desbloquearlos. En 2012, Symantec ya informó del auge de este fenómeno y de lo que se cobraba por eliminar las restricciones: de 50 a 100 EUR en Europa y hasta200USDenEstadosUnidos.44

Desdequeen2013sedescubrióTrojan.Cryptolocker45, que reportó sustanciosos beneficios a quienes lo

usaron, los creadores de malwarehantratadodeelaborar nuevos tipos de crypto-ransomware. En 2014, se observó un mayor número de cepas que empleaban nuevas plataformas y técnicas de evasión y presentaban características distintas, aunque también siguieron usándose otros métodos de extorsión ya conocidos.

Trojan.Cryptodefense46(tambiénllamadoCryptowall)fue uno de los más prolíficos. Apareció a finales de febrero de 2014 y, en un principio, se comercializó conladenominación«CryptoDefense».Paraevitarserdetectado, empleaba la red de anonimato Tor, el cobro en Bitcoins, el cifrado de datos con claves RSA de 2048 bits y medidas de presión para exigir el pago. Si la víctimasenegabaapagarlos500USD/EURdelrescatesolicitadoenunprincipio,selepedíanotros500USD/EURmás. Sin embargo, pronto se descubrió que el tipo de cifrado elegido por los creadores del malware dejaba la clave privada en el sistema, lo que permitía al afectado salir indemne. Una vez descubierto esto, los autores solucionaron el error y recomercializaron el malware con elnombredeCryptowall.Desdeentonces,Cryptowallhaseguidoevolucionandoeincorporandonuevasarmascomo la elevación de privilegios, las técnicas de evasión de análisisoelusodelaredInvisibleInternetProject(I2P)paragarantizarunacomunicaciónanónima.Cryptowall reportóunbeneficioconocidodealmenos34000USDen su primer mes de existencia47, y de más de un millón de dólares en seis meses según cálculos de los investigadores.48

Los creadores de ransomwaresiempresehanlucradoatacandoPCdeWindows,ylonormalesquesiganhaciéndolo.Sinembargo,en2014empezaronainteresarse también por otras plataformas. La banda de ciberdelincuentes Reveton puso en circulación el ransomwareAndroid.Lockdroid.G49, también llamado Koler,queatacabalosdispositivosAndroiddetresmaneras distintas mediante un sistema de distribución del tráfico. Si la situación era propicia para el ataque (porejemplo,sialguienestabaviendounsitioweb

eXtorSIón dIgItAL: breve HIStorIA deL ransomwarePeter coogan

43http://eval.symantec.com/mktginfo/enterprise/white_papers/b-symc_report_on_rogue_security_software_exec_summary_20326021.en-us.pdf44http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/ransomware-a-growing-menace.pdf45http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-9946http://www.symantec.com/security_response/writeup.jsp?docid=2014-032622-1552-9947http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month48http://www.secureworks.com/cyber-threat-intelligence/threats/cryptowall-ransomware/49http://www.symantec.com/security_response/writeup.jsp?docid=2014-050610-2450-9950http://www.symantec.com/security_response/writeup.jsp?docid=2011-051715-1513-99


controladoporlabandaconunnavegadordeterminado),eltráficose redirigía al tipo de ransomware más adecuado.

Ahoraelransomware puede propagarse a través de cualquier plataforma. En Android, se usan técnicas de redirección que provocanladescargadeAndroid.Lockdroid.G;enInternetExplorer,seinfectaalavíctimaconeltroyanoTrojan.Ransomlock.GmedianteelkitdeataqueAngler50; y otros navegadores para Windows,LinuxoMacredirigenalosusuariosaBrowlock51, otra forma de ransomwarequeutilizalasherramientasdelpropionavegador para bloquear el equipo y exigir un rescate.

En junio de 2014, se descubrió el primer ransomware para Android capazdecifrararchivos:Android.Simplocker52. Aunque la versión original estaba en ruso, un mes después ya circulaba otra en inglés (Android.Simplocker.B53)queseservíadelaingenieríasocialparahacersepasarporelFBI.Enoctubrede2014,salióalaluzAndroid.Lockdroid.E54(Porndroid),quetambiénsolicitabadineroalavíctimaennombredelFBIy,además,leenviabaunafotosuyatomada con cámara del dispositivo. Posteriormente, surgieron otras variantesdeAndroid.LockdroidtipogusanoquesepropagabanenviandomensajesSMSaloscontactosdelalibretadedireccionesdel dispositivo infectado con el objeto de engañarlos mediante la ingeniería social.

Nocontentosconlosdispositivosmóvilesydecididosaencontrarotras fuentes de ingresos, los creadores de ransomware dieron con otro objetivo: los sistemas de almacenamiento conectado a red (NAS),enlosquesealmacenaungrannúmerodearchivos. Trojan.Synolocker55(oSynolockerasecas)lespermitióatacarlos aprovechandoundefectodelsoftwareDiskStationManagerdeSynology.Graciasaestavulnerabilidad,hastaentoncesdesconocida, los delincuentes podían infiltrarse en los dispositivos, cifrartodoslosarchivosypedirunrescateacambiodedesbloquearlos.AhoraexistensolucionesqueprotegenlossistemasNAS,peroloocurrido demuestra que quienes se valen del ransomware buscan continuamente nuevos escenarios de ataque.

Pero ¿por qué cambia el ransomwarecontantarapidez?Losciberdelincuentes suelen pedir rescates de entre 100 y 500 dólares estadounidenses, así que se trata de un negocio lucrativo. Además, en 2014 los bitcoins se convirtieron en el método de pago estándar para casi todo el ransomware nuevo, con lo que es fácil escudarse en el anonimato y blanquear fácilmente las ganancias.

SegúnloobservadoporSymantec,nosolohaaumentadoelnúmero de cepas de ransomware, sino también el ritmo de crecimiento en general.De2013a2014,laincidenciadelransomware se incrementó en un 113 %. La aparición de nuevas variedades y los beneficios económicoshacenpensarque,lejosdedesaparecer,estaprácticaserá aún más frecuente en el futuro.

Ransomware para Android «Porndroid»

51http://www.symantec.com/connect/blogs/massive-malvertising-campaign-leads-browser-locking-ransomware52http://www.symantec.com/security_response/writeup.jsp?docid=2014-060610-5533-9953http://www.symantec.com/security_response/writeup.jsp?docid=2014-072317-1950-9954http://www.symantec.com/security_response/writeup.jsp?docid=2014-103005-2209-9955http://www.symantec.com/security_response/writeup.jsp?docid=2014-080708-1950-99


conSejoS y PráctIcAS recomendAdAS


Pese a las vulnerabilidades detectadas este año, los protocolos SSL y TLS siguen siendo la mejorformadeprotegeraquienesvisitansusitiowebydegarantizarlaseguridaddelosdatosquefacilitan.Dehecho,traslaalarmadesatadaporHeartbleed,muchasempresashanempezadoacontrataradesarrolladoresespecializadosenSSLparamejorarelcódigoysolucionarposibleserrores.AsíqueahoralasbibliotecasSSLestánmáscontroladasquenuncay,además,sehanestablecidoprácticasrecomendadascomunesparautilizarlas.

i http://www.symantec.com/page.jsp?id=1024-bit-certificate-supportii http://www.symantec.com/en/uk/page.jsp?id=sha2-transitioniiihttp://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsaivhttps://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp

La importancia

de utilizar

tecnologías SSL

más seguras

En 2014, los algoritmos de los certificados SSL se volvieron más seguros porque Symantec y otras autoridades de certificación abandonaron las claves de 1024 bits y empezaron a utilizar certificados SHA-2 de forma predeterminadai.

MicrosoftyGoogleanunciaronqueprontodejaríandeaceptarcertificadosSHA-1quecaducarandespués del 31 de diciembre de 2015ii.SiaúnnohamigradoaSHA-2,Chromemostraráunaadvertenciadeseguridadaquienesvisitensusitioweb,yloscertificadosdejarándefuncionarenInternet Explorer a partir del 1 de enero de 2017.

SymantectambiénestápotenciandoelusodelalgoritmoECC,muchomásseguroqueelcifradoRSA.En este momento, los navegadores más importantes para equipos de escritorio y dispositivos móviles ya admiten los certificados ECC, que ofrecen tres ventajas principales:

1. mayor seguridad. Las claves ECC de 256 bits son 10 000 veces más difíciles de descifrar que las claves RSA de 2048 bits de uso estándar en el sector.iii Para descifrar el algoritmo mediante un ataque defuerzabruta,senecesitaríamuchomástiempoyunapotenciadeprocesamientomuchomayor.

2. mejor rendimiento.Anteriormente,muchasempresasteníanmiedoaqueloscertificadosSSLralentizaranelfuncionamientodelsitiowebyoptabanporunaadopciónparcialqueofrecíaunaprotecciónmuydeficiente.UnsitiowebprotegidoconuncertificadoECCrequieremenospotenciade procesamiento que otro que utilice un certificado RSA, lo que permite atender más conexiones yusuariosalmismotiempo.Enestemomento,adoptarlatecnologíaAlways-OnSSLnosoloesrecomendable, sino que está al alcance de cualquier empresa.

3. Perfect forward Secrecy (PfS). AunquelatecnologíaPFSescompatibleconcertificadosbasadosen RSA y con los basados en el algoritmo ECC, su rendimiento es mejor con estos últimos. Pero ¿qué importanciatieneesto?SiunsitiowebcarecedeprotecciónPFS,unhacker que se apropie de sus claves privadas podría descifrar todos los datos intercambiados en el pasado. Esto es lo que permitía lavulnerabilidadHeartbleedenlossitioswebafectados,loquedejóclaralagravedaddeesteproblema.ConlatecnologíaPFS,alguienquerobeodescifrelasclavesprivadasdeloscertificadosSSL solo podrá descifrar la información protegida con ellas desde el momento del ataque, pero no la intercambiada con anterioridad.

uso adecuado

de la tecnología

SSL

En 2014 quedó claro que la tecnología SSL solo es segura si se adopta y mantiene como es debido. Por tanto, es necesario:

• utilizar la tecnología Always-on SSL.ProtejaconcertificadosSSLtodaslaspáginasdesusitiowebparaquetodaslasinteraccionesentreelsitiowebyelvisitantesecifrenyautentiquen.

• mantener actualizados los servidores.NobastaconmanteneraldíalasbibliotecasSSLdelservidor;toda actualización o revisión debe instalarse cuanto antes para reducir o eliminar las vulnerabilidades que pretende corregir.

• mostrar distintivos de confianza conocidos(comoelselloNortonSecured)enzonasbienvisiblesdesusitiowebparademostraralosclientesquesetomaenseriosuseguridad.

• Hacer análisis periódicos. Vigilesusservidoreswebparadetectarposiblesvulnerabilidadesoinfecciones con malware.

• Asegurarse de que la configuración del servidor esté actualizada. Las versiones antiguas del protocoloSSL(SSL2ySSL3)nosonseguras.CercióresedequeelsitiowebnolasadmitaydéprioridadalasversionesmásrecientesdelprotocoloTLS(TLS1.1yTLS1.2).CompruebesielservidorestábienconfiguradoconherramientascomoSSLToolboxdeSymantec.iv


vhttp://arstechnica.com/security/2014/08/new-website-aims-to-shame-apps-with-lax-security/

conciencie a sus

empleados

Paraquesussitioswebyservidoresesténmásprotegidosesteaño,guíeseporelsentidocomúnyadopteloshábitosdeseguridadquelerecomendamosacontinuación.

• Asegúresedequelosempleadosnoabranarchivosadjuntosdegentequenoconozcan.

• Ayúdelesareconocerlospeligrosqueacechanenlasredessociales.Explíquelesque,si una oferta parece falsa, seguramente lo sea; que la mayoría de las estafas están relacionadas con noticias de actualidad; y que las páginas de inicio de sesión a las que conducen algunos enlaces pueden ser una trampa.

• Siunsitioweboaplicaciónofrecenautenticacióndedosfactores,dígalesqueelijansiempre esta opción.

• Pídalesqueusencontraseñasdistintasparacadacuentadecorreoelectrónico,aplicación,sitioweboservicio(sobretodosiestánrelacionadosconeltrabajo).

• Recuérdelesqueusenelsentidocomún.Noportenerunantivirusesmenosgravevisitarsitioswebdañinosodenaturalezadudosa.

tiene dos opciones: la seguridad

o la vergüenza

Los atacantes utilizan técnicas cada vez más agresivas, avanzadas e implacables para lucrarseenInternet,perolasempresasylosparticularestienenmuchísimasmanerasdeprotegerse.

Hoy en día, una empresa que no utilice la tecnología SSL o descuide la seguridad de su sitiowebseexponealescarniopúblico.InclusopuedeacabarsaliendoenHTTPShaming,unapáginacreadaporelingenierodesoftwareTonyWebsterenlaqueseseñalaalosculpables.v

Protegersusitiowebconprocedimientosysistemasdeseguridadeficaceseslaclaveparaevitar el descrédito y la ruina financiera. Tome nota y, en 2015, protéjase con Symantec.


PróXImAmente

SegundA PArte: AtAqueS dIrIgIdoS y fILtrAcIoneS de dAtoS

conozca las últimas noticias sobre el ciberespionaje y las nuevas técnicas utilizadas en los ataques dirigidos,

el spear-phishing entre otros.


PerfIL de SymAntec

SymantecCorporation(NASDAQ:SYMC)esunaempresaespecializadaenprotección

de la información cuyo objetivo es ayudar a particulares, empresas e instituciones

gubernamentalesaaprovecharlibrementelasoportunidadesquelesbrindala

tecnología, en cualquier momento y lugar. Symantec, fundada en abril de 1982, figura

enlalistaFortune500,controlaunadelasmayoresredesdeinteligenciadedatosdel

mundo y comercializa soluciones líderes en materia de seguridad, copia de seguridad

y disponibilidad que facilitan el almacenamiento de información, su consulta y su uso

compartido. Cuenta con más de 20 000 empleados en más de 50 países, y el 99 % de las

empresasdelalistaFortune500sonclientessuyos.Enelejerciciofiscalde2013,registró

una facturación de 6 900 millones de dólares estadounidenses.

Visite www.symantec.es para obtener más información o go.symantec.com/socialmedia

para conectarse con nosotros en las redes sociales.

más información

• SitiowebglobaldeSymantec:http://www.symantec.com/

• InformesobrelasamenazasparalaseguridadenInternet(ISTR)yotrosrecursosútilesdeSymantec:http://www.symantec.com/threatreport/

• SymantecSecurityResponse:http://www.symantec.com/security_response/

• BuscadordeamenazasdeNorton:http://us.norton.com/security_response/threatexplorer/

• ÍndicedecibercrimendeNorton:http://us.norton.com/cybercrimeindex/

Symantec

350 Ellis Street

Mountain View, CA 94043

Si desea los números de teléfono de algún país en concreto, consulte nuestro

sitioweb: www.symantec.com/ssl

©2015SymantecCorporation.Reservadostodoslosderechos.Symantec,ellogotipodeSymantec,ellogotipodelamarcade

comprobación,NortonSecuredyellogotipodeNortonSecuredsonmarcascomercialesomarcascomercialesregistradasen

los Estados Unidos y en otros países por Symantec Corporation o sus filiales. Los demás nombres pueden ser marcas comer-

ciales de sus respectivos propietarios.

la seguridad de los sitios web I 2015 - certisur.com · analizar e interpretar las nuevas...

Documents

Transcript of la seguridad de los sitios web I 2015 - certisur.com · analizar e interpretar las nuevas...