• Author / Uploaded
• Ricardo

• Categories
• Ransomware (secuestro de datos)
• Malware
• Contraseña
• Internet
• Seguridad y privacidad en línea

Citation preview

Tendencias de 2013, volumen 19. Fecha de publicación: junio de 2014.

Informe sobre las amenazas para la seguridad de los sitios web (edición de 2014)

Índice Introducción 3 Resumen ejecutivo 4 La seguridad en 2013, mes a mes

5-7

2013, en cifras 8 Fugas de datos 9 Ataques a sitios web 10 Ataques dirigidos 11 Spear-phishing 12 Ataques realizados a través de Internet 13 - 14 Spear-phishing (cont.) 15 - 17 Ataques watering hole 18 - 20 Infiltración en las redes y captación de datos personales 21 Fugas de datos 23 Ciberdelincuencia y técnicas de distribución de malware 24 - 26 Métodos de ataque 27 Ataques web bloqueados 30 Tipos de sitios web más atacados en 2013 29 Métodos de ataque (cont.) 30 - 31 Porcentaje de mensajes de correo electrónico con malware 32 Redes sociales 33 - 36 Spam y phishing 37 - 39 Sitios web infectados 40 ¿Qué nos depara el futuro?

41 - 43

Consejos y prácticas recomendadas 44 - 46 Heartbleed 47 - 48 Garantice la seguridad de su empresa con Symantec

49

Acerca de Symantec 50

2 I Symantec Corporation

Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19

Introducción Symantec cuenta con la fuente de datos más completa que existe sobre las amenazas en Internet: Symantec ™ Global Intelligence Network, un sistema compuesto por más de 41,5 millones de sensores de ataque que registra miles de incidencias por segundo. Esta red supervisa las amenazas existentes en más de 157 países y regiones mediante una combinación de productos y servicios de Symantec, como Symantec DeepSight™ Threat Management System, Symantec™ Managed Security Services, los productos de Norton™ y Symantec Website Security Solutions, además de otras fuentes de datos externas. Symantec también mantiene una de las bases de datos sobre vulnerabilidades más completas del mundo. En este momento, hay registradas más de 60 000 vulnerabilidades que afectan a más de 54 000 productos de más de 19 000 proveedores. Los datos sobre spam (envío de correo no deseado), phishing (suplantación de la identidad) y malware (código dañino) se registran a través de distintos recursos, como Symantec Probe Network —un sistema que abarca más de cinco millones de cuentas señuelo—, Symantec.cloud, Symantec Website Security Solutions o los productos de protección frente al malware y las vulnerabilidades, entre otras tecnologías de seguridad de Symantec. La tecnología heurística patentada de Symantec.cloud, denominada Skeptic™, detecta los ataques dirigidos más nuevos y avanzados antes de que lleguen a la red del cliente. 14 centros de datos procesan más de 8400 millones de mensajes de correo electrónico al mes y filtran más de 1700 millones de solicitudes por Internet al día. Symantec también recopila información sobre phishing a través de una amplia comunidad antifraude de empresas, proveedores de seguridad y más de 50 millones de consumidores.

3 I Symantec Corporation

Symantec Website Security Solutions funciona sin interrupción, permite comprobar si un certificado digital X.509 se ha revocado o no mediante el protocolo de estado de certificados en línea (OCSP) y procesa a diario más de 6000 millones de consultas de este tipo en todo el mundo. Gracias a estos recursos, los analistas de Symantec cuentan con fuentes de información insuperables para detectar, analizar e interpretar las nuevas tendencias en materia de ataques, malware, phishing y spam. Todos estos datos nos han servido para elaborar el tercer informe sobre amenazas para la seguridad de los sitios web (basado en el informe de Symantec sobre las amenazas para la seguridad en Internet, volumen 19), que ofrece a empresas y consumidores información esencial para proteger sus sistemas de forma eficaz tanto ahora como en el futuro.

Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19

Resumen ejecutivo En un principio, parecía que los grandes temas de 2013 iban a ser el ciberespionaje, la dificultad para proteger los datos confidenciales y la amenaza que representa el personal interno de las empresas. Sin embargo, los datos de finales de año dejaron clarísimo que la ciberdelincuencia sigue azotando a empresas y consumidores. En total, hubo ocho fugas que dejaron al descubierto más de diez millones de identidades y se produjeron más ataques dirigidos. El presente informe, basado en datos recopilados e interpretados por los expertos de seguridad de Symantec, describe el abanico de amenazas que hicieron peligrar la seguridad de los sitios web en 2013, que pasamos a resumir a continuación.

Veamos cuáles fueron las tendencias más destacables en 2013. 2013: el año de las «megafugas» Si, como señalábamos en una edición anterior de este informe, 2011 fue el año de las fugas de datos, 2013 fue el de las «megafugas». El número de fugas de datos (253) fue un 62 % más alto que en 2012, y también se superó el total de 2011 (208). Sin embargo, estos datos no bastan para entender la gravedad del problema. Lo verdaderamente preocupante es que ocho de las fugas que se produjeron en 2013 dejaron al descubierto más de diez millones de identidades cada una. En 2012, solo hubo un incidente de esa magnitud, y en 2011, la cifra llegó solo a cinco. En todo el año, quedaron 552 millones de identidades expuestas y se pusieron en peligro los datos personales relacionados con ellas (direcciones, contraseñas, datos de tarjetas de crédito, etc.).

Aparición de nuevos tipos de ataques dirigidos En el informe anterior, ya señalábamos que los atacantes habían incorporado a su arsenal una nueva arma: los ataques watering hole o de abrevadero. Quienes proclamaron la muerte del spearphishing se equivocaban. En 2013, el número de campañas aumentó en un 91 %, si bien es cierto que se enviaron menos mensajes de correo electrónico por campaña y disminuyó el número de víctimas.

4 I Symantec Corporation

Aumento de los ataques watering hole a consecuencia de las vulnerabilidades de día cero y de la aplicación poco sistemática de revisiones Según los datos registrados por Symantec, en 2013 se descubrieron más vulnerabilidades de día cero que nunca — concretamente, 23: más que la suma de los dos años anteriores y un 61 % más que en 2012—. Estas vulnerabilidades son un filón para los atacantes, pues les permiten lanzar ataques watering hole que sortean la tecnología anti-phishing e infectan a las víctimas sin necesidad de recurrir a la ingeniería social. Muchos sitios web legítimos no aplicaron de forma sistemática las revisiones de seguridad más recientes. Un 78 % presentaba vulnerabilidades que alguien podría aprovechar y uno de cada ocho tenía una vulnerabilidad de carácter crítico, lo que explica el aumento de los ataques watering hole y la facilidad de los atacantes para encontrar sitios web con los que tender una trampa a los visitantes. Por lo general, los ciberdelincuentes más astutos dejan de aprovechar una vulnerabilidad en cuanto sale a la luz, mientras que los corrientes se apresuran a usarla justo después. En el caso de las cinco principales vulnerabilidades de día cero, se tardó por término medio cuatro días en hacerse pública una solución. Sin embargo, Symantec contabilizó un total de 174 651 ataques en los 30 días siguientes a su detección.

Escasa variación en la forma de usar las redes sociales pese a la frecuencia de las estafas En las redes sociales, la gente sigue siendo muy fácil de engañar. En 2013, las ofertas falsas —p. ej., minutos gratis para llamar a móviles— fueron el engaño más frecuente en Facebook. Las recibieron un 81 % de los usuarios de la plataforma, frente al 56 % de 2012. Y aunque el 12 % de los usuarios de las redes sociales fueron víctimas de hackers que suplantaron su identidad, un cuarto sigue compartiendo sus contraseñas con otras personas y un tercio se conecta con personas que no conoce.

Aumento del interés de los atacantes por la «Internet de las cosas» En 2013, el hacking llegó a los vigilabebés, las cámaras de seguridad y los routers, y los investigadores hallaron pruebas de ataques dirigidos a televisores inteligentes, automóviles y equipos médicos. Todo esto hace pensar que la rápida adopción de la Internet de las cosas planteará aún más problemas de seguridad en el futuro.

Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19

La seguridad en 2013, mes a mes

Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19

La seguridad en 2013, mes a mes

1

Se detecta un ataque vinculado al proyecto Elderwood que aprovecha una vulnerabilidad de día cero de Internet Explorer (CVE-2012-4792). Se descubre que el Cool Exploit Kit permite aprovechar la vulnerabilidad de día cero de Java CVE-2013-0422. Se hace público que Android.Exprespam ha podido infectar miles de dispositivos. Los sectores de defensa y aeroespacial sufren un ataque realizado con el troyano de puerta trasera Backdoor.Barkiofork.

2

Cae la botnet Bamital. Utilizan una vulnerabilidad de día cero de Adobe para el ataque «LadyBoyle» (CVE-2013-0634). Se descubre un kit de herramientas multiplataforma que ayuda a crear la herramienta de acceso remoto (RAT) «Frutas». Se detecta una actualización falsa de Adobe Flash que instala ransomware (malware de extorsión) y genera clics falsos en nombre de las víctimas. Bit9 sufre un fallo de seguridad.

Enero

Febrero

3

Marzo

4

Abril

5

Mayo

6

Junio

6 I Symantec Corporation

Un tipo de malware para Android envía spam a los contactos de las víctimas. La estafa «Facebook Black» se propaga por Facebook. El kit de intrusión Blackhole aprovecha la crisis financiera en Chipre. Varios bancos y entidades de radiodifusión de Corea del Sur sufren un ataque cibernético. La campaña de hacktivismo #OpIsrael afecta a distintos sitios web de Israel. El grupo de hackers denominado «Ejército electrónico sirio» (SEA) ataca las cuentas de Twitter de NPR y Associated Press, entre otras. Reddit y varios bancos europeos sufren ataques distribuidos de denegación de servicio. Se descubre una vulnerabilidad de un complemento de WordPress que permite hacer ataques de inyección PHP. LivingSocial restablece las contraseñas de 50 millones de cuentas tras sufrir un robo de datos. Un sitio web del ministerio de trabajo estadounidense sufre un ataque watering hole. Un hospital del estado de Washington sufre un robo de más de un millón de dólares a manos de ciberdelincuentes. SEA hackea las cuentas de Twitter de The Onion, E! Online, The Financial Times y Sky. La nueva vulnerabilidad de día cero de Internet Explorer 8 CVE-2012-4792 se utiliza para un ataque watering hole. La campaña de hacktivismo #OpUSA afecta a diversos sitios web estadounidenses. Arrestan en Nueva York a siete hombres vinculados a varios ataques cibernéticos internacionales que supusieron el robo de 45 millones de dólares en 26 países. Microsoft y el FBI desmantelan la red de botnets Citadel. Un antiguo empleado de una agencia de seguridad estadounidense divulga documentos clasificados y un escándalo de ciberespionaje sacude el país. Se descubre una vulnerabilidad de día cero que afecta a la mayoría de los navegadores de PC y Mac, dispositivos móviles y consolas de videojuegos. Anonymous apunta a la industria petrolera y del gas con los ataques #OpPetrol. Se descubren 65 sitios web que alojan anuncios infectados con el troyano ZeroAccess. Sale a la luz un falso antivirus (FakeAV) que afecta a teléfonos Android.

Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19

La seguridad en 2013, mes a mes

7

Ubisoft, víctima de un ataque de hacking, sufre un robo de datos de cuentas de usuario. Se acusa a Francia de utilizar un programa de espionaje similar a PRISM. Un nuevo kit de intrusión aprovecha distintos fallos de Internet Explorer, Java y Adobe Reader. Se descubre un tipo de ransomware dirigido a equipos Mac con OS X que simula proceder del FBI. Se explota una vulnerabilidad que afecta a la clave maestra de Android. Viber y Thomson Reuters pasan a engrosar la lista de víctimas de SEA.

8

SEA ataca el blog de Channel 4 y los sitios web de SocialFlow, New York Post, Washington Post y New York Times. Un secuestro de DNS redirige miles de sitios web a un kit de intrusión. Se detectan dos nuevos casos de ransomware. Uno cambia los datos de inicio de sesión de Windows en sistemas chinos y otro aprovecha la controversia generada por el programa PRISM de la NSA. La aplicación falsa «Instagram para PC» solicita a las víctimas que rellenen una encuesta para obtener sus datos. Varios bancos pierden millones debido a un ataque que se hace con el control del sistema de giros bancarios. La técnica de ingeniería social denominada «Francophoned» inaugura una nueva era en la historia de los ataques dirigidos.

9

SEA ataca el sitio web de la Marina estadounidense y las cuentas de Twitter de Fox, posiblemente con un troyano para Mac. Se descubren cajeros automáticos que dispensan dinero en metálico a delincuentes. Aparece el ransomware «Cryptolocker», que cifra los archivos de las víctimas y les pide dinero a cambio de descifrarlos. Symantec hace pública la actividad de Hidden Lynx, un grupo de hackers que trabajan a sueldo. Una empresa de telecomunicaciones belga es víctima de una presunta campaña de ciberespionaje. Symantec Security Response acaba con la botnet ZeroAccess.

10

El mercado negro online Silk Road, desmantelado con anterioridad, resurge a finales de mes. SEA intercepta mensajes de correo electrónico del personal presidencial estadounidense y ataca sitios web de Qatar y el sitio web de noticias GlobalPost. Adobe confirma un fallo de seguridad que dejó expuestas 150 millones de identidades. Arrestan al creador de Blackhole y Cool Exploit Kit. El grupo de hackers KDMS ataca WhatsApp, AVG y Avira. Un nuevo tipo de ransomware pide un rescate en bitcoins a cambio de una clave de descifrado.

Julio

Agosto

Septiembre

Octubre

11

Noviembre

12

Diciembre

7 I Symantec Corporation

Se detecta la segunda vulnerabilidad que afecta a la clave maestra de Android. La vulnerabilidad de día cero de Microsoft CVE-2013-3906 se utiliza para ataques dirigidos y estafas por Internet. SEA ataca VICE.com como venganza por un artículo en el que se identifica a varios presuntos miembros del grupo. Anonymous asegura haber hackeado la red Wi-Fi del parlamento británico durante una protesta en Londres. Se descubre un gusano de Linux que pone en peligro la «Internet de las cosas». Target confirma haber sufrido una fuga de datos que dejó al descubierto 110 millones de identidades. Se filtran los datos de 20 millones de huéspedes de hoteles chinos. Se encuentra una vulnerabilidad en una aplicación de control de aerogeneradores que permite lanzar ataques de secuencias de comandos entre sitios (XSS). Se descubren varias imitaciones de Cryptolocker que tratan de aprovechar el éxito del troyano original. Se produce un robo de datos de tarjetas de crédito que pone en peligro 105 millones de cuentas surcoreanas.

Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19

2013, en cifras

Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19

Fugas de datos Se conoce como «megafugas» (Mega Breaches) a aquellos incidentes que dejan al descubierto diez millones de identidades o más. En 2012, solo hubo una, mientras que en 2013 se produjeron ocho.

Fugas de datos que afectaron a más de diez millones de identidades

+700 %

Total de incidentes

253 2013

+62 %

156 2012

9 I Symantec Corporation

Principales tipos de información filtrada

1

Nombres de personas

2

Fechas de nacimiento

3

Números de identificación de carácter administrativo (p. ej., n.os de la seguridad social)

4

Domicilios

5

Historiales médicos

6

Números de teléfono

7

Información financiera

8

Direcciones de correo electrónico

9

Nombres de usuario y contraseñas

10

Información relacionada con pólizas de seguros

Total de identidades afectadas

552

millones

En 2013, el 35 % de las fugas de datos se debieron al hacking, que sigue siendo la principal causa de fuga. Una empresa que sea víctima del hacking puede ver minada su reputación, ya que si la pérdida de datos sale a la luz, se cuestionarán sus medidas de seguridad.

2013

+493 %

93

millones

2012

En todo el año, hubo ocho fugas de datos que dejaron diez millones de identidades expuestas como mínimo. La peor dejó al descubierto 150 millones de identidades. En 2012, solo una fuga de datos afectó a más de diez millones de identidades.

Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19

Ataques a sitios web En torno al 67 % de los sitios web utilizados para la distribución de malware eran sitios legítimos infectados.

Nuevos dominios web con malware

56 158 74 001 55 000

2013 2012 2011

-24 %

Ataques web bloqueados al día 2013 2012 2011

568 700 464 100 190 000

10 I Symantec Corporation

+23 %

Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19

Ataques dirigidos

Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19

Ataques dirigidos: spear-phishing

ATAQUES DIRIGIDOS: SPEAR-PHISHING

Incidencia según el tamaño de la empresa

Grandes empresas

50 %

19 %

31 %

Más de 2501 empleados

Empresas medianas

N.º de empresas atacadas

39 %

1 de cada 2,3

31 %

251-2500 empleados

Pequeñas empresas 1- 250 empleados

2012

12 I Symantec Corporation

30 % 2013

1 de cada 5,2

Las empresas con un máximo de 250 empleados sufrieron el 30 % de los ataques de spear-phishing dirigidos. Una de cada cinco pequeñas empresas recibió al menos un mensaje de correo electrónico de spear-phishing en 2013. Las empresas de más de 2500 empleados padecieron el 39 % de los ataques de spear-phishing dirigidos. Dentro de este grupo, una de cada dos sufrió un ataque o más de este tipo. El frente de ataque tiende a avanzar por la cadena de suministro. En el caso de las grandes empresas, la probabilidad de sufrir un ataque watering hole aumenta si los atacantes ya recurrieron sin éxito a los ataques de spear-phishing por correo electrónico.

Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19

Ataques web dirigidos Resumen • Los autores de los ataques dirigidos utilizan métodos cada vez más avanzados que les permiten elegir mejor a sus presas. • En 2013, hubo una media de 83 ataques de spear-phishing al día en todo el mundo. • Según los registros de Symantec, nunca se habían encontrado tantas vulnerabilidades de día cero, usadas con frecuencia en los ataques watering hole. • Aunque los hackers volvieron a ser los causantes del mayor número de fugas de datos, hubo un aumento notable de los casos de pérdida y divulgación accidental. • Las fugas de datos ocurridas en 2013 dejaron al descubierto 552 millones de identidades.

VULNERABILIDADES DE LOS SITIOS WEB

Sitios web analizados que presentaban vulnerabilidades

53 %

78 % 2013

2012

+25 % pts

Porcentaje de vulnerabilidades críticas 1 de cada 8 sitios

24

16

% 2012

%

-8 % 2013

pts

web presentaba vulnerabilidades críticas sin resolver.

Por lo general, alguien que quiera infectar con malware un sitio web legítimo tendrá que encontrar primero una vulnerabilidad que explotar. Por complicado que parezca, según el servicio de evaluación de vulnerabilidades de Symantec el 78 % de los sitios web públicos analizados en 2013 tenían deficiencias de seguridad de este tipo. De todas las vulnerabilidades detectadas, un 16 % se consideró de carácter crítico porque, en caso de ser descubiertas, habrían permitido a un atacante acceder a datos confidenciales, alterar el contenido del sitio web o infectar los equipos de quienes visitaran sus páginas. Según estos datos, encontrar un sitio web en el que infiltrarse fue relativamente fácil en una de cada ocho ocasiones.

13 I Symantec Corporation

Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19

Ataques web dirigidos El servicio de análisis contra software malicioso de Symantec detectó malware en uno de cada 566 sitios web analizados.

Sitios web en los que se detectó malware

1

de cada

532

2012

1

de cada

566

2013

Vulnerabilidades de día cero

Las vulnerabilidades de día cero se aprovechan con frecuencia en los ataques watering hole.

DÍA

23 de las vulnerabilidades de software eran de día cero... ... y 5 de ellas afectaban a Java. El 97 % de los ataques realizados para aprovechar vulnerabilidades clasificadas como «de día cero» usaron Java como vector de ataque.

14 2012

+64 %

23 2013

5 principales vulnerabilidades de día cero Oracle Java SE CVE-2013-1493

MILES DE ATAQUES DETECTADOS

16

19 días

14

Tiempo de exposición total para las cinco vulnerabilidades indicadas

12 10

54 %

Oracle Java Runtime Environment CVE-2013-2423 Oracle Java Runtime Environment CVE-2013-0422 Microsoft Internet Explorer CVE-2013-1347 Microsoft Internet Explorer CVE-2013-3893

27 % 16 %

1%