• Author / Uploaded
• Cesar Ruiz

• Categories
• Transport Layer Security
• Suplantación de identidad
• Spam
• Snapchat
• Servicio de redes sociales

Citation preview

Informe de Symantec sobre las amenazas para la seguridad de los sitios web I 2015

PARTE 3

ÍNDICE Engaños en las redes sociales

3

¿Qué nos depara el futuro?

17

Consejos y prácticas recomendadas

19

Perfil de Symantec

23

2

I Symantec Website Security Solutions

Engaños en las redes sociales

Symantec Website Security Solutions I

3

RESUMEN

4

1

Quienes tientan a los usuarios de las redes sociales con falsas promesas (por ejemplo, ofreciéndoles productos para perder peso, sexo o dinero) lo hacen porque, con los programas de afiliación, cada clic y cada inscripción les reporta un beneficio.

2

Si, como sucede a menudo, la víctima utiliza la misma contraseña en varias redes, bastará con conseguir los datos de acceso a una para enviar mensajes no deseados desde todas ellas.

3

Los estafadores se han dado cuenta de la importancia de la «prueba social» y ahora se sirven de personas reales para difundir sus engaños, en lugar de utilizar redes de bots.

4

En muchos casos, el phishing explota el temor al hacking y a situaciones de alarma sanitaria, o bien utiliza como señuelo noticias escandalosas sobre famosos, ya sean verdaderas o falsas.

I Symantec Website Security Solutions

INTRODUCCIÓN En 2014, los delincuentes hicieron suya la ley de la «prueba social», según la cual valoramos más aquello que otras personas aprueban o comparten. Por poner un ejemplo, si le damos a elegir a alguien entre un restaurante vacío y otro con una gran cola, lo normal es que prefiera esperar porque pensará que el que tiene más gente es mejor. Los hackers que se apropian de cuentas en plataformas como Snapchat lo hacen apoyándose en esta teoría, ya que la gente se fía más de los enlaces que publican las personas que conoce o de los productos que recomiendan, lo que hace que no adviertan el engaño del que están siendo objeto.

Aunque en 2014 los estafadores mejoraron sus tácticas y empezaron a utilizar otras plataformas, gran parte de su éxito siguió debiéndose a la credulidad de sus víctimas, que cayeron en trampas muy simples y fáciles de evitar.

En 2014, los consumidores tampoco fueron conscientes del valor de sus datos, y no se molestaron en comprobar si los sitios web en los que facilitaban su dirección de correo electrónico y otros datos de acceso eran de verdad legítimos.

Symantec Website Security Solutions I

5

LAS REDES SOCIALES, TODO UN FILÓN PARA LOS ESTAFADORES A los delincuentes les gustan las multitudes, así que es lógico que frecuenten las redes sociales más conocidas en busca de víctimas a las que engañar. Últimamente, también han advertido el auge de las aplicaciones de citas y mensajería y han empezado a actuar en estas plataformas. Facebook, Twitter y Pinterest

Por ejemplo, el fallecimiento de Robin Williams hizo que mucha gente compartiera un supuesto vídeo de despedida que era, en realidad, una estafa encubierta. Para ver el vídeo (que nunca llegaba a mostrarse porque en realidad no existía), los usuarios tenían que compartirlo con sus amigos y rellenar una encuesta, descargar un programa o visitar un sitio web de noticias falso.1

En 2014, los usuarios de las redes sociales compartieron más contenidos dañinos de forma manual sin sospechar que eran cómplices de los estafadores y que los vídeos, historias e imágenes publicados contenían enlaces a sitios web afiliados o infectados. El agravamiento de este problema fue uno de los grandes cambios del año.

Cuadro de diálogo de Facebook en el que se invita a compartir un vídeo. El número de comentarios y las veces que se ha compartido son falsos.

En el sitio web al que conduce el enlace se pide al usuario que instale un complemento de Facebook falso.

Medios sociales, 2012-2014

Porcentaje

80

2012

81

70

2013

60

2014

50

56

40 30 20

23

10

18 10

0 Ofertas falsas Fuente: Symantec | Safe Web

1

70

7

5

Secuestro del botón «me gusta»

0

0

1

Secuestro de comentarios

3

2

1

Aplicaciones falsas

2

Contenidos compartidos de forma manual

http://www.symantec.com/connect/blogs/robin-williams-goodbye-video-used-lure-social-media-scams

6

I Symantec Website Security Solutions

En 2014, el 70 % de las amenazas que se propagaron en las redes sociales lo hicieron sirviéndose de los propios usuarios. El año anterior, este porcentaje había sido de un escaso 2 %.

Cuando se comparten contenidos de forma manual, los delincuentes tienen el trabajo hecho porque las personas y sus redes se convierten en sus títeres sin saberlo. En otros casos, hace falta algo más de esfuerzo y dominar ciertas técnicas de hacking o secuestro. Por ejemplo, el likejacking y el comment jacking (literalmente, secuestro de «Me gusta» y de comentarios) incitan a la víctima a hacer clic en un botón para ver algo que le interesa. Aunque el texto del botón diga «Continuar» o «Confirmar», en realidad el usuario está comentando una publicación o indicando que le gusta, lo que aumenta la popularidad y el alcance.

Por lo general, las víctimas dan la información sin pensárselo dos veces. El 68 % de los encuestados para un informe sobre aplicaciones móviles realizado por Norton se declararon dispuestos a facilitar distintos tipos de información personal a cambio de una aplicación gratis.4 En el caso que se ilustra en la imagen de abajo, hubo quien accedió a enviar 0,99 USD a cambio de recibir el dinero que ofrecían los supuestos ganadores de la lotería (que, desde luego, no llegaba nunca). Una cantidad tan pequeña no despierta sospechas, pero los estafadores no solo van juntando calderilla, sino que también consiguen datos personales.5

Instagram

Estos engaños son muy frecuentes en Instagram, en parte porque la plataforma no dispone de un sistema de verificación de cuentas. En cuanto un usuario cae en la trampa, sus seguidores ven la imagen publicada y corren la misma suerte.

La plataforma de publicación de imágenes Instagram tiene más usuarios activos que Twitter y es un importante canal de marketing para las marcas.2, 3 En 2014, el afán de lucro de los delincuentes les llevó a crear cuentas falsas y a hacerse pasar por empresas para publicar ofertas en su nombre. En un caso, se crearon cuentas falsas de personas que, supuestamente, habían ganado la lotería y estaban dispuestas a compartir el premio con quien empezara a seguirlas. En otra ocasión, los estafadores se hicieron pasar por marcas conocidas que ofrecían vales-regalo a los usuarios a cambio de seguir la cuenta falsa y facilitar sus datos personales en los comentarios (p. ej., una dirección de correo electrónico).

Una vez que una cuenta falsa tiene suficientes seguidores, sus creadores le cambian el nombre, la foto y la biografía para que, cuando se descubra el engaño, la gente no pueda identificarla y denunciarla. A continuación, la cuenta modificada con todos sus seguidores se vende al mejor postor. Lo habitual es que poco después aparezca un nuevo perfil similar al primero y el propietario diga que su cuenta original había sido «pirateada» y, de este modo, el proceso vuelve a comenzar.

Cuentas de usuarios de Instagram que se hacían pasar por ganadores de la lotería6

http://blog.instagram.com/post/104847837897/141210-300million https://investor.twitterinc.com/releasedetail.cfm?ReleaseID=878170 4 Image from: http://www.symantec.com/connect/blogs/instagram-scam-lottery-winners-impersonated-offer-money-followers 5 http://www.slideshare.net/symantec/norton-mobile-apps-survey-report 6 http://www.symantec.com/connect/blogs/instagram-scam-lottery-winners-impersonated-offer-money-followers 2 3

Symantec Website Security Solutions I

7

Plataformas de mensajería 2014 golpeó con dureza a Snapchat, la aplicación social en la que las imágenes y los vídeos enviados se autodestruyen a los diez segundos de recibirse. En octubre, varias cuentas fueron pirateadas y algunos usuarios recibieron un mensaje de amigos suyos que contenía un enlace relacionado con pastillas adelgazantes. Según Snapchat, los atacantes habían robado los datos de acceso a otro sitio web, y solo habían logrado infiltrarse en Snapchat porque los propietarios de las cuentas afectadas usaban la misma contraseña para distintos servicios.7

una aplicación externa no aprobada que resultó ser la causa del problema. Por lo general, las redes sociales más nuevas cuentan con políticas de seguridad y confidencialidad imperfectas, y los usuarios empeoran la situación al usar la misma contraseña en varias plataformas y al buscar aplicaciones sin verificar que ofrezcan funciones complementarias. A menos que los usuarios extremen las precauciones, seguirán siendo víctimas del secuestro de cuentas de las plataformas más populares del 2015.

Los servicios de simplificación de direcciones URL son muy útiles para los usuarios de las redes sociales, pero también para los spammers, ya que camuflan el nombre de dominio del sitio web. En el caso de bit.ly, con tan solo añadir el signo «+» al final del enlace, tanto los spammers como sus afiliados tienen acceso a estadísticas sobre clics y otros datos demográficos. Los enlaces abreviados no solo se envían por correo electrónico; también es frecuente incluirlos en mensajes SMS. Y algunos tipos de spam modernos se propagan a través de las redes sociales. En octubre, Symantec fue testigo de un incidente conocido en Internet como «the snappening», a raíz del cual empezaron a publicarse en Internet imágenes de Snapchat que deberían haberse borrado. Al parecer, algunos usuarios archivaban sus fotos de Snapchat con

Cuenta de usuario legítima utilizada para enviar spam a los amigos de la víctima. Snapchat reaccionó con rapidez y avisó a los afectados poco después.

3

2

1

19 enero, 2015

24 enero, 2015 29 enero, 2015

Clics obtenidos con la dirección URL incluida en el mensaje de spam de Snapchat del ejemplo anterior 7

http://www.symantec.com/connect/blogs/hacked-snapchat-accounts-use-native-chat-feature-spread-diet-pill-spam

8

I Symantec Website Security Solutions

Estafas en sitios web pornográficos o de contactos El contenido sexual siempre ha estado muy ligado a la ciberdelincuencia, y 2014 no fue ninguna excepción. En 2014, las estafas relacionadas con material de esta índole empezaron a afectar a aplicaciones de citas como Tinder y servicios de mensajería como Snapchat y Kik Messenger. En todos estos casos, los estafadores eran miembros de un programa de afiliación que les reportaba una comisión cada vez que alguien hacía clic en un enlace y se inscribía en un sitio web externo.8

El contenido sexual suele ser un reclamo eficaz. En menos de cuatro meses, una campaña relacionada con el sitio web blamcams.com se tradujo en casi medio millón de clics en siete direcciones URL, una cifra muy jugosa que benefició a dos tipos de estafadores: los que cobraban comisiones de programas de afiliación y los que usaban enlaces a sitios de webcams falsos para robar datos de tarjetas de crédito.10

Unos programas de afiliación remuneran cada clic, mientras que otros exigen que la víctima se inscriba en un sitio web y facilite los datos de su tarjeta de crédito. Algunos sitios web pagan seis dólares por cada inscripción y hasta sesenta si alguien se suscribe a un servicio premium9, lo que permite a los ciberdelincuentes obtener pingües beneficios (profundizaremos en este tema más adelante, en el apartado «Los programas de afiliación, el verdadero motor del engaño en las redes sociales»). Normalmente, se empieza mostrando un perfil de una joven atractiva que propone a la víctima un encuentro sexual, la invita a ver grabaciones íntimas en vivo o se ofrece a enviarle mensajes de texto o imágenes de naturaleza sexual (lo que se conoce como sexting). En Tinder, algunas fotos de perfil ofrecían servicios de prostitución superponiendo texto a la propia imagen, para así evitar los filtros de correo no deseado. Los interesados tenían que hacer clic en las imágenes o visitar un sitio web afiliado, pero ni una ni otra opción servía de nada porque, en realidad, las supuestas chicas eran bots, y las fotos insinuantes un señuelo para promocionar un servicio inexistente. Mensajes de falsas “cam-girls” que aparecen como chats nuevos en Kik Messenger

Perfiles falsos de Tinder en los que se ofrecían falsos servicios de prostitución11

http://www.symantec.com/connect/blogs/adult-webcam-spam-all-roads-lead-kik-messenger http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app 10 http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app 11 http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app 8 9

Symantec Website Security Solutions I

9

Código dañino en las redes sociales Aunque la mayoría de las estafas están relacionadas con programas de afiliación que pagan por conseguir clics e inscripciones, una de las que afectó a Facebook en 2014 fue diferente. En este caso, el objetivo de los atacantes era redirigir a los usuarios al kit Nuclear para hacerse con el control de los equipos y, seguidamente, utilizarlos para enviar spam y descargar archivos dañinos.12 Por precaución, todo el mundo debería sospechar de los enlaces sensacionalistas que publican sus amigos y, en lugar de hacer clic, informarse directamente en medios más fiables. El avance de las redes «antisociales» Hoy en día, muchos ven con malos ojos los programas de vigilancia gubernamentales o la cantidad de información que se comparte con los proveedores de servicios de Internet. Quizá por eso haya surgido un nuevo tipo de red social basado en el secretismo, la confidencialidad y el anonimato. Aplicaciones como Secret, Cloaq, Whisper, ind.ie y Post Secret son un hervidero de chismes, confidencias y, a veces, otras manifestaciones de la cara más oscura del ser humano. Hay quien piensa que, en la próxima fase de la evolución de las redes sociales, el secretismo desempeñará un papel fundamental.13, 14 Sin embargo, para los más críticos, 4chan y otros foros anónimos son un refugio de trolls, acosadores y delincuentes.15

Decididas a salvarse de la quema, las redes sociales tradicionales, como Twitter y Facebook, se han vuelto más transparentes y han pulido sus políticas de confidencialidad. Por ejemplo, Facebook ha empezado a hacer público el número de solicitudes de datos gubernamentales que recibe16; Twitter está planteándose introducir un «modo susurro» para enviar mensajes privados;17 y Google ha mejorado el cifrado de Gmail.18 Aunque el anonimato tiene sus atractivos para algunas personas, no hay que olvidar los riesgos que plantea. Algunas empresas tienen regulado al milímetro lo que pueden y no pueden hacer los empleados en Internet, pero muchas aún están adaptándose a estos nuevos entornos en los que cualquiera puede expresarse como le plazca con impunidad. La normativa sobre comunicación electrónica tiene que cubrir estos usos, y deben adoptarse tecnologías que detecten posibles infracciones. La solución no tiene por qué ser prohibir el acceso a estas redes, pero es importante controlar cómo se utilizan.

http://www.symantec.com/connect/blogs/facebook-scam-leads-nuclear-exploit-kit http://www.wired.com/2014/02/can-anonymous-apps-give-rise-authentic-internet/ 14 http://www.technologyreview.com/review/531211/confessional-in-the-palm-of-your-hand/ 15 Algunas de estas críticas se analizan en http://es.wikipedia.org/wiki/4chan (y, de forma más detallada, en la versión en inglés del artículo: http://en.wikipedia.org/wiki/4chan). 16 https://www.facebook.com/about/government_requests 17 http://thenextweb.com/twitter/2014/04/30/twitter-ceo-dick-costolo-whisper-mode-encourage-friends-privately-discuss-public-conversations/ 18 http://techcrunch.com/2014/03/20/gmail-traffic-between-google-servers-now-encrypted-to-thwart-nsa-snooping/ 12 13

10 I Symantec Website Security Solutions

PHISHING Mensajes de correo electrónico que son intentos de phishing (sin incluir los casos de spear phishing)

1 de cada

1000

965

750

500 250

414

392

2012

2013

2014

Fuente: Symantec I .cloud

En 2014, uno de cada 965 mensajes de correo electrónico fueron intentos de phishing (aunque la proporción fue menor de junio a septiembre). El año anterior, lo habían sido uno de cada 392. Hacia finales de año, el número de ataques de phishing aumentó tras conocerse que se habían robado y publicado varias fotos de

famosos desnudos. Los phishers siempre se han interesado por los ID de Apple, pero justo después de este incidente tan mediático enviaron más mensajes relacionados con la seguridad de las cuentas de iCloud, ya que sabían que en ese momento se les prestaría más atención.

Tasa de phishing, 2012–2014

200 400 600

1 de cada

800 1000 1200 1400 1600 1800 2000 2200 E Fuente: Symantec I .cloud

M

M

J

2012

S

N

E

M

M

J

2013

S

N

E

M

M

J

S

N

2014 Symantec Website Security Solutions I 11

La botnet Kelihos también aprovechó la situación para enviar mensajes en los que se informaba al destinatario de una compra realizada con su cuenta de iCloud, pero desde un dispositivo y una dirección IP inusuales. Acto seguido, se instaba a la víctima a verificar urgentemente su ID de Apple haciendo clic en un enlace. La página de destino, que se hacía pasar por el sitio web de Apple, era un clon creado para robar ID de Apple y contraseñas que luego se revendían o utilizaban con fines ilegítimos.19 A lo largo de 2014, los delincuentes emplearon variaciones de esta técnica para intentar apropiarse de datos de acceso a las redes sociales, al correo electrónico y a servicios bancarios.

Los orígenes del sitio web suelen camuflarse para que los navegadores no muestren advertencias de seguridad. En 2014 los ciberdelincuentes fueron aún más lejos y utilizaron el estándar de cifrado avanzado AES, que dificulta el análisis del sitio web porque el contenido utilizado para el phishing forma parte del texto cifrado ilegible. Así es más fácil engañar a las víctimas y actuar sin dejar rastro, ya que es menos probable que el software de seguridad y los navegadores muestren advertencias que alerten de la peligrosidad del sitio.21

En la mayoría de los casos, se sirvieron de mensajes de correo electrónico o direcciones URL publicadas en las redes sociales. En estas últimas, los enlaces suelen estar relacionados con noticias de actualidad (el virus del ébola, famosos envueltos en algún escándalo u otros sucesos llamativos), y se pide al usuario que vuelva a facilitar sus datos de acceso para leer un artículo o ver un vídeo. Las noticias también se usan como señuelo en mensajes de correo electrónico, pero quienes usan este método tiene un objetivo distinto: obtener los datos de acceso a cuentas bancarias de empresas, perfiles de LinkedIn, cuentas de correo empresariales o servicios de almacenamiento de archivos en la nube.20 Algunos correos se disfrazan de avisos sobre actualizaciones de seguridad y redirigen al destinatario a un sitio web con un formulario diseñado para robar sus datos y enviárselos de inmediato al phisher.

Ejemplo de mensaje que en realidad es un intento de phishing22

Número de enlaces de phishing en los medios sociales 2009–2014 Fuente: Symantec I .cloud

60 50

Miles

40 30 20 10 0

2010

2011

2012

2013

2014

19

http://www.symantec.com/connect/blogs/apple-ids-targeted-kelihos-botnet-phishing-campaign

20

http://www.symantec.com/connect/blogs/fresh-phish-served-helping-aes

21

Imagen tomada de http://www.symantec.com/connect/blogs/apple-ids-targeted-kelihos-botnet-phishing-campaign

22

LinkedIn: http://www.symantec.com/connect/blogs/linkedin-alert-scammers-use-security-update-phish-credentials Google Docs: http://www.symantec.com/connect/blogs/google-docs-users-targeted-sophisticated-phishing-scam Dropbox: http://www.symantec.com/connect/blogs/dropbox-users-targeted-phishing-scam-hosted-dropbox

12 I Symantec Website Security Solutions

LOS PELIGROS DEL CORREO ELECTRÓNICO: LAS ESTAFAS Y EL SPAM No solo ha disminuido el número de mensajes de correo que son intentos de phishing, sino que el porcentaje de spam global también es menor. Este tipo de engaño cada vez es más frecuente porque, aunque los sistemas de seguridad corporativos podrían filtrar fácilmente los archivos adjuntos, muchas empresas siguen sin tomar esta medida básica pese al peligro que corren.

En los últimos tres años, el porcentaje de spam enviado ha ido reduciéndose hasta llegar al 60 % en 2014 (en 2012 y 2013, fue del 69 % y el 66 %, respectivamente). Aunque es una buena noticia, las estafas por correo electrónico aún son muy habituales, y los delincuentes siguen lucrándose gracias a ellas. En octubre, Symantec advirtió un aumento en el número de mensajes enviados a empresas (o más concretamente, al departamento financiero) en los que se solicitaba una transferencia o un pago con tarjeta de crédito. El remitente utilizaba un nombre falso o se hacía pasar por el director general u otros directivos de la empresa, y para obtener los datos de pago se pedía a la víctima que abriera un archivo adjunto o que los solicitara respondiendo al mensaje.23

A finales de año, los spammers cambiaron de tácticas y recurrieron más a la ingeniería social, lo que les llevó a incluir más enlaces dañinos en sus mensajes y menos archivos adjuntos.

Mensajes de correo electrónico que son spam

60 % 2014

66 % -6 %

2013

69 % -3 %

2012

Fuente: Symantec I Brightmail

Volumen estimado de spam diario en todo el mundo 2014 2013

2012

28 millones 29 millones 30 millones

-1 % -1 %

Fuente: Symantec I Brightmail

http://www.symantec.com/connect/blogs/scammers-pose-company-execs-wiretransfer-spam-campaign

23

Symantec Website Security Solutions I 13

LOS PROGRAMAS DE AFILIACIÓN, EL VERDADERO MOTOR DEL ENGAÑO EN LAS REDES SOCIALES Satnam Narang

Si ha usado alguna red social en la última década, seguro que alguna vez se habrá encontrado con contenido de este tipo: • promociones en las que se regalan smartphones, billetes de avión o vales de compra; • noticias inusuales sobre personajes famosos (p ej., vídeos sexuales o falsos fallecimientos); • noticias impactantes, a menudo relacionadas con catástrofes naturales; • proposiciones de supuestos profesionales del sexo o invitaciones a desnudarse frente a una webcam. En cuanto una red gana adeptos, los estafadores empiezan a tenerla en el punto de mira. Y aunque las estafas se adaptan a las peculiaridades de cada plataforma, las redes de afiliación siempre están detrás. El marketing de afiliación permite a las empresas aumentar sus beneficios en Internet, ya que los afiliados les ayudan a promocionar y vender sus productos. Se trata de una práctica muy habitual. Por ejemplo, un afiliado que promocione un libro en su sitio web e incluya un enlace a la página de compra de otra empresa recibirá una pequeña comisión por cada venta. Entre quienes usan las redes de afiliados hay empresas legítimas e ilegítimas, y a veces son los propios afiliados los que usan métodos reprobables para lucrarse. Las empresas saben de dónde viene cada clic y pueden ir calculando las comisiones porque, cuando alguien hace clic en el anuncio de un afiliado, los enlaces terminan con un código que lo identifica.

14 I Symantec Website Security Solutions

En las redes sociales, los estafadores han sabido convertir los programas de afiliación en una fuente de ingresos. Cada vez que un usuario rellena una encuesta o se inscribe en un servicio premium detrás del cual hay un programa de este tipo, quien publica el enlace recibe dinero.

Aunque haya empresas y redes de afiliación que condenen estas prácticas y traten de evitarlas, seguirán dándose mientras los delincuentes puedan sacarles provecho. Si su empresa utiliza estos programas, es importante que conozca a sus afiliados y se asegure de que actúan dentro de la legalidad.

La legitimidad de estos afiliados no está clara, y tampoco es fácil saber cuánto cobran porque muchos prefieren mantenerlo en secreto. Sin embargo, la mayoría de las redes de afiliados utilizan un sistema de pujas en el que se especifica qué acción constituye una conversión. En el ejemplo de la imagen (un anuncio de una tarjetaregalo Visa por valor de 1500 USD), se considera que se ha realizado una conversión si la persona «referida» facilita su dirección de correo electrónico. En este caso, los afiliados reciben 1,40 USD por conversión.

Los usuarios de las redes sociales, por su parte, deberían desconfiar de los regalos que se ofrecen en estas plataformas (billetes de avión, aparatos electrónicos o vales) y de las invitaciones a visitar sitios web de contactos sexuales o webcams. Si alguien nos pide que rellenemos una cuesta o nos suscribamos a un servicio con tarjeta de crédito, lo más probable es que nos esté estafando. Lo que parece demasiado bueno para ser verdad normalmente no lo es.

En Tinder, la conocida aplicación de citas, Symantec encontró enlaces afiliados a servicios de contactos sexuales y sitios de webcams cuyas comisiones no son ningún secreto. Un sitio web paga a los afiliados hasta seis dólares por cada cuenta abierta, y sesenta por el pago de una suscripción a un servicio premium con tarjeta de crédito—un poderoso aliciente para buscar suscriptores, por los medios que sean—. Sin embargo, los estafadores son capaces de generar tanto tráfico que los seis dólares que reciben por cada cuenta abierta les bastan para obtener un sustancioso beneficio. Las suscripciones al servicio premium son solo la guinda del pastel.

Symantec Website Security Solutions I 15

EL PHISHING, UN FENÓMENO QUE EXISTE HASTA EN LOS PAÍSES MENOS PENSADOS Nicholas Johnston

Gran parte del tráfico de correo electrónico pasa por manos de Symantec. Recientemente, nos han sorprendido los ataques a instituciones de lugares en los que el phishing no había sido un problema hasta ahora. Angola y Mozambique, dos países en lados opuestos del África Austral, no son lugares en los que uno se imagine que el robo de información confidencial sea un negocio. Mozambique, cuya renta per cápita es de unos 600 USD, está en vías de desarrollo y, pese a la abundancia de recursos naturales, depende en gran medida de la ayuda internacional. Angola, con una renta per cápita próxima a los 6000 USD, está en una situación mejor, pero ambos países son estadísticamente pobres. A título comparativo, la renta media por cápita en todo el mundo es de 10 400 USD.

Todo parece indicar que los ataques de phishing sufridos en Angola y Mozambique tuvieron su origen dentro de sus propias fronteras o en los países vecinos. Robar datos de cuentas de Angola o Mozambique no tiene sentido para los phishers de países desarrollados porque los beneficios son más bajos que los obtenidos en el mundo occidental. Sin embargo, para alguien que viva en Angola, Mozambique u otros países con rentas similares, el atractivo económico es mayor. Además, para los phishers angoleños o mozambiqueños es más fácil usar los datos robados sin tener que venderlos.

Recientemente, una importante institución financiera africana fue víctima de una campaña de phishing. Los mensajes, que simulaban proceder de un banco mozambiqueño, tenían el siguiente asunto: «Mensagens & alertas: 1 nova mensagem!» (Mensajes y alertas: ¡1 nuevo mensaje!) y el cuerpo del mensaje contenía una dirección URL que conducía a una versión falsa del sitio web de la entidad. En cuanto la víctima facilitaba sus datos bancarios, el atacante se adueñaba de su cuenta.

Los consumidores cada vez usan más Internet para interactuar con las empresas y utilizar sus servicios. Por lo tanto, es de esperar que los casos de phishing sigan aumentando y que, con el tiempo, los delincuentes tengan aún más facilidades para atacar. Hasta las instituciones de un país tan pequeño y aislado como Bután, enclavado en pleno Himalaya, han sufrido ataques de phishing, lo que demuestra que nadie está a salvo.

¿Por qué se está atacando a las instituciones financieras de estos países? No podemos saberlo a ciencia cierta, pero una de las razones por las que el phishing es tan peligroso es lo fácil que es crear sitios web falsos para robar los datos de los visitantes. En 2014, Symantec encontró un buen número de phish kits (archivos comprimidos que contienen sitios web de phishing, listos para descomprimirse en un servidor web recién atacado). Alguien que adquiera uno de estos kits no necesitará conocimientos especializados y, si solo ataca a instituciones pequeñas o de un tipo determinado, ni siquiera tendrá que competir con otros phishers. Por otro lado, es probable que los países en vías de desarrollo no sean tan conscientes de la peligrosidad del phishing como Estados Unidos o Europa.

16 I Symantec Website Security Solutions

¿Qué nos depara el futuro?

Analizar el pasado y entender el presente es la clave para afrontar el futuro

17 I Symantec Website Security Solutions

¿QUÉ NOS DEPARA EL FUTURO? La ludificación de la seguridad En el siglo XV, Nicolás Maquiavelo, todo un experto en seguridad, observó lo siguiente: «Los hombres son tan simples y se someten hasta tal punto a las necesidades presentes, que quien engaña encontrará siempre quien se deje engañar». En Internet, la seguridad no solo depende de la tecnología, sino también de las personas, que correrían menos riesgos si tuvieran más cuidado. Los consumidores deben estar siempre alerta, y los funcionarios del Estado tienen que saber cómo evitar las técnicas de ingeniería social que se utilizan en los ataques dirigidos. En este contexto, la llamada «ludificación» puede servir para convertir «las necesidades del momento» en hábitos de conducta, ya que proporciona la misma gratificación instantánea que los juegos sencillos de ordenador. 24 Por ejemplo, podrían usarse mecánicas de juego que ayuden a distinguir si un mensaje es un intento de phishing o enseñen a crear, recordar y utilizar contraseñas seguras. En nuestra opinión, esta formación será muy necesaria en los próximos años y representa una gran oportunidad comercial. Uso de las simulaciones de seguridad Las simulaciones y los llamados «juegos de guerra» son un buen ejercicio para que una empresa se prepare ante posibles incidentes de seguridad y comprenda qué defensas necesita. Si, tras las pruebas de intrusión convencionales, se simulan las fases de respuesta y solución de problemas, los empleados estarán más formados y sabrán que hacer en caso de ataque. Esto es algo que ya saben los gobiernos. En enero de 2015, el primer ministro británico David Cameron y Barack Obama, presidente de los Estados Unidos, acordaron la puesta en marcha de un programa de «ejercicios de guerra cibernética» en el que ambos países llevarán a cabo ataques simulados entre sí.25 En 2015, las empresas deberían hacer lo mismo. Quien prepara un ataque casi siempre lo consuma En la batalla frente a los ciberdelincuentes, los departamentos de seguridad informática empresariales llevan siempre las de perder. Mientras que ellos no pueden fallar nunca, los atacantes solo necesitan tener suerte una vez, así que tanto los responsables informáticos como los usuarios tienen que estar preparados para lo peor. No hay tecnologías milagrosas que garanticen una protección total frente a la ciberdelincuencia, sobre todo si alguien prepara un ataque dirigido a una víctima en concreto. Lo más sensato es pensar que, tarde o temprano, su empresa sucumbirá al hacking, si es que no lo ha hecho ya. Hay que adoptar un enfoque «clínico» y más Opinión sobre la ludificación sacada de la entrevista a Efraín Ortiz http://www.bbc.co.uk/news/uk-politics-30842669 Extracto de la entrevista a Efraín Ortiz 27 Efrain Ortiz 28 http://www.informationweek.com/software/operating-systems/ windows-xp-stayin-alive/d/d-id/1279065 29 Entrevista a Candid Wueest 30 Entrevista a Vaughn Eisler 24 25 26

rico en matices que, en lugar de limitarse a determinar si algo es seguro o no, analice síntomas y tendencias, prevenga comportamientos y permita hacer diagnósticos y determinar los mejores tratamientos. Desde el punto de vista técnico, se necesitan programas que protejan todos los terminales, la pasarela y el servidor de correo electrónico para evitar filtraciones. También habrá que optimizar los sistemas copia de seguridad y recuperación en caso de desastre, así como los métodos de detección y planificación de respuestas. Aunque los ataques sean inevitables, la clave es no resignarse y poner a los atacantes el mayor número de trabas posible, ya que es mejor prevenir que lamentar.26 Las empresas deben abandonar el secretismo y compartir información entre sí Aunque intercambiar información entre empresas es esencial para la seguridad,27 hasta ahora era algo infrecuente. Por miedo a exponerse demasiado, cada empresa acababa librando su propia batalla y se limitaba a utilizar sus recursos internos. En nuestra opinión, todo sería más fácil si las empresas compartieran entre sí información sobre las amenazas y los métodos para combatir la ciberdelincuencia. Las herramientas que hagan posible este cambio sin poner en peligro la propiedad intelectual serán cada vez más importantes. Por ejemplo, el intercambio electrónico de datos podría usarse para compartir funciones hash, atributos binarios, síntomas y otros elementos sin necesidad de divulgar secretos comerciales o información que pueda ser útil a los atacantes. Uso de sistemas operativos que no son seguros En julio de 2014, un cuarto de los usuarios de PC seguían usando Windows XP y Office 2003,28 pese a que Microsoft ya no ofrecía asistencia ni actualizaciones para estas versiones. Mucha gente sigue resistiéndose a aceptar este cambio29 sin darse cuenta del riesgo que supone carecer de protección frente a las amenazas que surgen constantemente. El año próximo, el peligro irá en aumento, y las empresas que utilicen dispositivos con sistemas operativos obsoletos tendrán que encontrar formas de protegerlos hasta que decidan reemplazarlos o actualizarlos. La Internet de las cosas En el futuro, los consumidores comprarán cada vez más accesorios tecnológicos: relojes inteligentes, monitores de actividad, cascos holográficos y todo tipo de dispositivos «ponibles» ideados en Silicon Valley y Shenzén. Aunque mejorar la seguridad de estos dispositivos es fundamental, todo cambia tan rápidamente que muchas veces se descuida la confidencialidad en aras de la innovación. A menos que los gobiernos decidan legislar estas cuestiones, que se produzca algún incidente de gran repercusión mediática o que los consumidores se den cuenta del peligro que corren, es poco probable que se preste la debida atención a la seguridad y la confidencialidad.30 Symantec Website Security Solutions I 18

Consejos y prácticas recomendadas

19 I Symantec Website Security Solutions

Pese a las vulnerabilidades detectadas este año, los protocolos SSL y TLS siguen siendo la mejor forma de proteger a quienes visitan su sitio web y de garantizar la seguridad de los datos que facilitan. De hecho, tras la alarma desatada por Heartbleed, muchas empresas han empezado a contratar a desarrolladores especializados en SSL para mejorar el código y solucionar posibles errores. Así que ahora las bibliotecas SSL están más controladas que nunca y, además, se han establecido prácticas recomendadas comunes para utilizarlas. En 2014, los algoritmos de los certificados SSL se volvieron más seguros porque Symantec y otras autoridades de certificación abandonaron las claves de 1024 bits y empezaron a utilizar certificados SHA-2 de forma predeterminada.i

La impor­ tancia de utilizar tecnologías SSL más seguras

Microsoft y Google anunciaron que pronto dejarían de aceptar certificados SHA-1 que caducaran después del 31 de diciembre de 2015.ii Si aún no ha migrado a SHA-2, Chrome mostrará una advertencia de seguridad a quienes visiten su sitio web, y los certificados dejarán de funcionar en Internet Explorer a partir del 1 de enero de 2017. Symantec también está potenciando el uso del algoritmo ECC, mucho más seguro que el cifrado RSA. En este momento, los navegadores más importantes para equipos de escritorio y dispositivos móviles ya admiten los certificados ECC, que ofrecen tres ventajas principales: 1. Mayor seguridad. Las claves ECC de 256 bits son 10 000 veces más difíciles de descifrar que las claves RSA de 2048 bits de uso estándar en el sector.iii Para descifrar el algoritmo mediante un ataque de fuerza bruta, se necesitaría mucho más tiempo y una potencia de procesamiento mucho mayor. 2. Mejor rendimiento. Anteriormente, muchas empresas tenían miedo a que los certificados SSL ralentizaran el funcionamiento del sitio web y optaban por una adopción parcial que ofrecía una protección muy deficiente. Un sitio web protegido con un certificado ECC requiere menos potencia de procesamiento que otro que utilice un certificado RSA, lo que permite atender más conexiones y usuarios al mismo tiempo. En este momento, adoptar la tecnología Always-On SSL no solo es recomendable, sino que está al alcance de cualquier empresa 3. Perfect Forward Secrecy (PFS). Aunque la tecnología PFS es compatible con certificados basados en RSA y con los basados en el algoritmo ECC, su rendimiento es mejor con estos últimos. Pero ¿qué importancia tiene esto? Si un sitio web carece de protección PFS, un hacker que se apropie de sus claves privadas podría descifrar todos los datos intercambiados en el pasado. Esto es lo que permitía la vulnerabilidad Heartbleed en los sitios web afectados, lo que dejó clara la gravedad de este problema. Con la tecnología PFS, alguien que robe o descifre las claves privadas de los certificados SSL solo podrá descifrar la información protegida con ellas desde el momento del ataque, pero no la intercambiada con anterioridad. En 2014 quedó claro que la tecnología SSL solo es segura si se adopta y mantiene como es debido. Por tanto, es necesario: • Utilizar la tecnología Always-On SSL. Proteja con certificados SSL todas las páginas de su sitio web para que todas las interacciones entre el sitio web y el visitante se cifren y autentiquen.

Uso adecuado de la tecnología SSL

• Mantener actualizados los servidores. No basta con mantener al día las bibliotecas SSL del servidor; toda actualización o revisión debe instalarse cuanto antes para reducir o eliminar las vulnerabilidades que pretende corregir. • Mostrar distintivos de confianza conocidos (como el sello Norton Secured) en zonas bien visibles de su sitio web para demostrar a los clientes que se toma en serio su seguridad. •  Hacer análisis periódicos. Vigile sus servidores web para detectar posibles vulnerabilidades o infecciones con malware. •  Asegurarse de que la configuración del servidor esté actualizada. Las versiones antiguas del protocolo SSL (SSL2 y SSL3) no son seguras. Cerciórese de que el sitio web no las admita y dé prioridad a las versiones más recientes del protocolo TLS (TLS1.1 y TLS1.2). Compruebe si el servidor está bien configurado con herramientas como SSL Toolbox de Symantec.iv

http://www.symantec.com/page.jsp?id=1024-bit-certificate-support http://www.symantec.com/es/es/page.jsp?id=sha2-transition http://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsa iv https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp i

ii

iii

Symantec Website Security Solutions I 20

Para que sus sitios web y servidores estén más protegidos este año, guíese por el sentido común y adopte los hábitos de seguridad que le recomendamos a continuación. • Asegúrese de que los empleados no abran archivos adjuntos de gente que no conozcan.

Conciencie a sus empleados

• Ayúdeles a reconocer los peligros que acechan en las redes sociales. Explíqueles que, si una oferta parece falsa, seguramente lo sea; que la mayoría de las estafas están relacionadas con noticias de actualidad; y que las páginas de inicio de sesión a las que conducen algunos enlaces pueden ser una trampa. • Si un sitio web o aplicación ofrecen autenticación de dos factores, dígales que elijan siempre esta opción. • Pídales que usen contraseñas distintas para cada cuenta de correo electrónico, aplicación, sitio web o servicio (sobre todo si están relacionados con el trabajo). • Recuérdeles que usen el sentido común. No por tener un antivirus es menos grave visitar sitios web dañinos o de naturaleza dudosa.

Los atacantes utilizan técnicas cada vez más agresivas, avanzadas e implacables para lucrarse en Internet, pero las empresas y los particulares tienen muchísimas maneras de protegerse.

Tiene dos opciones: la seguri­ dad o la vergüenza

v

Hoy en día, una empresa que no utilice la tecnología SSL o descuide la seguridad de su sitio web se expone al escarnio público. Incluso puede acabar saliendo en HTTP Shaming, una página creada por el ingeniero de software Tony Webster en la que se señala a los culpables.v Proteger su sitio web con procedimientos y sistemas de seguridad eficaces es la clave para evitar el descrédito y la ruina financiera. Tome nota y, en 2015, protéjase con Symantec.

http://arstechnica.com/security/2014/08/new-website-aims-to-shame-apps-with-lax-security/

21 I Symantec Website Security Solutions

PRÓXIMAMENTE EL WSTR 2015 DE SYMANTEC COMPLETO Y UNA INFOGRAFÍA CON LOS DATOS MÁS IMPORTANTES

Una referencia en materia de seguridad que podrá usar a lo largo del año y compartir con sus compañeros

Symantec Website Security Solutions I 22

PERFIL DE SYMANTEC Symantec Corporation (NASDAQ: SYMC) es una empresa especializada en protección de la información cuyo objetivo es ayudar a particulares, empresas e instituciones gubernamentales a aprovechar libremente las oportunidades que les brinda la tecnología, en cualquier momento y lugar. Symantec, fundada en abril de 1982, figura en la lista Fortune 500, controla una de las mayores redes de inteligencia de datos del mundo y comercializa soluciones líderes en materia de seguridad, copia de seguridad y disponibilidad que facilitan el almacenamiento de información, su consulta y su uso compartido. Cuenta con más de 20 000 empleados en más de 50 países, y el 99 % de las empresas de la lista Fortune 500 son clientes suyos. En el ejercicio fiscal de 2013, registró una facturación de 6 900 millones de dólares estadounidenses. Visite www.symantec.es para obtener más información o go.symantec.com/socialmedia para conectarse con nosotros en las redes sociales.

Más información • Sitio web global de Symantec: http://www.symantec.com/ • Informe sobre las amenazas para la seguridad en Internet (ISTR) y otros recursos útiles de Symantec: http://www.symantec.com/de/de/threatreport/ • Symantec Security Response: http://www.symantec.com/de/de/security_response/ • Buscador de amenazas de Norton: http://de.norton.com/security_response/threatexplorer/ • Índice de cibercrimen de Norton: http://de.norton.com/cybercrimeindex/

23 I Symantec Website Security Solutions

Si desea los números de teléfono de algún país en concreto, consulte nuestro sitio web. Para obtener información sobre productos, llame al 900 931 298 o al (+41) 26 429 77 27

Symantec España Symantec Spain S.L. Parque Empresarial La Finca – Somosaguas Paseo del Club Deportivo, Edificio 13, oficina D1, 28223 Pozuelo de Alarcón, Madrid, España www.symantec.es/ssl

© 2015 Symantec Corporation. Reservados todos los derechos. Symantec, el logotipo de Symantec, el logotipo de la marca de comprobación, Norton Secured y el logotipo de Norton Secured son marcas comerciales o marcas comerciales registradas en los Estados Unidos y en otros países por Symantec Corporation o sus filiales. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios.