Informe anual sobre seguridad en 2013 de TrendLabsSM

En 2013, parece que los fraudes fiscales relegaron a un segundo puesto a los atracos a bancos de la vieja escuela. En poco tiempo, los ciberdelincuentes que utilizaban técnicas sofisticadas para hacerse con números de tarjetas de crédito, cuentas bancarias e incluso información personal identificable (IPI) tomaron el relevo de los ladrones tradicionales. Después de todo, la información es la nueva moneda. Al apoderarse de ella, los ciberdelincuentes pueden controlar a las víctimas a su antojo, lo que debería hacernos tomar conciencia de que podemos perder más de lo que imaginamos.

Durante el año 2013, observamos cómo se optimizaban las amenazas. El número de infecciones de malware orientado a operaciones bancarias online se incrementaba a medida que avanzaba el año, incluso en los países que anteriormente no habían sido un objetivo. Octubre de 2013 fue un mes problemático para los usuarios, ya que aumentó el número de infecciones de ransomware y este tipo de malware tomó una forma todavía más devastadora: CryptoLocker. Esta y otras mejoras que tuvieron lugar el año pasado repercutieron en lo que predijimos que ocurriría: los ciberdelincuentes optimizaron las herramientas existentes en lugar de crear herramientas nuevas.

En el ámbito de la seguridad para dispositivos móviles, fuimos testigos de cómo el volumen de malware para dispositivos móviles y aplicaciones de alto riesgo sobrepasaba el récord de 1 millón ya en septiembre de 2013. El volumen actual ha alcanzado aproximadamente 1,4 millones, de los cuales 1 millón de nuevas aplicaciones maliciosas y de alto riesgo se detectaron en 2013.

Puede que la atención de los medios sobre los ataques dirigidos disminuyera en 2013, pero seguimos encontrando campañas de ataques dirigidos en todo el mundo. Descubrimos ataques orientados a diversos países, como Brasil, Francia y Alemania.

En cuanto a las vulnerabilidades, la finalización de la asistencia a Java™ 6 por parte de Oracle derivó en un mayor número de problemas, que resaltaron riesgos relacionados con la falta de actualización del software o con el uso de versiones de software no compatibles.

En general, aunque hacía tiempo que se producían asaltos contra datos personales, estos no alcanzaron notoriedad pública hasta 2013. Uno de los temas recurrentes del año pasado fue la obtención de información personal, que se vio impulsado por el debate que suscitaron las revelaciones de Edward Snowden acerca de la supervisión del estado sobre los ciudadanos. De hecho, en 2013 se logró que todo el mundo se formulara una de las preguntas más importantes de la actual era digital: ¿cómo podemos proteger nuestra información? Para la mayoría, solamente caben dos respuestas: revelar menos o encontrar productos que nos ayuden a protegernos.

DESCARGAR PDF (ingl.)




Trend Micro Incorporated, líder global de seguridad en la nube, crea un mundo seguro para intercambiar información digital con sus soluciones de seguridad de contenidos de Internet y de gestión de amenazas para empresas y particulares. Trend Micro es una empresa pionera en seguridad de servidores con más de 20 años de experiencia que ofrece seguridad del más alto nivel adaptada a las necesidades de nuestros clientes, detiene las amenazas más rápidamente y protege la información en entornos físicos, virtualizados y basados en la nube. Con el respaldo de la infraestructura de Trend Micro® Smart Protection Network®, nuestra tecnología, productos y servicios de seguridad basados en la nube líderes del sector consiguen detener las amenazas allá donde surgen, en Internet. Además, nuestros clientes cuentan con la asistencia de un equipo de más 1.000 expertos en amenazas en todo el mundo. Para obtener más información, visite www.trendmicro.es.



Copyright © 2014 Trend Micro Incorporated.
Reservados todos los derechos.

12

Sacar partido de la información digital

Informe anual sobre seguridad en 2013 de TrendLabsSM

Todos valoramos enormemente la información. Nos aseguramos de proteger datos confidenciales relacionados con nuestra vida personal y profesional. Proteger esta información nos aporta tranquilidad. Actualmente, sin embargo, parece que la tecnología (un concepto también omnipresente) ha expuesto la información, lo que ha dejado a todo el mundo entre la espada y la pared, sin saber si proteger la información o utilizar la tecnología más innovadora.

No obstante, el uso de tecnología avanzada, ¿realmente implica arriesgarse al robo de datos confidenciales?

Observe cómo los ciberdelincuentes hicieron todo lo posible para exponer y robar información confidencial a cambio de dinero en 2013:

  • Solo en ese año, se detectaron aproximadamente 1 millón de nuevas aplicaciones maliciosas y de alto riesgo de Android™, algunas de las cuales estaban dirigidas a información personal identificable y a datos de dispositivos móviles sin cifrar.
  • Las agencias gubernamentales continuaron siendo el objetivo preferido de los atacantes. Aunque estos se involucraron también en sectores que permitían el espionaje corporativo, como la industria energética, financiera, militar o de telecomunicaciones, entre otras.
  • Los informes sobre el control por parte del estado generaron un gran debate público en torno a los problemas de privacidad.
  • PS4™, Xbox® One, Haiyan y Halloween se encuentran entre los señuelos de ingeniería social más importantes que utilizaron los ciberdelincuentes para ganarse la confianza de sus víctimas y, de este modo, robarles sus datos personales.

Siga leyendo para averiguar cómo unos graves problemas de seguridad pusieron en riesgo la protección del almacenamiento de datos en Internet, mientras se debatía sobre la revelación del control por parte del estado.

DESCARGAR PDF (ingl.)

Se intensificaron los ataques de ransomware y los ciberdelincuentes se lucraron a través de ataques más volátiles

En 2013, se intensificaron los ataques de malware orientados a robar el dinero de las víctimas.

Por ejemplo, surgió una versión más potente de ransomware en forma de CryptoLocker. Además de bloquear los equipos de las víctimas como hacían otros tipos de ransomware o troyanos policiales, CryptoLocker también cifraba sus archivos para que no pudieran borrar el malware y solucionar el problema. Asimismo, CryptoLocker forzaba a las víctimas a pagar 300 dólares americanos por una clave privada que permitía recuperar los archivos con seguridad. Los atacantes aceptaban los pagos en varias monedas criptográficas.

Las investigaciones también destacaron la Red Profunda como uno de los centros sumergidos preferidos. Garantizaba el anonimato de los ciberdelincuentes, lo que dificultaba que las autoridades pudieran atraparlos.

El uso de herramientas y tácticas optimizadas, tal como predijimos, permitía a los ciberdelincuentes obtener acceso a información personal y, de este modo, ganaban aún más dinero.


El ransomware mejoró con el tiempo y las víctimas comenzaron a preocuparse no solo de perder el acceso a sus archivos, sino también el dinero que tanto les había costado ganar.

El volumen de malware orientado a operaciones bancarias online se duplicó en tan solo un año

El volumen de malware orientado a operaciones bancarias online se duplicó en el transcurso de un año. El número total aumentó de aproximadamente medio millón en 2012, a casi un millón a finales de 2013.

Este incremento de las infecciones de malware orientado a operaciones bancarias online siguió siendo una tendencia mundial. Cada trimestre de 2013, los Estados Unidos, Brasil y Japón encabezaban la lista de víctimas.

El incremento en el volumen de infecciones se podía atribuir a factores como el aumento proporcional de la adopción de transacciones bancarias online y a través de dispositivos móviles, un acceso a Internet más rápido y hábitos de navegación Web más seguros.

Dicho incremento en el volumen y la sofisticación del malware orientado a operaciones bancarias online indica que los ciberdelincuentes invierten más en aquellas amenazas que recopilan información para obtener más dinero.

El malware orientado a operaciones bancarias online se dirigió a los usuarios japoneses, que no se consideraban objetivos prioritarios antes de 2013.

Puede que el kit para explotar vulnerabilidades ya no exista, pero el volumen de spam se normalizó a medida que aparecían nuevas alternativas

A pesar de la popularidad que alcanzó hace tan solo un año, el kit para explotar vulnerabilidades dejó de utilizarse paulatinamente desde el arresto de Paunch, su creador. Las ejecuciones relacionadas con el kit no desaparecieron hasta diciembre y el volumen de spam comenzó a volver a la normalidad por aquel entonces.

Desde enero a septiembre de 2013, el volumen de spam se mantuvo dentro de los 6 millones de media. Tras el arresto de Paunch, el número se redujo a 5,9 millones el pasado octubre y hasta los 3,9 millones en noviembre. Sin embargo, no comenzó a estabilizarse hasta el pasado diciembre, cuando alcanzó los 4,1 millones.

La desaparición del kit para explotar vulnerabilidades creó un vacío que los creadores de spam necesitaban llenar. Cutwail y otras redes robot que solían enviar malware relacionado con el kit para explotar vulnerabilidades se adaptaron a la situación y comenzaron a enviar malware como CryptoLocker y UPATRE. Los kits de explotación empezaban a ocupar el lugar del kit para explotar vulnerabilidades, sobre todo Magnitude.

Las campañas de spam relacionadas con el kit para explotar vulnerabilidades utilizaban principalmente bancos y fabricantes de software, además de empresas de otros sectores.

En 2013 se detectaron aproximadamente 1 millón de aplicaciones maliciosas y de alto riesgo de Android

Si bien en 2012 se asentó la presencia del malware para dispositivos móviles, no fue hasta 2013 cuando se constató su prevalencia. Solo en 2013, se descubrieron 1 millón de aplicaciones maliciosas y de alto riesgo de Android, lo cual suma un total de casi 1,4 millones de malware.

La atención de los ciberdelincuentes al envío de amenazas a dispositivos móviles dio paso a la mejora y el crecimiento del volumen de malware. PERKEL, por ejemplo, que estaba dirigido a usuarios de transacciones bancarias a través de dispositivos móviles, utilizaba rutinas mejoradas que le permitían interceptar los mensajes de autenticación enviados por SMS. Entretanto, el troyano FAKEBANK imitaba aplicaciones bancarias legítimas para robar información financiera.

La mayor parte del malware para dispositivos móviles detectado el año pasado se basaba en el abuso de servicios Premium (53%). Otros tipos de malware, como el adware (31%) y el robo de datos (19%), también estaban ampliamente generalizados en el espacio de amenazas para dispositivos móviles.

Se detectaron aplicaciones maliciosas y de alto riesgo tanto en tiendas de aplicaciones de Android legítimas como de terceros. No obstante, los usuarios de iOS también debían permanecer alerta, ya que investigadores del Instituto de tecnología de Georgia encontraron una forma para evitar el proceso de revisión de App StoreSM, tal como ocurrió en 2011, con la aplicación para ocultar comportamientos Jekyll. Dicha aplicación, un troyano, mostró la vulnerabilidad de los dispositivos iOS al acceso remoto y a la ejecución de comportamiento malicioso.

Mientras se siga guardando información íntima y fácilmente identificable en los dispositivos móviles, los ciberdelincuentes desarrollarán rutinas cada vez más sofisticadas (que veremos aparecer este año).

Además de la notable reducción de la base de usuarios de iOS, es probable que la mayor rigurosidad en el proceso de aprobación de aplicaciones de Apple tenga mucho que ver con la disminución del número de ataques contra los propietarios de estos dispositivos.

Los usuarios de dispositivos Android combatieron los fallos y la aplicación de parches siguió suponiendo un problema

En el segundo trimestre de 2013, observamos cómo la vulnerabilidad “master key” de Android afectó a casi todos los dispositivos. No se le aplicó ningún parche, y la vulnerabilidad permitió a los ciberdelincuentes insertar código malicioso en aplicaciones legítimas ya instaladas en los dispositivos.

El siguiente trimestre, los ciberdelincuentes aprovecharon el fallo para troyanizar una conocida aplicación bancaria ofreciendo una actualización en sitios de terceros. Los que descargaron la supuesta actualización se convirtieron en víctimas.

Asimismo, muchos dispositivos Android se vieron infectados por el malware OBAD, que aprovechaba una vulnerabilidad administrativa vital del dispositivo que no disponía de ningún parche.

La aplicación de parches para las vulnerabilidades continuó generando dudas a muchos usuarios de dispositivos Android debido a la complejidad del proceso al que debían someterse las actualizaciones legítimas. Antes de llegar a los usuarios de los dispositivos, los parches pasaban de los fabricantes a los proveedores de servicios.

La complejidad del proceso de actualización de Android pudo ser uno de los motivos por los que los dispositivos que utilizaban este sistema operativo siguieron siendo vulnerables a un gran número de amenazas.

Se produjeron numerosos ataques dirigidos, pese a la escasa atención pública

En lo referente a los ataques dirigidos, “asumir compromisos” se convirtió en el mantra de 2012. Se instó a las organizaciones a fortalecer sus defensas, ya que era cuestión de tiempo que sufrieran filtraciones.

Lamentablemente, en 2013 los atacantes pulieron sus métodos para seleccionar redes objetivo e infiltrarse en ellas. Algunos incidentes importantes proporcionaron a los objetivos potenciales motivos concretos para plantearse más rápidamente cómo proteger sus “joyas de la corona”:

  • Apropiación de todo tipo de soportes para que quedara constancia. La campaña EvilGrab robaba archivos de audio, fotos y vídeos, así como credenciales de usuario, de una sola vez. Los ataques se produjeron mayoritariamente en China (36%) y Japón (18%), aunque también se dirigieron a otros gobiernos de Asia y Europa.
  • Cuantos más objetivos, mayor es el éxito. La campaña Safe atacó a objetivos específicos de los sectores de la tecnología y los medios de comunicación, así como al mundo académico, en más de 100 países. Afectó a una media de 71 víctimas al día utilizando únicamente dos conjuntos de infraestructura de comando y control (C&C) formados por casi 12.000 direcciones IP únicas.

Los ataques dirigidos siempre estaban orientados a obtener información valiosa, lo que exponía a instituciones y empresas a pérdidas económicas y al deterioro de la reputación. En 2013 se llevaron a cabo ataques muy estudiados y altamente personalizados contra una amplia variedad de objetivos. No se informó de la mayoría de los ataques, por lo que los clientes de las víctimas no recibieron ninguna compensación.

Los atacantes no hicieron discriminación entre países en 2013. Sin embargo, los países asiáticos, especialmente Japón y Taiwán, fueron los más afectados.
Nota: este gráfico muestra los datos sobre los ataques dirigidos de los que realizamos un seguimiento durante 2013.

Los objetivos de gran valor sufrieron filtraciones de datos

Diversos objetivos de perfil alto sufrieron filtraciones de datos en 2013. Evernote, una aplicación para tomar notas, tuvo que restablecer 50 millones de contraseñas cuando unos atacantes robaron los nombres de usuario, las direcciones de correo electrónico y las contraseñas de sus clientes. LivingSocial, un sitio Web de ofertas diarias, se vio obligado a restablecer el mismo número de contraseñas para los clientes a los que les habían robado sus nombres de usuario, direcciones de correo electrónico, fechas de cumpleaños y contraseñas.

El deterioro de reputaciones y los problemas legales fueron solo algunas de las numerosas consecuencias con las que las organizaciones que sufrieron filtraciones tuvieron que lidiar el año pasado. En 2013 se hizo patente que, cuando se trata de objetivos de gran valor, la confidencialidad y privacidad de los datos se traduce en importantes inversiones en condiciones reales.

Cualquier empresa que guarde datos (propios o ajenos) está expuesta a las filtraciones.

Las operaciones en condiciones reales corrieron el riesgo de sufrir ciberataques

En 2013, los avances de la ciberdelincuencia se hicieron más evidentes, ya que, poco a poco, los ataques de prueba de concepto (PoC) que podían paralizar operaciones en condiciones reales llegaron a todo el mundo.

Un ataque de red contra instituciones de Corea del Sur que abarcó a tres de los bancos principales, paralizó unos 30.000 equipos, incluidos cajeros automáticos. Este ciberataque masivo demostró que las amenazas post PC podían alcanzar sistemas básicos, la infraestructura de actualización automática podía convertirse en un sistema de envío de malware y los productos de seguridad podían transformarse en objetivos viables.

Creemos que este año los ciberdelincuentes aprenderán a atacar infraestructuras críticas, por ejemplo, sistemas de control industrial (ICS) y tecnologías de radiofrecuencia como el sistema de identificación automático (AIS).

Puede que todavía no hayamos visto este tipo de amenazas este año, pero es solo cuestión de tiempo que los ciberdelincuentes intenten atacar dichas infraestructuras para obtener beneficios.

Adobe fue la empresa que más filtraciones de datos sufrió en 2013, lo que indica que ninguna organización, independientemente de su tamaño, está a salvo de los ciberataques.

Se han observado ataques a vulnerabilidades de día cero directos

Desde principios de 2013, se observaron vulnerabilidades de día cero tanto en software de Java™ como de Adobe®. El propio Departamento de Seguridad Nacional de los Estados Unidos solicitó a los usuarios que dejaran de utilizar Java hasta que se contara con un parche.

Sin embargo, justo cuando comenzaban a solucionarse los problemas, los kits de explotación incluyeron vulnerabilidades dirigidas a Java 6, poco después de que Oracle dejara de proporcionar asistencia para el software. Los ataques se sucedieron y en el tercer trimestre de 2013, Oracle dio a conocer 31 fallos de Java 6 que nunca tendrían parche. Todavía hay un gran número de usuarios de Java que utilizan esta versión: todos ellos están expuestos y seguirán estándolo hasta que realicen la actualización correspondiente.

Se prevé que ocurrirá lo mismo con los usuarios de Windows® XP cuando Microsoft retire la asistencia para el sistema operativo en abril de este año.

Estas son algunas de las pruebas concretas de los riesgos derivados del uso de un software antiguo y sin asistencia:

  • Los ataques a vulnerabilidades de día cero estaban dirigidos a los fallos de Adobe Flash® y Adobe Reader®. Se engañaba a los usuarios para que descargaran archivos adjuntos malicioso .SWF o .PDF, respectivamente.
  • Otro ataque a una vulnerabilidad de día cero estaba dirigido a las primeras versiones de Plesk, una conocida solución de alojamiento. Este fallo permitía a los ciberdelincuentes atacar servidores Web a los que probablemente no se iba a aplicar parches, ya que se ejecutaban en versiones Plesk que ya no contaban con asistencia.
  • Los atacantes aprovecharon una vulnerabilidad crítica de Ruby on Rails™, por la que los servidores sin parches eran vulnerables a actividades maliciosas como entrar a formar parte de una gran red robot de Internet Relay Chat (IRC).

Por desgracia, todavía se pueden encontrar diversos tipos de software sin parches tanto en equipos personales como de empresa. Utilizar estos tipos de software es casi como permitir a los ciberdelincuentes acceder a su información privada.

Las vulnerabilidades del software de Java han sido ampliamente atacadas, lo que convierte a Oracle en el propietario de uno de los tipos de software más atacados hasta el momento.

La supervisión nacional generó dudas sobre la privacidad

Muchos consideraron la revelación del espionaje del gobierno realizada por el exempleado de la Agencia Nacional de Seguridad (NSA), Edward Snowden como un acto de honradez, pero no todos. Sin embargo, hay una cosa clara: a partir de ahora, la gente confiará menos en los grandes grupos organizados con intereses particulares.

El miedo a la supervisión del estado se unió a los riesgos conocidos del tándem vida digital-privacidad personal. El caso Snowden mostró cuánta información se podría obtener de manos de organizaciones importantes. En el pasado, solo teníamos que preocuparnos de que los ciberdelincuentes no nos robaran información confidencial. En 2013, nos dimos cuenta de que incluso las grandes instituciones de confianza podían hacer lo mismo.

De hecho, en 2013 se logró que todo el mundo se formulara una de las preguntas más importantes de la actual era digital: ¿cómo podemos proteger nuestra información? Para la mayoría, solamente caben dos respuestas: revelar menos o encontrar productos que ayuden a proteger la información.

Proteger los secretos debería ser una prioridad para todos.

Se detectaron amenazas para la vida digital en plataformas sociales: un negocio habitual de la ciberdelincuencia

En 2013, observamos cómo los ciberdelincuentes volvían a utilizar eficaces ataques contra las redes sociales para causar estragos en las vidas digitales de los usuarios. Twitter se utilizaba para anunciar herramientas de piratería que otorgaban acceso a otras cuentas de Facebook y Twitter. Los usuarios de Instagram se vieron amenazados por numerosas estafas que ofrecían seguidores gratis. También aparecieron varios fraudes de Facebook, Tumblr, Pinterest y otras redes sociales.

Asimismo, los ciberdelincuentes aprovecharon el lanzamiento de artilugios famosos como PS4® y Xbox® One, desastres naturales como el tifón Haiyan, celebraciones multitudinarias como Halloween, etc. Los correos electrónicos de phishing continuaron siendo la forma más utilizada por los ciberdelincuentes para robar información personal como los ID de Apple, que se seguían vendiendo de forma clandestina.

Nuestras vidas digitales continuarán viéndose amenazadas por las mejoras en las herramientas y las tácticas de ataque. Mientras los ciberdelincuentes sigan orientando sus ataques a nuestros intercambios personales e interacciones sociales, deberemos permanecer atentos, especialmente ante los problemas del robo de datos y el robo digital.

En 2013, observamos cómo los ciberdelincuentes volvían a utilizar eficaces ataques contra las redes sociales para causar estragos en las vidas digitales de los usuarios. Twitter se utilizaba para anunciar herramientas de piratería que otorgaban acceso a otras cuentas de Facebook y Twitter. Los usuarios de Instagram se vieron amenazados por numerosas estafas que ofrecían seguidores gratis. También aparecieron varios fraudes de Facebook, Tumblr, Pinterest y otras redes sociales.

Asimismo, los ciberdelincuentes aprovecharon el lanzamiento de artilugios famosos como PS4® y Xbox® One, desastres naturales como el tifón Haiyan, celebraciones multitudinarias como Halloween, etc. Los correos electrónicos de phishing continuaron siendo la forma más utilizada por los ciberdelincuentes para robar información personal como ID de Apple, que se seguían vendiendo de forma clandestina.

Nuestras vidas digitales continuarán viéndose amenazadas por las mejoras en las herramientas y las tácticas de ataque. Mientras los ciberdelincuentes sigan orientando sus ataques a nuestros intercambios personales e interacciones sociales, deberemos permanecer atentos, especialmente ante los problemas del robo de datos y el robo digital.

Como de costumbre, los ciberdelincuentes utilizaron los temas, eventos, películas, artilugios y desastres naturales más comentados para atraer al mayor número de víctimas posible a sus trampas especialmente diseñadas.