Trend Micro - Securing Your Journey to the Cloud

one site fits all

Aumento de pérdidas, mayor necesidad de preparación frente a los ciberataques

X
  • Informe anual sobre seguridad en 2014 de TrendLabs
  • DESCARGAR PDF (ingl.)

2014, EL PEOR EN AÑOS

El año 2014 estuvo plagado de importantes filtraciones, vulnerabilidades difíciles de parchear y prósperas economías sumergidas basadas en la ciberdelincuencia. En él se condensaron amenazas de enormes proporciones, cuyas consecuencias derivaron en la pérdida de miles de millones por parte de las empresas y en la pérdida o el robo de una cantidad incalculable de información personal identificable (IPI) perteneciente a particulares.

En 2014, el mundo fue testigo del mayor ataque del que se tiene constancia y que causó la pérdida de aproximadamente 100 terabytes de datos y hasta 100 millones de dólares en daños a Sony Pictures Entertainment Inc. (SPE). En un memorándum interno facilitado a los empleados de Sony Pictures, la filtración se describió con frases como “sin precedentes” y “un delito incomparable y bien planeado”. El incidente ocupó los titulares de los medios de comunicación durante semanas y desencadenó nuevas historias. Por ejemplo, se dijo que eran escenas sacadas de una película, que era consecuencia de la decisión de Sony de cancelar el estreno de la película “La entrevista” o que los empleados de la empresa habían interpuesto una demanda colectiva a la empresa. De hecho, todas estas noticias conformaron los detalles de una filtración de seguridad que se ha traducido en una gran variedad de pérdidas e impactos empresariales negativos.

La filtración de Sony Pictures constituye un caso de análisis no solo para las empresas sino también para los profesionales de TI, ya que ha revelado la importancia de la detección de intrusos en las redes. El malware utilizado en la filtración, WIPALL, no es muy sofisticado y el ataque se podría haber detectado con el conocimiento adecuado sobre la red y sus posibles anomalías. Se trata de un perfecto recordatorio para los profesionales de TI sobre la importancia de contar con una defensa personalizada y por capas en redes muy grandes.

Volviendo la vista atrás, no olvidemos que 2014 inició su andadura con los cabos sueltos de la filtración de datos de Target, que se produjo en 2013 y afectó a más de 100 millones de clientes. La filtración de Target marcó el inicio de un alarmante patrón en el uso del malware que acabó convirtiendo a 2014 en el “Año del malware para terminales de punto de venta (TPV)”.

Las filtraciones de TPV son amenazas bastante establecidas, que generan informes de incidentes de seguridad como mínimo una vez al mes. El crecimiento de los ataques a TPV se debe a la continua demanda de datos de tarjetas de crédito robadas en los mercados negros de la ciberdelincuencia. Las nuevas variedades de malware para TPV, como Alina, evolucionaron directamente de familias de raspadores de RAM para TPV más antiguas, como Backoff. Estas variantes se utilizaron en ataques contra el sector minorista, de envíos, de viajes y del transporte.

 Cronología de los incidentes provocados por raspadores de RAM para TPV y los daños derivados en 2014

Para las empresas a las que se dirigen las amenazas de TPV, las consecuencias pueden ser muy importantes. Según el Instituto Ponemon, antes de la filtración de Sony Pictures (por lo que el estudio tampoco contempla las pérdidas sufridas), el coste de una filtración de datos presentaba una clara tendencia alcista a mediados de 2014. El coste medio pagado por cada registro perdido o robado con información privada y confidencial aumentó más del nueve por ciento (9%), de 136 $ en 2013 a 145 $ en 2014.

Sin embargo, los minoristas no eran los únicos que se enfrentaban a estos problemas. A raíz de varios incidentes de TPV que tuvieron lugar en 2014, se descubrió que los ciberdelincuentes responsables habían comenzado a atacar objetivos fuera de los centros comerciales o tiendas minoristas habituales, así como objetivos en aeropuertos, estaciones de metro e incluso aparcamientos.

Tampoco ayuda el hecho de que muchas de las filtraciones de perfil alto estén respaldadas o inducidas por SQL Injection, secuencias de sitios cruzados (XSS), autenticaciones defectuosas y otras vulnerabilidades existentes en las aplicaciones Web. La mayoría de usuarios digitales todavía son vulnerables a los ataques de ciberdelincuencia que aprovechan los fallos del software de uso generalizado. En 2014, se detectaron y se comunicaron diecinueve vulnerabilidades críticas de software generalizado como Internet Explorer, Adobe Acrobat/Reader, Adobe Flash, y Java.

Ese mismo año también surgieron numerosas vulnerabilidades de orígenes diversos y difíciles de parchear. Fallos destacables como Heartbleed, Shellshock y Poodle pusieron en el punto de mira de los ataques más extendidos a los usuarios de plataformas y software de código abierto que anteriormente estaban protegidos.

“Suele decirse que el software de código abierto es intrínsecamente más seguro porque se revisa más y, por lo tanto, es más probable detectar cualquier vulnerabilidad. Sin embargo, no siempre es así, tal como se ha demostrado con OpenSSL y Bash”, explicaba Pawan Kinger, director de Trend Micro Deep Security Labs.

Exposición de las vulnerabilidadesComparativa de la exposición de vulnerabilidades de perfil alto reveladas en 2014

Las vulnerabilidades que afectan a las plataformas de dispositivos móviles también son fuente de preocupaciones. El año pasado, los investigadores descubrieron el fallo FakeID, una vulnerabilidad con la que las aplicaciones maliciosas suplantaban aplicaciones legítimas y que afectó aproximadamente al 82% de los usuarios de Android en aquel momento. De forma similar, todas las versiones, salvo Android 4.4 (KitKat), experimentaron un fallo de amplio alcance que ayudó a los ciberdelincuentes a eludir la política del mismo origen (SOP) de Android. Esta política protege a los usuarios de Android de los ataques de secuencias de sitios cruzados (UXSS), capaces de robar datos y cookies introducidos por los usuarios en sitios Web legítimos. Desde entonces, la vulnerabilidad de la SOP se ha explotado con ataques dirigidos a usuarios de Facebook.

Dejando a un lado los inconvenientes que provoca el creciente número de vulnerabilidades de Android, no olvidemos que los usuarios de la plataforma iOS también tienen que lidiar con sus propios problemas. La vulnerabilidad Goto Fail de iOS expuso a los usuarios de la versión 7 de este sistema operativo a ciberdelincuentes que intentaban espiar sesiones de dispositivos móviles en redes compartidas.

Del mismo modo, observamos cómo los puntos débiles de otros sistemas para móviles ponían en peligro las transacciones bancarias realizadas con estos dispositivos. Ataques como la Operación Emmental desterraron la idea de que la autenticación de dos factores a través de SMS era suficiente para protegerse de posibles fraudes. Esta operación en concreto se dirigió a usuarios de Austria, Suecia, Suiza, otros países europeos y, finalmente, a usuarios de Japón.

Cifras del malware financiero/dirigido a operaciones bancarias en dispositivos móviles

Todas estas vulnerabilidades, combinadas con una cantidad desproporcionada de malware, spam y URL maliciosas de distinta antigüedad, han facilitado la irrupción de la ciberdelincuencia en la vida digital de usuarios de Internet de todo el mundo. Los atacantes siguen intentando descubrir cómo se comportan normalmente los usuarios en contextos sociales. El aumento de la actividad durante las vacaciones destapó interesantes señuelos de ingeniería social, que permitieron realizar un descubrimiento bastante perturbador: todavía existen cepas de ransomware de cifrado, se están extendiendo a diversas regiones y muchas de ellas realmente cifran archivos en lugar de generar amenazas inofensivas. Por ejemplo, los ataques de ransomware en la región EMEA (Europa, Oriente Medio y África) utilizaron durante las vacaciones el envío de paquetes como señuelo de ingeniería social para difundir un archivo .ZIP plagado de ransomware. Concretamente, la variante de ransomware CoinVault incluía en el paquete el descifrado gratuito de un archivo para mostrar a las víctimas que los archivos “secuestrados” se podían recuperar pagando una cantidad determinada.

El ransomware, el malware bancario online, las aplicaciones falsas... Todas estas amenazas indican la existencia de economías sumergidas basadas en la ciberdelincuencia que pretenden robar información de empresas y clientes. En estos mercados negros, de gran pujanza en diferentes partes del mundo, es donde los hackers y los atacantes rentabilizan sus campañas y actividades maliciosas online. Se trata de centros de ciberdelincuencia virtuales en Internet donde “los malos” se reúnen para comprar y vender diferentes productos y servicios.

En 2014, fuimos testigos de la evolución del precio de los datos personales robados en los mercados globales. También observamos cómo los precios variaban según el mercado. Por ejemplo, las credenciales de una cuenta online en Brasil pueden llegar a valer tan solo 50 $, mientras que en China se pueden llegar a ofrecer hasta 1.627 $.

Asimismo, cada mercado negro ofrece en exclusiva sus propios servicios destacados y especializados. El mercado negro brasileño es la fuente de herramientas más común para los fraudes bancarios, las páginas de phishing y otros productos y servicios relacionados con los timos. Incluso ofrece servicios de formación para personas que desean convertirse en ciberdelincuentes. El mercado negro ruso es conocido por sus servicios de pago por instalación, que generan tráfico hacia sitios maliciosos. Por su parte, el mercado chino vende servicios de ataque DDoS, hosts o redes robot peligrosos y otros productos y servicios, además de herramientas para ataques a dispositivos móviles (software de envío de spam por SMS, servidores de SMS, etc.).


LAS AMENAZAS A LAS QUE NOS ENFRENTAMOS

Somos testigos de las consecuencias directas que supone no proteger adecuadamente nuestra información digital. Entre otros inconvenientes, implica una pérdida de tiempo y dinero. Le recomendamos que se familiarice con las amenazas que nos rodean actualmente y se plantee que el conocimiento es el primer paso hacia la protección.

En el año 2014, Trend Micro Smart Protection Network™ bloqueó un total de 65.058.972.693 amenazas, es decir, más de 65.000 millones.


Las tres principales familias de malware de estas amenazas eran SALITY (96.000), DOWNAD (80.000) y GAMARUE (67.000). SALITY es una conocida familia de infectores de archivos; DOWNAD, una familia de malware gusano que puede explotar vulnerabilidades y modificar entradas de registro y GAMARUE, una familia con variantes que suelen provenir de otros tipos de malware.

Tres familias de malware en el tercer y cuarto trimestre de 2014

Actualmente, el total de malware de Android asciende a 4.258.825, es decir, alrededor de 4,3 millones, aproximadamente el triple del total de malware de Android contabilizado en 2013 (1,3 millones).

Número acumulado de malware de Android por trimestre

 El número de malware de iOS aumentó un 80% en comparación con 2013.

Recuento de las muestras de malware de iOS

EL PRECIO DE LA AUTOCOMPLACENCIA

Durante el año 2014, debido a los fallos cometidos a la hora de proteger la información digitalizada, se produjeron los ataques más desagradables. Se ha observado que los cimientos de algunos sistemas globales son bastante precarios y adolecen de fallos de software, hábitos digitales poco seguros o falta de iniciativas para afrontar la ciberdelincuencia.

Los usuarios parecen no darse cuenta. Pese a la exposición a noticias sobre filtraciones de datos perpetradas contra minoristas, su actitud frente a la seguridad apenas ha cambiado. En una encuesta de RSA diseñada para comprobar la actitud de los usuarios frente a las compras online y a la seguridad de los dispositivos móviles, casi la mitad (45%) de los encuestados no reveló ningún cambio en su comportamiento a la hora de utilizar tarjetas de crédito y débito pese a ser conscientes de la existencia de filtraciones de minoristas. Aproximadamente 7 de cada 10 encuestados admitió utilizar la misma contraseña en más de un dispositivo o sitio Web.

“Puede que la gente piense que la información financiera es la más valiosa, pero no siempre es así”, afirma el director de tecnología de Trend Micro Raimund Genes. “En algunos casos, la filtración de su información personal puede ser mucho más peligrosa. Puedo cambiar mi tarjeta de crédito fácilmente pero, a menos que me mude, no puedo cambiar de dirección. Tampoco puedo cambiar la fecha de mi cumpleaños. La información personal identificable no solo identifica al usuario, sino que normalmente también es difícil, cuando no imposible, de cambiar”, concluye.

Por otro lado, las empresas, las agencias gubernamentales y otras organizaciones que gestionan grandes cantidades de datos son grandes objetivos para los atacantes. Dado que el coste de la filtración de datos está en aumento, las empresas deberían aprovechar la oportunidad para mejorar significativamente su seguridad digital.

Durante seis meses, un proveedor de servicios para profesionales de multinacionales preguntó a 500 ejecutivos, expertos en seguridad y otros empleados del sector público y privado de Estados Unidos sobre sus “prácticas de ciberseguridad y el estado de riesgo, así como sobre la disposición para combatir las amenazas cibernéticas, en constante evolución, y a los agentes que las generan”.

El estudio confirmó una verdad incómoda que muchos ejecutivos desconocían: “los incidentes de ciberseguridad se producen cada vez con mayor frecuencia y acarrean costes superiores, y los programas de las organizaciones estadounidenses no pueden competir con la persistencia y destreza tecnológica de sus adversarios cibernéticos”.

Y, ¿qué deberían hacer las empresas?

“No existe una solución que se adapte a todas las situaciones para hacer frente a los ataques dirigidos; las empresas necesitan una protección que les proporcione detectores donde corresponda, así como personal de TI con equipos que permitan reconocer anomalías en la red y actuar en consecuencia” explica Ziv Chang, el director de seguridad cibernética de Trend Micro.

[Lea: 7 lugares donde buscar señales de un ataque dirigido en su red (ingl.)]

Como consecuencia de los efectos a gran escala del año pasado, las fuerzas de los mercados experimentan cambios constantes. En Estados Unidos, por ejemplo, ya se están negociando reformas que transfieren la responsabilidad durante las filtraciones de las instituciones financieras a los comerciantes. Se espera que nuevas medidas como los estándares de Europay, Mastercard y Visa (EMV) y los estándares para el cumplimiento de la normativa PCI DSS v3.0 actualicen los sistemas y entornos de pago online para protegerlos de los ataques a TPV.

Asimismo, las repercusiones de estas filtraciones influyen directamente en el modo en el que los legisladores y los clientes reaccionan antes las empresas. Debido a las filtraciones, los clientes de los bancos y otras instituciones financieras son menos leales que antes. Ahora que la autenticación de dos factores supone un riesgo, cada vez se exige más a los bancos que apliquen medidas de seguridad adicionales.

“Teniendo en cuenta la evolución de las amenazas, las entidades bancarias deberían mejorar los procesos de verificación para usuarios online y de dispositivos móviles e implementar el método DMARC (autenticación, notificación y conformidad de mensajes basada en dominios)”, destaca Tom Kellerman, vicepresidente de seguridad cibernética de Trend Micro.

Además, el problema de fragmentación del sistema operativo Android sigue retrasando el suministro de parches para los dispositivos móviles, lo que aumenta el tiempo de exposición de la mayoría de usuarios de Android.

Todo el debate generado en torno a la seguridad digital en 2014 nos ayuda a hacernos una idea de la gravedad del problema, que afecta tanto a multinacionales (p. ej., Sony Pictures) como a pequeñas empresas o minoristas. Independientemente de la cantidad de datos gestionados, su falta de protección los convierte en un objetivo para la ciberdelincuencia. El riesgo es real y ha llegado el momento de que las empresas den un paso al frente.

Los sistemas globales se rigen por las normas de un conjunto de accionistas peligrosamente autocomplacientes, lo que hace temer que los ataques sean cada vez más sofisticados. Esto no significa que los ciberdelincuentes dejen de emplear las viejas amenazas en sus ataques, tal como ha demostrado la filtración de Sony, donde se utilizó la simplicidad del malware WIPALL. Hoy en día, ni los usuarios ni las empresas deberían jugársela con la seguridad. Dado el coste que puede suponer, ser simplemente autocomplaciente no dista mucho de ser insensato.

El gobierno y los sectores privados ya han comenzado a incrementar las medidas relacionadas con la seguridad cibernética. No obstante, tenga en cuenta que no existe ningún remedio infalible para bloquear las amenazas y afianzar la protección. La mejor arma para garantizar la seguridad de usuarios y empresas sigue siendo la utilización de un sistema de defensa personalizado y por capas capaz de identificar proactivamente las amenazas dirigidas a cada objetivo.

Informe anual sobre seguridad en 2014 de TrendLabs: se produjeron pérdidas financieras sustanciales y daños irreparables en la reputación a causa del robo de cantidades ingentes de datos confidenciales por parte de atacantes que proliferaron en 2014. La gravedad de los ataques y sus efectos revelaron que el riesgo de convertirse en la siguiente víctima de un ciberataque había aumentado notablemente.

El panorama de la seguridad en 2014 fue uno de los más complicados debido a la gravedad y el impacto de los ataques perpetrados. La mejor arma para garantizar la seguridad de usuarios y empresas sigue siendo la utilización de un sistema de defensa personalizado y por capas capaz de identificar proactivamente las amenazas dirigidas a cada objetivo.

2014, EL PEOR EN AÑOS
Más información
2014, EL PEOR EN AÑOS
Más información
El año 2014 estuvo plagado de importantes filtraciones, vulnerabilidades difíciles de parchear y prósperas economías sumergidas basadas en la ciberdelincuencia.
LAS AMENAZAS A LAS QUE NOS ENFRENTAMOS
Más información
LAS AMENAZAS A LAS QUE NOS ENFRENTAMOS
Más información
Somos testigos de las consecuencias directas que supone no proteger adecuadamente nuestra información digital.
EL PRECIO DE LA AUTOCOMPLACENCIA
Más información
EL PRECIO DE LA AUTOCOMPLACENCIA
Más información
Durante el año 2014, debido a los fallos cometidos a la hora de proteger la información digitalizada, se produjeron los ataques más desagradables.