INFORME SOBRE LAS AMENAZAS PARA LA SEGURIDAD DE LOS SITIOS WEB 2013

Transcripción

1 INFORME SOBRE LAS AMENAZAS PARA LA SEGURIDAD DE LOS SITIOS WEB ª PARTE

2 PREÁMBULO Está leyendo la edición de 2013 del informe sobre las amenazas para la seguridad de los sitios web elaborado por Symantec. Este documento está ligado a otro más amplio que publicamos todos los años: el informe sobre las amenazas para la seguridad en Internet. En estas páginas, pasaremos revista a lo ocurrido el pasado año para hacer balance de los peligros que acechan en la Red y que podrían afectar a su sitio web y a su negocio. En Internet, la reputación y el éxito de su empresa dependen de lo seguro que parezca su sitio web a quienes lo visitan. No solo hay que saber ganarse la confianza de los clientes, sino también mantenerla. El protocolo SSL/TLS, pilar de la confianza en la Red desde hace más de una década, resulta muy útil en este sentido, pues sigue ofreciendo una protección intachable frente a las amenazas, que evolucionan constantemente. Aunque se base en tecnologías complejas e innovadoras, su objetivo es sencillo: lograr que las transacciones en Internet sean más seguras para usted, para sus clientes y para todos aquellos que interactúen con su empresa. Este documento le pondrá al día de los peligros a los que se enfrenta en la actualidad y le ayudará a mantener a salvo su infraestructura y su empresa. Si desea más información, llame al o visite Symantec-wss.com/es. pág. 2

3 VULNERABILIDADES ATAQUES Y KITS DE HERRAMIENTAS

4 VULNERABILIDADES, ATAQUES Y KITS DE HERRAMIENTAS Introducción Según estudios recientes realizados por el Ponemon Institute, en 2012 hubo un 42 % más de ataques cibernéticos, lo que hizo que las pérdidas económicas relacionadas aumentaran en un 6 %. Para las empresas, estas cifras se traducen en un preocupante coste medio de dólares estadounidenses. 1 Y es que los cibercriminales cada vez tienen más vulnerabilidades que explotar y con las que lucrarse. Aunque pocos reúnen las competencias necesarias para detectar vulnerabilidades, buscar maneras de aprovecharlas y llevar a cabo los ataques, esto no es impedimento para quienes quieren hacerlo, ya que existe un boyante mercado negro de kits de herramientas que les da el trabajo hecho. Los hackers se ocupan de encontrar, explotar o vender vulnerabilidades; los creadores de kits de herramientas escriben o compran el código necesario y lo incorporan a sus «productos»; por último, los cibercriminales compran o roban las versiones de los kits más recientes para lanzar ataques masivos sin siquiera aprender las técnicas necesarias para hacerlo. Datos Panorama general en 2012 Se explotaron más vulnerabilidades de día cero que el año anterior (catorce en lugar de ocho). Al arrimo de la industria del cibercrimen, que mueve miles de millones de dólares, ha surgido un mercado negro cada vez más complejo. Si una vulnerabilidad se ha hecho pública (y, en ciertos casos, antes), lo más probable es que haya un kit de ataque a la venta para aprovecharla. Las infecciones provocadas por descargas no autorizadas al visitar un sitio web aumentaron en un tercio. Posiblemente, muchos de estos ataques estén relacionados con la publicidad dañina (malvertising). El malware Flashback infectó unos equipos Mac. El kit de herramientas Sakura, cuyo efecto fue mínimo en 2011, se utilizó para un 22 % de los ataques realizados con kits de herramientas. En algunos meses, su uso llegó a superar al del kit Blackhole. Porcentaje de vulnerabilidades en distintos navegadores ( ) Fuente: Symantec Porcentaje de vulnerabilidades en distintos tipos de complementos ( ) Fuente: Symantec 50 % Apple Safari Google Chrome Mozilla Firefox Microsoft Internet Explorer Opera 50 % Adobe Flash Player Oracle Sun Java Adobe Acrobat Reader Apple QuickTime pág. 4

5 VULNERABILIDADES, ATAQUES Y KITS DE HERRAMIENTAS N.º total de vulnerabilidades Fuente: Symantec ENE FEB 527 MAR ABR 422 MAY JUN JUL AGO SEP 517 OCT NOV 292 DIC En 2012, se hicieron públicas 5291 vulnerabilidades, frente a las 4989 de A lo largo del año, la cifra de vulnerabilidades conocidas osciló entre las 300 y 500 mensuales. En 2012, el software SCADA (Supervisory Control And Data Acquisition) se vio afectado por 85 vulnerabilidades conocidas, un número mucho más bajo que el registrado el año anterior (129). En 2011, se detectaron 315 vulnerabilidades relacionadas con los dispositivos móviles. En 2012, la cifra ascendió a 415. Vulnerabilidades de día cero Fuente: Symantec Las vulnerabilidades de día cero son aquellas que los atacantes logran aprovechar antes de que se detecten y se haga pública una solución. En 2012, se notificaron catorce vulnerabilidades de día cero (hasta tres al mes). ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC pág. 5

6 VULNERABILIDADES, ATAQUES Y KITS DE HERRAMIENTAS Análisis Aumento del número de ataques basados en Web Los ataques basados en Web que infectan a la víctima cuando visita un sitio web legítimo pero con código dañino han aumentado casi en un tercio. La empresa o el consumidor afectados no se dan cuenta de lo ocurrido porque ni ellos ni el propietario del sitio web sospechan que, previamente, alguien ha instalado un kit de herramientas de ataque que contiene la carga útil del malware. Una empresa que utilice solamente programas antivirus basados en firmas estará desprotegida frente a este tipo de ataques, ya que la carga útil que se inocula mediante los kits de herramientas basados en Web suele generarse de forma dinámica o mutar mediante técnicas de polimorfismo en el servidor. El malware, que se instala a través de código JavaScript oculto o de unas cuantas líneas de código que redirigen al usuario a otro sitio web, resulta muy difícil de detectar. Una vez instalado, analiza el sistema de todos los visitantes hasta encontrar una vulnerabilidad en el navegador o el sistema operativo que le permita instalar malware en el equipo de la víctima. Muchas empresas y consumidores sucumben a este tipo de ataques porque no tienen instaladas en sus equipos las revisiones más recientes de complementos del navegador como Adobe Flash Player, Acrobat Reader y la plataforma Java de Oracle. Los consumidores suelen olvidarse de instalarlas, pero en las empresas más grandes, el problema suele ser otro. Muchos sistemas clave dependen de versiones antiguas, lo que complica la gestión de las revisiones, ralentiza las actualizaciones y, en definitiva, aumenta el riesgo de ataques basados en Web. Conviene destacar que el número de vulnerabilidades no se corresponde con el nivel de riesgo. Una sola vulnerabilidad en una aplicación basta para poner en grave peligro a una empresa si alguien logra aprovecharla. En 2013, Symantec seguirá profundizando en el uso de kits de ataque basados en Web para explotar vulnerabilidades. Un dato importante es que el éxito de los ataques basados en Web no tiene que ver con las vulnerabilidades de día cero más recientes. El número de ataques que tienen su origen en sitios web infectados ha aumentado en un 30 %, mientras que solo se detecta un 6 % más de vulnerabilidades. En la mayoría de los casos, los ataques se deben a que no se han aplicado las revisiones necesarias para solucionar vulnerabilidades conocidas desde hace tiempo. La explotación de vulnerabilidades, una carrera armamentística En 2012, aumentaron las vulnerabilidades de día cero. Catorce de las utilizadas por primera vez como vía de ataque pasaron inadvertidas (algo que en 2011 ocurrió solo en ocho ocasiones) se detectaron e hicieron públicas (un ligero aumento con respecto a 2011, cuando hubo 4989 casos de este tipo). Además, se contabilizaron más vulnerabilidades en los dispositivos móviles: 415, frente a las 315 detectadas en Los grupos organizados, como el responsable de los ataques del proyecto Elderwood, tratan continuamente de descubrir posibles fallos en los navegadores web, sus complementos y otros programas de uso cotidiano. En cuanto una vulnerabilidad se hace pública, enseguida encuentran otra que aprovechar, lo que demuestra su avanzado modus operandi. Los cibercriminales y los desarrolladores de software se hallan inmersos en una carrera armamentística. A los primeros les cuesta mucho menos detectar nuevas vulnerabilidades y explotarlas que a los segundos subsanarlas. Algunos proveedores de software solo publican revisiones trimestralmente, y otros son lentos a la hora de reconocer sus vulnerabilidades. Tampoco faltan los que sacan actualizaciones a tiempo, pero las empresas suelen tardar en implementarlas. Las vulnerabilidades de día cero constituyen una grave amenaza para la seguridad, pero las conocidas también son peligrosas si no se les presta atención. Por mucho que existan revisiones para corregirlas, de nada sirven si las empresas y los consumidores no las aplican a tiempo, lo cual sucede con frecuencia. Los kits de herramientas permiten a los delincuentes analizar millones de PC para ver en cuáles no se han corregido las vulnerabilidades más conocidas y centrar en ellos los ataques. De hecho, las vulnerabilidades que más se aprovechan no son las más recientes. pág. 6

7 VULNERABILIDADES, ATAQUES Y KITS DE HERRAMIENTAS Publicidad dañina y hacking de sitios web Qué hace un hacker para añadir código a un sitio web legítimo? Muchas veces, basta con usar un kit de herramientas. Uno de ellos, LizaMoon, llegó a infectar al menos un millón de sitios web en mayo de 2012 mediante ataques de inyección SQL. 2 Otras técnicas consisten en: explotar una vulnerabilidad conocida en el sistema de alojamiento o en el software de gestión de contenidos del sitio web; conseguir la contraseña del administrador web mediante diversas técnicas, como el phishing, el spyware (software espía) o la ingeniería social; infiltrarse en la infraestructura interna del servidor web (p. ej., en los paneles de control o en las bases de datos); publicar en el sitio web un anuncio de pago que contenga código dañino. Publicidad en Internet de un kit de herramientas de malware Este último método, conocido como malvertising (publicidad dañina), es una forma de ataque muy frecuente que pone en peligro a sitios web legítimos sin necesidad de infectarlos. Según el software de análisis experimental utilizado por Symantec, este problema afecta a la mitad de los sitios web analizados. Por medio de la publicidad dañina, los hackers convierten los sitios web en vectores de ataque sin tener que modificarlos. Los visitantes se infectan sin darse cuenta, ya que el malware suele crearse de forma dinámica y los antivirus por sí solos no son capaces de detectarlo. La gravedad del problema ha llevado a Google y a otros motores de búsqueda a utilizar técnicas de detección de malware y a incluir en una lista negra los sitios web infectados. Algunos conocidos medios de comunicación online se han visto afectados por casos de publicidad dañina en redes publicitarias destacadas. 3 Estos incidentes les restan credibilidad ante sus lectores y son un duro golpe para aquellos sitios web que dependen en gran medida de los ingresos publicitarios. Localizar la publicidad dañina y evitar su aparición no es tarea fácil, ya que hay muchas redes publicitarias distintas y los anuncios que se muestran cambian constantemente. pág. 7

8 VULNERABILIDADES, ATAQUES Y KITS DE HERRAMIENTAS Kits de herramientas de ataque web Descubrir vulnerabilidades es una cosa; explotarlas, otra distinta, pues no todo el mundo sabe cómo hacerlo. Por eso hay quienes, dispuestos a hacer negocio, comercializan kits de herramientas dirigidos a los delincuentes menos avezados técnicamente. Se trata de productos que, al igual que el software comercial, incluso tienen garantía y dan derecho a asistencia. Sus creadores utilizan cuentas anónimas y cobran mediante servicios de pago por Internet. Porcentaje de ataques correspondientes a los distintos kits de ataque web Fuente: Symantec Sakura 22 % 10 % Phoenix 7 % Redkit Los kits de herramientas de ataque sirven para crear distintos tipos de malware y para atacar sitios web. Los autores de algunos de ellos, como el conocido kit Blackhole, incluso sacan distintas versiones, tal y como haría un desarrollador de software legítimo que publicara nuevas ediciones o actualizaciones. Esto hace pensar que también ellos tienen una «clientela» fiel. Blackhole 41 % Otros 20 % En 2012, la versión original de Blackhole siguió azotando Internet y causó el 41 % de los ataques basados en Web. En septiembre, empezó a comercializarse una versión actualizada, Blackhole 2.0. Durante varios meses de la segunda mitad del año, la supremacía de Blackhole se vio amenazada por la aparición de un nuevo rival: el kit Sakura, que por momentos llegó a copar el 60 % de la actividad relacionada con los kits de herramientas, aunque solo el 22 % del total anual. En 2012, Blackhole provocó alrededor del 41 % de los ataques realizados con kits de herramientas basados en Web (frente al 44 % de 2011). Sakura, que ni siquiera figuraba entre los diez kits de ataque más usados en 2011, fue el causante de otro 22 % aproximadamente y, en determinadas épocas del año, incluso se situó por delante de Blackhole en cuanto al número de ataques. Evolución de los kits de herramientas de ataque web Fuente: Symantec 90 % Otros Blackhole Sakura 40 Nuclear Redkit 10 Phoenix ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC pág. 8

9 VULNERABILIDADES, ATAQUES Y KITS DE HERRAMIENTAS Evaluación de vulnerabilidad de sitios web y análisis contra software malicioso En 2012, estos dos servicios de Symantec Website Security Solutions (anteriormente, VeriSign) se utilizaron para analizar más de millón y medio de sitios web. Se analizaron más de direcciones URL a diario y se encontró malware en uno de cada 532 sitios web. Las descargas no autorizadas fueron la forma de ataque más habitual. Asimismo, se realizaron más de 1400 análisis de vulnerabilidad al día para detectar las deficiencias de seguridad que suponían un riesgo elevado. De los sitios web analizados, aproximadamente un 53 % presentaba vulnerabilidades sin resolver que alguien podría aprovechar si se lo propusiera, un 24 % de ellas de carácter grave. En 2011, los porcentajes eran del 36 y el 25 % respectivamente. En cuanto a las vulnerabilidades detectadas, en 2012 predominaron las que aumentan la probabilidad de sufrir un ataque de secuencias de comandos entre sitios. Las conexiones seguras, cada vez más habituales Cuando se inicia una conexión SSL segura, siempre se comprueba si el certificado se ha revocado o no. Hay dos maneras de hacerlo: hacer una búsqueda en el protocolo de estado de certificados en línea (OCSP) o consultar la lista de revocación de certificados (CRL). Si analizamos las estadísticas relativas a ambos procedimientos a lo largo del tiempo y nos fijamos en el número de búsquedas que procesan nuestros sistemas en la actualidad, se observa que ha aumentado el número de sesiones SSL seguras en Internet. Hay varias causas posibles. En primer lugar, que cada vez más internautas utilizan conexiones seguras (lo cual puede deberse, por ejemplo, al aumento de las compras por Internet). En segundo lugar, que ahora la tecnología SSL se utiliza en más lugares y para un abanico de aplicaciones más amplio. Por ejemplo, se ha generalizado el uso de certificados SSL con Extended Validation que colorean de verde la barra de direcciones del navegador para indicar que un sitio web está protegido y de la tecnología «Always-On SSL» que en 2012 experimentó un fuerte ascenso en las redes sociales, en los sistemas de correo electrónico online y en los servicios de búsqueda. Otro factor podría ser la variedad de dispositivos con los que se accede a Internet. Los usuarios ya no navegan únicamente desde su ordenador de sobremesa o portátil, sino que también utilizan smartphones y tablets. En 2012, Symantec observó un aumento interanual del 31 % en la media de búsquedas en el protocolo de estado de certificados en línea (el método más moderno para comprobar si un certificado se ha revocado o no). Se registró un promedio de 4800 millones de búsquedas diarias y, en el día de máxima actividad, se alcanzaron los 5800 millones. Las búsquedas realizadas por Symantec en la lista de revocación de certificados (el método de comprobación más antiguo, al que sustituye el protocolo OCSP) experimentaron un aumento interanual del 45 %. Se hicieron unos 1400 millones al día, con un valor máximo de El sello Norton Secured y los distintivos de confianza En 2012, aumentó el número de consumidores que visitan sitios web con distintivos de confianza como el sello Norton Secured. Las estadísticas referentes a los distintivos de confianza de Symantec muestran un incremento del 8 % con respecto al año anterior. En un momento en que los consumidores empezaban a exigir más seguridad a la hora de navegar o realizar operaciones electrónicas, el sello Norton Secured se visualizó hasta 750 millones de veces al día. Robo de certificados de firma de código En 2012, las empresas de todos los tamaños volvieron a ser cómplices involuntarias de las redes globales de distribución de malware, pues el uso de malware con certificados de firma de código legítimos es cada vez más habitual. Al estar firmado, el código dañino no resulta sospechoso, lo que facilita su distribución. Es frecuente que los desarrolladores de malware utilicen claves privadas de firma de código robadas, que obtienen al infiltrarse en las redes de las autoridades de certificación. A veces también logran adquirir certificados con identidades falsas, sobre todo si las prácticas de seguridad de la autoridad encargada de pág. 9

10 RECOMENDACIONES emitirlos distan de ser perfectas. Por ejemplo, en mayo de 2012 Comodo (una autoridad de certificación de gran tamaño) autenticó y emitió un certificado de firma de código legítimo para una entidad ficticia gestionada por cibercriminales. 4 Protéjase con distintas tecnologías Si las amenazas no hubieran avanzado tanto, la tecnología de análisis de archivos (lo que conocemos como «antivirus») bastaría para evitar las infecciones. Pero los antivirus no sirven para plantar cara al malware que se crea a petición con un kit de herramientas, al malware polimórfico y a los ataques de día cero. La única forma eficaz de evitar un ataque es instalar en los puntos finales protección basada en red y tecnología de análisis de reputación. En ocasiones, el malware sortea estas barreras y logra infiltrarse de todas formas, así que también hay que analizar los archivos de forma periódica y utilizar sistemas de bloqueo de comportamiento. Proteja los sitios web a los que acceden sus clientes Si quiere proteger las transmisiones de datos en todo el sitio web y ofrecer más seguridad a los visitantes, plantéese adoptar el sistema Always-On SSL: así ya no solo cifrará los datos en las páginas de pago o en aquellas donde los clientes facilitan sus datos para darse de alta. Mantenga actualizados el sistema de gestión de contenidos y el software del servidor web, tal y como haría con un PC cliente. En todos sus sitios web, haga evaluaciones de vulnerabilidad y análisis contra software malicioso para detectar los problemas cuanto antes. Elija contraseñas seguras que protejan las cuentas de administrador y otros servicios frente a la ingeniería social y el phishing. Permita el acceso a los servidores web importantes únicamente a quienes lo necesiten. El sistema Always-On SSL protege los datos de las cuentas de los usuarios que se conectan desde conexiones sin cifrar, lo que reduce el riesgo de ataques de interposición man-in-the-middle. Proteja los certificados de firma de código Para que las claves estén bien protegidas, los propietarios de los certificados deben contar con políticas de seguridad y mecanismos de protección muy rigurosos. En concreto, se necesita lo siguiente: una seguridad física eficaz, módulos de seguridad de hardware (HSM) de cifrado, mecanismos de protección de la red y los puntos finales, sistemas que impidan la pérdida de datos en los servidores con los que se firma el código y medidas que garanticen la protección de las aplicaciones de firma de código. Además, las autoridades de certificación tienen que seguir a rajatabla las prácticas recomendadas para los distintos pasos del proceso de autenticación. Evalúe sus procesos de actualización de software y aplicación de revisiones para evitar hasta el más mínimo descuido La mayoría de los ataques basados en Web aprovechan las veinte vulnerabilidades más comunes. Si instalamos las revisiones que resuelven las vulnerabilidades conocidas, evitaremos los ataques más habituales; por eso es tan importante actualizar el software y aplicar las revisiones con rapidez. Con muchos programas, es importante tener siempre la última versión instalada (o prescindir de ellos por completo). El caso de los ataques Flashback, que aprovechaban una vulnerabilidad de Java, ilustra los riesgos de no hacerlo. Todos deberíamos seguir estas normas: los directores informáticos que administran miles de usuarios, los propietarios de pequeñas empresas con decenas de usuarios y los particulares en sus casas. Cuando los navegadores, las aplicaciones y los complementos para navegador se vuelvan anticuados e inseguros, aplique actualizaciones y revisiones con las herramientas de actualización automática de los proveedores para contar con las últimas versiones disponibles y detener a quienes intentan explotar las vulnerabilidades más conocidas. La mayoría de los fabricantes de software se esfuerzan por solventar aquellas vulnerabilidades que han facilitado ataques, pero las revisiones solo son eficaces si se aplican a las herramientas en uso. Procure no utilizar imágenes corporativas estándar que contengan versiones anticuadas e inseguras de navegadores, aplicaciones y complementos para navegador. Si un empleado no necesita determinados complementos para la visualización de imágenes, elimínelos para evitar los riesgos que suponen. Siempre que sea posible, automatice la aplicación de revisiones para evitar las vulnerabilidades en toda la empresa. pág. 10

11 LAS REDES SOCIALES LOS DISPOSITIVOS MÓVILES Y LA NUBE

12 LAS REDES SOCIALES, LOS DISPOSITIVOS MÓVILES Y LA NUBE El spam y el phishing se trasladan a las redes sociales En los últimos años, los casos de spam (correo no deseado) y phishing en las redes sociales han aumentado de forma considerable. Los delincuentes, atraídos por el nivel de tráfico de Facebook y Twitter, actúan cada vez más en estas redes, y en 2012 empezaron a frecuentar otros sitios web más nuevos que están creciendo con rapidez, como Instagram, Pinterest y Tumblr. Allí tientan a los usuarios con vales-regalo falsos o encuestas tras las que se oculta una estafa. Las ofertas falsas son el método elegido para más de la mitad (el 56 %) de los ataques realizados en las redes sociales. Por ejemplo, la víctima de una estafa de este tipo podría ver en un muro de Facebook o en Pinterest (donde los usuarios ven los «pines» de las personas a las que siguen o navegan por categorías) un mensaje que diga: «Haz clic aquí para conseguir un vale de 100 dólares». Al hacer clic en el enlace, se abriría un sitio web donde tendría que facilitar sus datos personales para poder beneficiarse de distintas ofertas. Los vales, por supuesto, son falsos, pero los emisores de spam ganan dinero cada vez que alguien se inscribe en una oferta. Sitio web falso con una encuesta ficticia Estafa habitual en una red social A veces, se utilizan sitios web falsos para obtener los datos personales o contraseñas de las víctimas (p. ej., los datos de su cuenta de Facebook o Twitter). Muchos de estos casos de phishing aprovechan la fascinación que sienten muchas personas por los deportistas, actores o cantantes famosos. Últimamente, se está difundiendo el uso de los famosos de un país en concreto como señuelo. En 2012, las amenazas han ido adentrándose cada vez más en las redes sociales y en los nuevos canales y plataformas, sobre todo aquellos a los que se accede desde aplicaciones móviles. Es probable que estos canales sociales accesibles desde dispositivos móviles sufran aún más ataques en E imaginamos que los dirigidos a adolescentes y adultos jóvenes serán un blanco especialmente atractivo, ya que este grupo demográfico no siempre sabe reconocer los ataques y, además, es menos celoso de su intimidad a la hora de facilitar datos personales. pág. 12

13 RECOMENDACIONES Los peligros que acechan en las redes sociales también conciernen a las empresas Muchas empresas no quieren prohibir el uso de las redes sociales a sus empleados. En ese caso, es fundamental protegerse del malware que a veces contienen estos y otros sitios web, lo cual exige diversas medidas. En primer lugar, tendrán que instalar software de seguridad de varias capas en toda la red y en los equipos cliente. En segundo lugar, deberán adoptar procesos de actualización y aplicación de revisiones rigurosos, para reducir así el riesgo de infección que suponen las descargas no autorizadas. Por último, tendrán que concienciar a los empleados del peligro que corren y definir normas claras que regulen, entre otras cosas, la cantidad de información personal que comparten en Internet. pág. 13

14 EL MALWARE EL SPAM Y EL PHISHING

15 EL MALWARE, EL SPAM Y EL PHISHING El malware y la ingeniería social siguen siendo problemas crónicos y muy extendidos. Los ataques no son nada nuevo, pero evolucionan constantemente y, en ciertos casos, causan graves daños a las empresas y consumidores que los sufren, además de minar la confianza en Internet. Pese a su carácter crónico, estas amenazas no suelen ser noticia porque se consideran algo cotidiano, lo cual no significa que no sean importantes. Es algo similar a lo que sucede con los accidentes de coche y avión. Mientras que un avión que se estrelle siempre saldrá en las noticias, no solemos enterarnos de cuánta gente muere a diario en las carreteras aunque la cifra anual de víctimas sea mucho más alta. 5 Este fenómeno también afecta al llamado ransomware, un tipo de malware que impide a las víctimas usar el ordenador a menos que paguen un «rescate». Se trata de ataques complejos e implacables cuya repercusión es nefasta, ya que siembran la desconfianza y resolverlos tiene un coste elevado. Las cifras dan idea de las dimensiones del problema. Por ejemplo, el malware Reveton (o Trojan.Ransomlock.G) intentó infectar equipos en 18 días. Según una encuesta reciente de Symantec en la que participaron adultos de 24 países, cada caso de cibercrimen tiene un coste medio de 197 dólares estadounidenses. 6 Se calcula que, en los últimos doce meses, 556 millones de adultos fueron víctimas de algún incidente de este tipo. Panorama general El ransomware se caracteriza por un mayor ensañamiento que otras formas de malware y es más lucrativo para los atacantes. El spam está trasladándose a las redes sociales. En 2012, el enviado por correo electrónico descendió un 29 %, una tendencia ya observada en años anteriores. El phishing se está volviendo más complejo y busca nuevas víctimas en las redes sociales. El ransomware irreversible impide a los afectados usar el ordenador a menos que paguen un «rescate». En la mayoría de los casos, hacer el pago no sirve de nada. pág. 15

16 EL MALWARE, EL SPAM Y EL PHISHING Malware En 2012, uno de cada 291 mensajes de correo electrónico contenía un virus, una proporción algo más baja que la del año anterior (uno de cada 239). De los mensajes afectados, el 23 % incluía un enlace a un sitio web dañino, un porcentaje también inferior al 39 % de Que el número de mensajes con virus haya disminuido (al igual que los casos de spam y phishing) no quiere decir que los atacantes hayan bajado las armas. Posiblemente solo hayan cambiado de táctica y operen con más frecuencia en las redes sociales y en otros sitios web. Sectores más afectados por el malware Sector 1 de cada Sector público 1 de cada 72 Educación 1 de cada 163 Finanzas 1 de cada 218 Marketing/medios de comunicación 1 de cada 235 Hostelería y catering 1 de cada 236 Países más afectados por el malware País 1 de cada Países Bajos 1 de cada 108 Luxemburgo 1 de cada 144 Reino Unido 1 de cada 163 Sudáfrica 1 de cada 178 Alemania 1 de cada 196 Incidencia del malware según el tamaño de la empresa N.º de empleados 1 de cada de cada de cada de cada de cada de cada 252 Más de de cada 252 Proporción de mensajes con virus en 2012 y 2011 Fuente: Symantec 1 de cada 50 1 de cada de cada de cada 200 En 2012, uno de cada 291 mensajes de correo electrónico contenía un virus. En 2011, la proporción era mayor: uno de cada de cada de cada de cada de cada 400 ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC pág. 16

17 EL MALWARE, EL SPAM Y EL PHISHING Porcentaje de mensajes de correo electrónico con malware camuflado en direcciones URL en 2012 y 2011 Fuente: Symantec 70 % ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC En 2012, se enviaron muchos menos mensajes de correo electrónico con enlaces web dañinos. Las cifras de algunos meses no llegan ni a la mitad de las que se registraron en las mismas fechas de En aproximadamente el 23 % de los casos de propagación de malware por correo electrónico, el vector de ataque era una dirección URL incluida en el mensaje (en lugar de un archivo adjunto). El año anterior, este porcentaje había sido del 39 %. Malware basado en Web bloqueado a diario Fuente: Symantec MILLARES En 2012, se bloquearon al día unos ataques basados en Web. Esta cifra representa un aumento del 30 % con respecto a los bloqueados el año anterior JUL AGO SEP OCT NOV DIC ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC pág. 17

18 EL MALWARE, EL SPAM Y EL PHISHING Qué tipos de sitio web sufren más ataques? Según los datos obtenidos con Norton Safe Web, una tecnología de Symantec que rastrea Internet en busca de sitios web que contengan malware, sabemos que el 61 % de los sitios web peligrosos para quienes los visitan son, en realidad, sitios web legítimos que han sido infectados con código dañino. En 2012, ocupa el primer puesto la categoría «Empresas» (que abarca tanto el sector servicios como la producción de bienes industriales y de consumo), tal vez debido al número de ataques a pymes sin la protección adecuada para hacerles frente. Le sigue la categoría «Hacking» (sitios web que hacen apología del hacking o facilitan los recursos necesarios para practicarlo), que en 2011 ni siquiera figuraba en los quince primeros puestos de la lista. El 5,7 % de los sitios web infectados se encuadra en la categoría «Tecnología y telecomunicaciones» (Internet, equipos informáticos y servicios de telecomunicaciones). Aunque esto la sitúa en el tercer puesto, la proporción de ataques solo ha disminuido un 1,2 % desde Los sitios web de comercio electrónico dedicados a la venta de productos y servicios siguen estando entre las cinco primeras categorías, pero tienden a disminuir: el número de sitios web infectados se ha reducido en un 4,1 %. Llama la atención que el alojamiento, que en 2011 se situaba en segundo lugar, haya descendido al séptimo puesto por orden de importancia. Esta categoría engloba los servicios de alojamiento online (sitios web o espacios de almacenamiento) para empresas o consumidores. La caída podría ser consecuencia del auge de Dropbox, Google y otras empresas, que ha ido en detrimento de otras soluciones de alojamiento poco fiables. Los blogs también bajan posiciones en 2012, hasta situarse en el cuarto puesto. Posiblemente se deba a que la gente intercambia más información a través de las redes sociales, que se han convertido en blanco de los desarrolladores de malware. Los atacantes insertan código dañino en la red que quieren atacar, lo cual es bastante fácil, y luego lo difunden por distintos medios. Qué tipos de sitio web sufren más ataques? Fuente: Symantec Puesto Categorías más afectadas Porcentaje de sitios web infectados 1 Empresas 7,7 % 2 Hacking 7,6 % 3 Tecnología y telecomunicaciones 5,7 % 4 Blogs 4,5 % 5 Comercio electrónico 3,6 % 6 Dominios que contienen malware 2,6 % 7 Alojamiento 2,3 % 8 Automoción 1,9 % 9 Servicios sanitarios 1,7 % 10 Educación 1,7 % Los 10 principales tipos de malware en 2012 Fuente: Symantec Puesto Malware Name Porcentaje 1 W32.Sality.AE 6,9 % 2 W32.Ramnit.B 5,1 % 3 W32.Downadup.B 4,4 % 4 W32.Virut.CF 2,2 % 5 W32.SillyFDC 1,1 % 6 W32.Mabezat.B 1,1 % 7 W32.Xpaj.B 0,6 % 8 W32.Changeup 0,6 % 9 W32.Downadup 0,5 % 10 W32.Imaut 0,4 % pág. 18

19 EL MALWARE, EL SPAM Y EL PHISHING Malware de larga duración oculto en los equipos de las víctimas Otra práctica lucrativa para los delincuentes es introducir malware en los ordenadores de las víctimas sin que estas lo sepan. Mediante un entramado de botnets compuesto de miles de ordenadores que actúan a la vez, estos programas envían spam o hacen clic en anuncios de un sitio web, lo que genera ingresos para los propietarios. Aunque estas técnicas no se rentabilizan tan rápidamente como el ransomware, sirven para generar un flujo de ingresos constante porque es frecuente que pasen inadvertidas y, debido a la complejidad del código, son más difíciles de eliminar. Phishing avanzado En 2012 se envió algo menos de spam, pero aumentaron los ataques de phishing. Los phishers utilizan sitios web falsos cada vez más elaborados en algunos casos, copias exactas de otros legítimos para tratar de engañar a las víctimas y conseguir que faciliten contraseñas, datos personales o de tarjetas de crédito e información de acceso a sus cuentas bancarias. Para atraer a las víctimas, antes enviaban sobre todo mensajes de correo electrónico, pero ahora los combinan con enlaces publicados en las redes sociales. Un cibercriminal que logre registrar nuestros datos de inicio de sesión en una red social podrá enviar mensajes de phishing a nuestros amigos a través del correo electrónico. Con este método de acercamiento, inspirará mucha más confianza porque la gente no sospecha de sus amigos. Las cuentas pirateadas también se utilizan para enviar mensajes falsos de socorro a los amigos de la víctima. Por ejemplo: «Ayudadme, por favor! Estoy de viaje en el extranjero y me han robado la cartera. Necesito que me enviéis 200 euros lo antes posible». Para tratar de eludir el software de seguridad y filtrado, los delincuentes usan direcciones web complejas y servicios anidados de simplificación de direcciones URL. La ingeniería social es otra artimaña para conseguir que las víctimas hagan clic en determinados enlaces. En 2012, quienes la usan centraron sus mensajes en famosos del mundo del deporte, el cine y otros ámbitos, así como en dispositivos atractivos (p. ej., smartphones y tablets). La cifra de sitios web de phishing que utilizan certificados SSL para infundir a las víctimas una falsa sensación de seguridad y robarles sus datos fue un 46 % más alta que en El inglés no siempre es el idioma vehicular. En comparación con 2011, en 2012 se triplicó el número de sitios web de phishing en otros idiomas (principalmente francés, italiano, portugués, chino y español). En Corea del Sur se observó un aumento considerable. Como es lógico, los sitios web más imitados son los de entidades bancarias o empresas de pagos con tarjeta de crédito, pero también los de conocidas redes sociales. En 2012, el número de sitios web fraudulentos que se hacen pasar por redes sociales aumentó en un 123 %. pág. 19

20 RECOMENDACIONES Protéjase frente a la ingeniería social Tanto particulares como empresas deberían saber reconocer los signos delatores de la ingeniería social: presionar a la víctima, dirigirse a ella en un tono apremiante o instigador, hacer una oferta demasiado buena como para ser cierta, utilizar falsa jerga burocrática para que un texto parezca auténtico (por ejemplo, referencias con gran cantidad de caracteres numéricos), alegar razones sospechosas ( de verdad nos escribiría un representante de Microsoft para decirnos que nuestro equipo tiene un virus?) o estafas basadas en un quid pro quo (como que alguien nos ofrezca un regalo a cambio de facilitarle datos personales o confidenciales). Antes de hacer clic, reflexione Quizá ese mensaje de correo electrónico que le manda un conocido, su madre o un compañero de trabajo tenga en realidad otra procedencia. Si la persona que se lo envía ha sido víctima de la ingeniería social, puede que hayan secuestrado su cuenta de correo. pág. 20