Informe de inteligencia sobre seguridad de Microsoft Volumen 8 (de julio a diciembre de 2009) Resumen de las conclusiones clave

Transcripción

1 Informe de inteligencia sobre seguridad de Microsoft Volumen 8 (de julio a diciembre de 2009) Resumen de las conclusiones clave Introducción El volumen 8 del Informe de inteligencia sobre seguridad de Microsoft (SIR) ofrece una perspectiva en profundidad del software malintencionado y potencialmente no deseado, las vulnerabilidades de seguridad de software, las infracciones de seguridad y las vulnerabilidades tanto en el software de Microsoft como en el software de terceros. Microsoft ha desarrollado estas perspectivas basándose en un análisis detallado de los últimos años, con especial atención en el segundo semestre de 2009 (2S09) 1. En este documento se resumen las conclusiones clave del informe. El Informe completo de inteligencia sobre seguridad también incluye un profundo análisis de las tendencias descubiertas en más de 26 países y regiones de todo el mundo y ofrece estrategias, mecanismos de mitigación y contramedidas que pueden utilizarse para hacer frente a las amenazas documentadas en el informe. Puede descargar el Informe completo de inteligencia sobre seguridad (así como los volúmenes anteriores del informe y vídeos relacionados) en El panorama de las amenazas para los equipos cambia constantemente. A medida que las amenazas siguen evolucionando desde hackers malintencionados que buscan la fama hasta criminales organizados que roban datos para obtener un beneficio económico, la preocupación pública no deja de aumentar. En 2002, Microsoft creó Trustworthy Computing (TwC) como compromiso con una estrategia para ofrecer experiencias informáticas más seguras, privadas y confiables para nuestros clientes. TwC Security engloba tres centros tecnológicos que trabajan conjuntamente para tratar problemas de seguridad y ofrecer los servicios, información y respuestas necesarios para entender mejor el cambiante panorama de las amenazas, proteger a nuestros clientes frente a las amenazas en línea y compartir conocimientos con el amplio ecosistema de seguridad. Estos tres centros de seguridad engloban: El Centro de protección contra malware de Microsoft El Centro de respuestas de seguridad de Microsoft El Centro de ingeniería de seguridad de Microsoft En encontrará los blogs de estos tres centros de seguridad, así como otros blogs como el de Data Privacy Imperative. Los datos y el análisis de este Resumen de las conclusiones clave y del Informe completo de inteligencia sobre seguridad se presentan desde la perspectiva de estos tres centros y de sus socios de los diferentes grupos de productos de Microsoft. 1 La nomenclatura empleada a lo largo del informe para hacer referencia a diferentes periodos de informes es nsaa, donde ns corresponde al primer (1) o segundo (2) semestre del año y AA corresponde al año. Por ejemplo, 2S09 hace referencia al periodo que engloba el segundo semestre de 2009 (del 1 de julio al 31 de diciembre) y 2S08 hace referencia al periodo que engloba el segundo semestre de 2008 (del 1 de julio al 31 de diciembre).

2 Conclusiones clave del Centro de protección contra malware de Microsoft Tendencias globales del software malintencionado y potencialmente no deseado Los productos de seguridad de Microsoft obtienen el permiso de los usuarios para recopilar datos de más de 500 millones de equipos de todo el mundo y de algunos de los servicios en línea más activos de Internet. El análisis de estos datos proporciona una perspectiva completa y única de la actividad relacionada con el malware y el software potencialmente no deseado en todo el mundo. Tendencias geográficas Figura 1: Las 15 ubicaciones con mayor número de equipos limpiados con productos contra malware de escritorio de Microsoft en el 2S09 (el SIR completo incluye las 25 ubicaciones principales). País/Región Equipos limpiados (2S09) Equipos limpiados (1S09) Cambiar 1 Estados Unidos ,1% 2 China ,1% 3 Brasil ,8% 4 Reino Unido ,3% 5 España ,9% 6 Francia ,7% 7 Corea ,6% 8 Alemania ,1% 9 Canadá ,6% 10 Italia ,0% 11 México ,4% 12 Turquía ,2% 13 Rusia ,5% 14 Taiwán ,6% 15 Japón ,1% En todo el mundo ,3% Dos de los principales aumentos en el número de equipos limpiados se produjeron en China y Brasil, lo que supuso un aumento de 19,1% y 15,8% desde el primer semestre de 2009, respectivamente. Gran parte de este aumento estuvo provocado por la publicación en septiembre de 2009 de Microsoft Security Essentials, una solución antimalware para equipos domésticos disponible sin cargo alguno para los usuarios con licencia de Windows. Tanto China como Brasil adoptaron rápidamente Security Essentials. Un determinado número de ubicaciones experimentaron importantes reducciones en las tasas de infección: La mayor reducción en el número de equipos limpiados es la disminución del 26,2% en Turquía, que puede atribuirse principalmente a la reducción de la presencia de Win32/Taterf y Win32/Frethog, dos programas de interceptación de contraseñas que tienen como objetivo los juegos en línea. La reducción de la presencia de Taterf y Frethog es un factor importante para la reducción del 19,6% de Taiwán. La reducción del 20% de Italia se debe principalmente a una caída en picado de las detecciones de la familia de troyanos Win32/Wintrim.

3 Figura 2: Tasas de infección por país/región durante el segundo semestre de 2009 (expresado en número de equipos limpiados por cada mil) 2, para ubicaciones de todo el mundo con un mínimo de un millón de ejecuciones mensuales de la Herramienta de eliminación de software malintencionado en el segundo semestre de En el SIR completo se incluye la CCM para más de 200 países/regiones. Figura 3: Categorías de amenazas en todo el mundo y en las ocho ubicaciones con el mayor número de equipos infectados, organizadas por incidencias entre los equipos limpiados por los productos antimalware para equipos de escritorio de Microsoft en el segundo semestre de % 50% 40% 30% 20% 10% 0% -10% En todo el mundo Estados Unidos China Brasil Reino Unido España Francia Corea Alemania Diversos troyanos Descargadores e instaladores de troyanos Adware Programas de puerta trasera Vulnerabilidades de seguridad Gusanos Diverso software potencialmente no deseado Programas de interceptación de contraseñas y herramientas de supervisión Virus Spyware Los entornos de amenazas en Estados Unidos y el Reino Unido son muy parecidos. Ambas ubicaciones tienen prácticamente la misma proporción de categorías de amenazas y 7 de cada una de las 10 familias principales 2 Para obtener una medida consistente de la infección que pueda utilizarse al comparar poblaciones de equipos en diferentes ubicaciones, las tasas de infección de este informe se expresan mediante una métrica denominada "equipos limpiados por cada mil" o CCM, del inglés Computers Cleaned per Mil, que representa el número de equipos que se limpian por cada mil ejecuciones de la Herramienta de eliminación de software malintencionado (MSRT).

4 son las mismas en ambas ubicaciones. La categoría de amenazas más grande es la de Diversos troyanos. Familias como las de Win32/FakeXPA, Win32/Renos y Win32/Alureon ocupan puestos altos de la clasificación en ambas ubicaciones. En China, la mayor parte de las principales amenazas forman parte de familias localizadas que no aparecen en la lista de principales amenazas de ninguna otra ubicación. Éstas incluyen algunas versiones de Win32/BaiduSobar, una barra de herramientas del explorador en chino, y programas de interceptación de contraseñas como Win32/Lolyda y Win32/Ceekat, que tienen como objetivo varios juegos en línea populares en China. En Brasil, la categoría Programas de interceptación de contraseñas y herramientas de supervisión es la más común, debido principalmente a varios programas de interceptación de contraseñas en portugués que tienen como objetivo los usuarios de bancos brasileños en línea. Win32/Bancos es el programa de interceptación de contraseñas más común. Corea está dominada por los gusanos, principalmente Win32/Taterf, que tiene como objetivo a los usuarios de juegos en línea. La presencia de Taterf en Corea puede estar causada en parte por la propensión del gusano a difundirse rápidamente en cibercafés y locales de juegos en LAN, muy populares en Corea. Tendencias de los sistemas operativos Figura 4: Número de equipos limpiados por cada ejecuciones de la herramienta MSRT, organizados por sistema operativo, en el segundo semestre de De la misma manera que en periodos anteriores, las tasas de infección de los sistemas operativos y los Service Packs más recientes son sistemáticamente inferiores a las de los anteriores, tanto para plataformas de clientes como de servidores. Windows 7 (cuyo lanzamiento tuvo lugar en el segundo semestre de 2009) y Windows Vista con Service Pack 2 tienen las tasas de infección más bajas entre todas las plataformas del gráfico. Las versiones de 64 bits de Windows 7 y Windows Vista SP2 presentaron unas tasas de infección menores (1,4 en ambos casos) que el resto de configuraciones de sistemas operativos durante el segundo semestre de 2009, aunque en las versiones de 32 bits la tasa de infección fue menos de la mitad que la de Windows XP con su Service Pack más actualizado, SP3. Para los sistemas operativos con Service Packs, cada Service Pack nuevo presenta una tasa de infección menor que el anterior. En el caso de Windows XP con SP3, el SP3 tiene una tasa de infección por debajo de la mitad del SP2, e Windows XP SP Windows XP Windows XP SP2 SP Windows Vista RTM Windows Vista SP1 2.2 Windows Vista SP Windows 7 RTM inferior a un tercio de la correspondiente al SP1. Del mismo modo, Windows Vista SP2 presenta una tasa de infección menor que SP1, que tiene una tasa de infección menor que Windows Vista RTM. Para los sistemas operativos de servidor, la tasa de infección de Windows Server 2008 con SP2 es de 3,0, lo que supone un 20% menos que su antecesor, Windows Server 2008 RTM. 3.6 Windows 2000 SP Windows Server 2003 SP2 3.6 Windows Server 2008 RTM 3.0 Windows Server 2008 SP2 1.8 Windows Server 2008 R2 32 bits 64 bits

5 La siguiente figura muestra la uniformidad de estas tendencias a lo largo del tiempo, con las tasas de infección para diferentes versiones de las ediciones de 32 bits de Windows XP y Windows Vista correspondientes a cada periodo de seis meses entre el primer semestre de 2007 y el segundo semestre de Figura 5: Tendencia del número de equipos limpiados por cada mil con las versiones de 32 bits de Windows Vista y Windows XP, del primer semestre de 2007 al segundo semestre de Windows XP RTM Windows XP SP1 Windows XP SP2 Windows XP SP3 Windows Vista RTM Windows Vista SP1 Windows Vista SP2 Windows 7 RTM S07 2S07 1S08 2S08 1S09 2S09 Tendencias de las categorías en todo el mundo Figura 6: Las diez principales familias de malware y software potencialmente no deseado detectadas por los productos antimalware para equipos de escritorio de Microsoft en el segundo semestre del 2009 (en el SIR completo se incluyen las 25 familias principales). Familia Categoría más importante Equipos limpiados (2S09)) 1 Win32/Taterf Gusanos Win32/Renos Descargadores e instaladores de troyanos Win32/FakeXPA* Diversos troyanos Win32/Alureon Diversos troyanos Win32/Conficker Gusanos Win32/Frethog Programas de interceptación de contraseñas y herramientas de supervisión 7 Win32/Agent Diversos troyanos Win32/BaiduSobar Diverso software potencialmente no deseado Win32/GameVance Adware Win32/Hotbar Adware Los asteriscos (*) corresponden a familias de software de seguridad falso. Las cruces ( ) corresponden a familias en las que se ha observado la descarga de software de seguridad falso. 3 La Shadowserver Foundation, que realiza un seguimiento de las infecciones de Win32/Conficker activas, informó de que el último día del segundo semestre de 2009 había 4,6 millones de equipos infectados por Conficker que estaban siendo vigilados por servidores sinkhole de Shadowserver, en comparación con los 5,2 millones del último día del primer semestre de Contar la cantidad de malware encontrado y limpiado por programas antimalware en ocasiones puede ofrecer unas cifras muy diferentes de los cálculos estimados mediante observaciones de los equipos infectados activos, pero no existe ningún acuerdo generalizado sobre cuál es el mejor método de hacerlo.

6 En general, las detecciones de las principales amenazas se han reducido de forma considerable desde el primer semestre de En el primer semestre de 2009, se eliminaron siete familias de, como mínimo, dos millones de equipos gracias a las herramientas antimalware para equipos de escritorio de Microsoft, en comparación con las cuatro familias eliminadas en el segundo semestre de En este periodo, Win32/Taterf, la principal familia del segundo semestre de 2009, se ha eliminado de casi un millón de equipos menos que en el primer semestre del Los 3,9 millones de equipos infectados por Taterf en el segundo semestre de 2009 son bastantes menos que los infectados por la principal familia del primer semestre, Win32/Zlob, que fue eliminada de 9 millones de equipos durante este periodo. Muchos atacantes usan descargadores e instaladores de troyanos, como Win32/Renos y ASX/Wimad (las familias que ocupaban el segundo y el undécimo lugar, respectivamente, en cuanto a su presencia durante el segundo semestre de 2009) para distribuir entre los equipos otras amenazas como botnets, software de seguridad falso y programas de interceptación de contraseñas. En general, el panorama del malware en el segundo semestre de 2009 está marcado por una mayor diversidad de familias con una presencia moderada, con menos familias prevalentes en lo más alto de la lista con un elevado número de eliminaciones. Es posible que la rápida adopción de Microsoft Security Essentials también sea responsable en parte de la reducción en las eliminaciones. Tendencias en la proliferación de muestras Los autores de malware intentan evitar ser detectados creando constantemente nuevas versiones en un intento por anticiparse al lanzamiento de firmas nuevas por parte de los fabricantes de antivirus. Una forma de determinar las familias y categorías de malware que están más activas en la actualidad es contar muestras únicas. Figura 7: Muestras únicas enviadas entre el primer y el segundo semestre de 2009 al Centro de protección contra malware de Microsoft, organizadas por categorías. Categoría 2S09 1S09 Diferencia Virus ,9% Diversos troyanos ,5% Descargadores e instaladores de troyanos ,7% Diverso software potencialmente no deseado ,8% Adware ,7% Vulnerabilidades de seguridad ,8% Gusanos ,1% Programas de interceptación de contraseñas y ,7% herramientas de supervisión Programas de puerta trasera ,7% Spyware ,6% Total ,9% En el segundo semestre de 2009, se detectaron más de 126 millones de muestras malintencionadas. La reducción en la categoría de Programas de interceptación de contraseñas y herramientas de supervisión se debió principalmente a Win32/Lolyda, que pasó de los 5,7 millones de muestras en el primer semestre de 2009 a menos de en el segundo. El aumento en la categoría de Spyware se debió principalmente a Win32/ShopAtHome, que presentó prácticamente cinco veces más muestras únicas en el segundo semestre de 2009 que en el periodo anterior. El gran número de muestras de virus se debe al hecho de que los virus pueden infectar muchos archivos diferentes, cada uno de los cuales es una muestra única. Por este motivo, los recuentos de muestras para virus no deberían entenderse como un indicador de grandes cantidades de variantes reales de estas familias.

7 Software de seguridad falso El software de seguridad falso (un software que muestra avisos falsos o erróneos sobre infecciones o vulnerabilidades en el equipo de la víctima y ofrece la posibilidad de solucionar los supuestos problemas a cambio de una compensación económica) se ha convertido en uno de los métodos más comunes empleados por los atacantes para estafar económicamente a las víctimas. Figura 8: "Análisis de seguridad" falsos de las variantes de Win32/FakeXPA, la familia de software de seguridad falso más presente en el segundo semestre de Los productos de seguridad de Microsoft limpiaron malware relacionado con software de seguridad falso en 7,8 millones de equipos durante el segundo semestre de 2009, en comparación con los 5,3 millones de equipos del primer semestre; un aumento del 46,5% que sugiere que el software de seguridad falso ofrece a sus distribuidores unos beneficios mayores respecto a otras amenazas menos presentes. La familia de software de seguridad falso Win32/FakeXPA fue la tercera amenaza más presente detectada por los productos de seguridad para equipos de escritorio de Microsoft a nivel mundial durante el segundo semestre de Otras tres, Win32/Yektel, Win32/Fakespypro y Win32/Winwebsec, ocuparon los puestos undécimo, decimocuarto y decimoséptimo, respectivamente. En el SIR completo se incluye un desglose geográfico completo de los lugares en los que Microsoft encuentra más software de seguridad falso y las principales familias de estas amenazas en cada región. En se han publicado tres nuevos vídeos dirigidos a los consumidores y diseñados para educarlos acerca de la creciente amenaza para su seguridad y privacidad por parte del software de seguridad falso. Panorama de las amenazas en casa en comparación con la empresa Los datos de las infecciones recopilados por los productos y herramientas antimalware de para equipos de escritorio de Microsoft incluyen información acerca de si el equipo infectado pertenece o no a un dominio de los Servicios de dominio de Active Directory. Los dominios se utilizan casi exclusivamente en las empresas, por lo que los equipos que no pertenecen a un dominio tienen más probabilidades de ser utilizados en el hogar o en contextos no empresariales. Si comparamos las amenazas detectadas entre equipos de dominio y equipos que no son de dominio, podemos obtener información acerca de las diferentes maneras de atacar a los usuarios empresariales y usuarios domésticos y determinar así qué amenazas tienen más posibilidades de surgir en cada uno de los entornos.

8 Figura 9: Desglose por categorías de amenazas de los equipos que pertenecen a un dominio y los equipos que no eran de dominio durante el segundo semestre de % 30% 25% 31.5% 25.4% Equipos de dominio Equipos que no son de dominio 20% 15% 10% 5% 0% 14.8% 17.8% 16.4% 13.1% Gusanos Diversos troyanos Diverso software potencialmente no deseado 12.5% 15.2% Descargadores e instaladores de troyanos 7.3% 9.0% 4.5% 4.4% 4.1% 3.2% Programas de Programas de puerta interceptación de trasera contraseñas y herramientas de supervisión Virus 2.9% 1.9% 2.5% Vulnerabilidades de seguridad Adware 11.5% 0.6% Spyware 1.5% Los equipos integrados en un dominio tenían más probabilidades de enfrentarse a un gusano que los equipos que no eran de dominio, principalmente por la forma de propagación de estos gusanos. Normalmente, los gusanos se extienden de forma más eficaz a través de archivos compartidos no seguros y dispositivos de almacenamiento extraíbles, que suelen estar muy presentes en entornos empresariales y son menos habituales en los hogares. Cuatro de las diez familias principales detectadas en equipos integrados en un dominio son de gusanos. Win32/Conficker, que utiliza diferentes métodos de propagación que funcionan con mayor eficacia en un entorno de red empresarial típico que en páginas públicas de Internet, lidera la lista por un amplio margen de diferencia. Del mismo modo, Win32/Autorun, cuyo objetivo son los dispositivos extraíbles, era más común en entornos de dominio (donde se suele utilizar este tipo de dispositivos para intercambiar archivos). En cambio, las categorías de Adware y Diversos troyanos son mucho más habituales en equipos que no pertenecen a un dominio. Amenazas por correo electrónico Los datos de esta sección se basan en el correo electrónico filtrado por Microsoft Forefront Online Protection for Exchange (FOPE), que ofrece servicios de filtro para correo no deseado, suplantación de identidad (phishing) y malware destinados a miles de clientes empresariales. Los mensajes de correo no deseado relacionados con las apuestas y las estafas de pago por adelantado (también llamadas "estafas nigerianas") aumentaron de forma significativa en el segundo semestre de Las categorías restantes se mantuvieron en su mayoría relativamente estables en términos de porcentajes. La estafa de pago por adelantado es una estafa habitual en la que el remitente del mensaje afirma haber conseguido una gran suma de dinero a la que, por algún motivo, no puede tener acceso. Lo más común es que el motivo indicado esté relacionado con problemas burocráticos o corrupción política. El remitente le pide a la posible víctima un préstamo temporal que usará para sobornar a los funcionarios o para pagar las tasas necesarias para poder retirar la suma total de dinero; a cambio, el remitente le promete al objetivo una parte de la fortuna equivalente a una suma mucho mayor que el préstamo original. Estos mensajes suelen estar relacionados con Nigeria (también se denominan "estafas 419", haciendo referencia al artículo del Código civil nigeriano que se ocupa de las estafas), así como otros países de África Occidental como Sierra Leona, Costa de Marfil y Burkina Faso.

9 Figura 10: Mensajes entrantes bloqueados por filtros de contenido de FOPE del segundo semestre de 2008 al segundo semestre de 2009, organizados por categoría. 11% Estafas nigerianas 9% 7% 5% Sólo imágenes Productos farmacéuticos de tipo sexual Apuestas Citas/Material sexualmente explícito Diplomas fraudulentos Contenido financiero 3% 1% -1% 2S08 1S09 2S09 Suplantación de identidad (phishing) Promesas de obtener mucho dinero en poco tiempo Malware Acciones Software Figura 11: Las cinco ubicaciones que enviaron más correo no deseado, por porcentaje total, durante el segundo semestre de País Porcentaje 1 Estados Unidos 27,0% 2 Corea 6,9% 3 China 6,1% 4 Brasil 5,8% 5 Rusia 2,9% Los botnets y las redes de correo no deseado de equipos infectados por malware que pueden ser controlados por un atacante de forma remota son los principales responsables del correo no deseado que se envía en la actualidad. Para medir el impacto que tienen los botnets en el panorama del correo no deseado, FOPE hace un seguimiento de los mensajes enviados desde las direcciones IP relacionadas con botnets conocidos. Figura 12: Unos cuantos botnets son los responsables del envío de casi todo el correo no deseado de botnet detectado en el segundo semestre de 2009 (el SIR completo incluye más detalles al respecto). Lethic 8.6% Grum 6.7% Donbot 1.8% DarkMailer 1.6% Todos los otros 2.5% Cutwail 10.4% Bagle-cb 28.6% Rustock 39.7%

10 Sitios web malintencionados Tal y como se ha publicado en volúmenes anteriores del SIR, las propiedades de las redes sociales sufrieron el mayor número de intentos de suplantación de identidad y la mayor tasa de intentos de suplantación de identidad por sitio de phishing. Las instituciones financieras recibieron el menor número de intentos de suplantación de identidad por sitio pero, con diferencia, el mayor número de sitios fraudulentos diferentes. La siguiente figura muestra el porcentaje de intentos de suplantación de identidad registrado por Microsoft cada mes en el segundo semestre de 2009 para cada uno de los tipos de instituciones que reciben ataques con mayor frecuencia. Figura 13: Izquierda: Intentos de cada tipo de sitio de suplantación de identidad durante cada mes del segundo semestre de Derecha: Sitios de suplantación de identidad activos registrados cada mes, por tipo de objetivo, durante el segundo semestre de % 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Jul-09 Aug-09 Sep-09 Oct-09 Nov-09 Dec-09 Sitios de redes sociales Sitios de comercio electrónico Servicios en línea Sitios financieros 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Jul-09 Aug-09 Sep-09 Oct-09 Nov-09 Dec-09 Sitios de redes sociales Servicios en línea Sitios de comercio electrónico Sitios financieros Figura 14: Amenazas hospedadas en direcciones URL bloqueadas por el filtro SmartScreen, divididas por categoría en el primer y el segundo semestre de % 40% 35% 30% 25% 20% 15% 10% 5% 0% Diverso software potencialmente no deseado Diversos troyanos Vulnerabilidades Descargadores e de seguridad instaladores de troyanos Programas de interceptación de contraseñas y herramientas de supervisión Gusanos Programas de puerta trasera 1S09 2S09 Virus Adware Spyware Las categorías de Diverso software potencialmente no deseado y Diversos troyanos dominaron la lista en ambos periodos. La categoría Descargadores e instaladores de troyanos, que en el primer semestre de 2009 tuvo casi la misma presencia que Diversos troyanos, se redujo casi un 50% durante el segundo semestre del año, mientras que las vulnerabilidades de seguridad aumentaron hasta más del doble.

11 Conclusiones clave del Centro de respuestas de seguridad de Microsoft Divulgación de vulnerabilidades en el sector Las vulnerabilidades son debilidades del software que permiten a un atacante poner en peligro la integridad, la disponibilidad o la confidencialidad de dicho software. Algunas de las vulnerabilidades más peligrosas permiten a los atacantes ejecutar código arbitrario en el equipo infectado. Una divulgación, en el sentido en el que se usa en este informe, es la revelación de una vulnerabilidad del software al público general. No hace referencia a ningún tipo de divulgación privada ni divulgación entre un número limitado de personas. Figura 15: Izquierda: Divulgación de seguridades en el sector organizadas por semestres, desde el primer semestre de 2006 hasta el segundo semestre de Derecha: Divulgación de vulnerabilidades en el sector, organizadas por gravedad, desde el primer semestre de 2006 hasta el segundo semestre de S06 2S06 1S07 2S07 1S08 2S08 1S09 2S S06 2S06 1S07 2S07 1S08 2S08 1S09 2S09 Gravedad alta Gravedad media Gravedad baja Durante el segundo semestre de 2009, las divulgaciones de vulnerabilidades se redujeron en un 8,4% en comparación con el primer semestre del mismo año, lo que sigue la tendencia general a la baja desde Las vulnerabilidades de baja gravedad tan sólo supusieron un 3,5% de todas las vulnerabilidades del segundo semestre de 2009, una reducción en comparación con el 4,1% del primer semestre del año. Las vulnerabilidades graves divulgadas en el segundo semestre de 2009 se redujeron en un 9% en comparación con el primer semestre del año y en un 30,7% en comparación con el segundo semestre de La predominancia continuada de las divulgaciones de gravedad alta y gravedad media se debe principalmente, o al menos en parte, a la tendencia de los atacantes y los investigadores de seguridad legítimos a dar prioridad a la búsqueda de las vulnerabilidades más graves. Figura 16: Vulnerabilidades de los sistemas operativos, los exploradores y las aplicaciones del sector desde el primer semestre de 2006 hasta el segundo semestre de ,500 3,000 2,500 2,000 1,500 1,000 Vulnerabilidades de las aplicaciones Vulnerabilidades de los sistemas operativos Vulnerabilidades de los exploradores S06 2S06 1S07 2S07 1S08 2S08 1S09 2S09

12 Las vulnerabilidades de las aplicaciones siguieron siendo la mayor parte de las vulnerabilidades durante el segundo semestre de 2009, a pesar de que el número total de vulnerabilidades de aplicaciones se redujo de forma significativa entre el segundo semestre de 2008 y el primer semestre de Tanto las vulnerabilidades de sistemas operativos como de exploradores se mantuvieron estables a grandes rasgos y cada una de ellas supuso una pequeña parte del total. Figura 17: Divulgación de vulnerabilidades de productos de Microsoft y de otros fabricantes desde el primer semestre de 2006 hasta el segundo semestre de Microsoft Otros fabricantes S06 2S06 1S07 2S07 1S08 2S08 1S09 2S09 Las divulgaciones de vulnerabilidades en los productos de Microsoft pasaron de las 113 del primer semestre de 2009 a las 127 del segundo semestre del mismo año. En general, las tendencias de las divulgaciones de vulnerabilidades de Microsoft fueron un espejo de las de todo el sector, con picos en el segundo semestre de 2006, el primer semestre de 2007 y el segundo semestre de Durante estos últimos cuatro años, las divulgaciones de vulnerabilidades de Microsoft han representado regularmente entre el 3% y el 5% de las divulgaciones del sector. El término divulgación responsable hace referencia a la divulgación de vulnerabilidades de forma privada a un proveedor afectado, de manera que pueda desarrollar una actualización de seguridad completa para solucionar las vulnerabilidades antes de que la información llegue a ser de dominio público. Figura 18: Divulgaciones responsables como porcentaje de todas las divulgaciones relacionadas con el software de Microsoft, desde el primer semestre de 2005 al segundo semestre de % 80% 60% Divulgación total 40% 20% 0% 1S05 2S05 1S06 2S06 1S07 2S07 1S08 2S08 1S09 2S09 Casos de especialistas en vulnerabilidad Otras divulgaciones responsables

13 En el segundo semestre de 2009, el 80,7% de las divulgaciones de vulnerabilidades de Microsoft cumplieron con las prácticas de divulgación responsable, lo que supuso un aumento en comparación con el 79,5% del primer semestre de 2009 y la convirtió en la cifra más elevada de todos los periodos registrados con anterioridad. El porcentaje de divulgaciones enviadas por los especialistas en vulnerabilidad se redujo ligeramente al 8,6% de todas las divulgaciones durante el segundo semestre de 2009, en comparación con el 10,5% del primer semestre del año. Figura 19: Izquierda: Boletines de seguridad publicados y vulnerabilidades y exposiciones comunes solucionadas cada semestre, desde el primer semestre de 2005 al segundo semestre de Derecha: Media de vulnerabilidades y exposiciones comunes solucionadas por boletín de seguridad, desde el primer semestre de 2005 al segundo semestre de Vulnerabilidades y exposiciones comunes únicas Boletines de seguridad S05 2S05 1S06 2S06 1S07 2S07 1S08 2S08 1S09 2S09 En el segundo semestre de 2009, Microsoft publicó 47 boletines de seguridad que solucionaban 104 vulnerabilidades individuales identificadas en la lista de Vulnerabilidades y exposiciones comunes (CVE). A pesar de que el número total de boletines superó los 27 del primer semestre de 2009, el número de vulnerabilidades solucionadas por boletín se redujo de 3,1 a 2,2. Como muestra la siguiente figura, la adopción de Microsoft Update ha aumentado de forma significativa en los últimos años. El número de equipos que utilizan el servicio más completo aumentó en más del 17% desde el primer semestre de Figura 20: Uso de Windows Update y Microsoft Update del segundo semestre de 2006 al segundo semestre de 2009 (indizado según el uso total en el segundo semestre de 2006). 180% 160% 140% 120% 100% 80% 100% 121% 137% 140% 147% 150% 161% Microsoft Update 60% 40% Sólo Windows Update 20% 0% 2S06 1S07 2S07 1S08 2S08 1S09 2S09

14 Windows Update ofrece actualizaciones para componentes de Windows y controladores de dispositivos proporcionados por Microsoft y otros proveedores de hardware. Asimismo, distribuye actualizaciones de firmas para productos antimalware de Microsoft y la publicación mensual de la herramienta MSRT. Microsoft Update ( proporciona todas las actualizaciones ofrecidas a través de Windows Update junto con las actualizaciones para otras aplicaciones de software de Microsoft. Los usuarios pueden usar este servicio al instalar software que se actualice a través de Microsoft Update o desde el sitio web de Microsoft Update. Microsoft recomienda configurar los equipos para que usen Microsoft Update en lugar de Windows Update para asegurarse de que reciban las actualizaciones de seguridad periódicas para los productos de Microsoft. Conclusiones clave del Centro de ingeniería de seguridad de Microsoft Ciencia de la seguridad: tendencias de las vulnerabilidades de seguridad Una vulnerabilidad de seguridad es código malintencionado diseñado para infectar un equipo sin el permiso del usuario y a menudo sin el conocimiento del mismo. Las vulnerabilidades de seguridad suelen distribuirse a través de páginas web, aunque los atacantes también usan otros métodos de distribución como el correo electrónico y los servicios de mensajería instantánea. La información acerca de cómo los atacantes vulneran la seguridad de los exploradores y los complementos puede ayudar a los investigadores de seguridad a entender los riesgos provocados por las descargas no autorizadas y otros ataques a través de los exploradores. En el pasado, los creadores de kits de vulnerabilidades de seguridad solían empaquetar entre cuatro y seis vulnerabilidades juntas en cada kit para aumentar las posibilidades de éxito con el ataque. Esta media bajó a 3,2 vulnerabilidades de seguridad por paquete durante el primer semestre de 2009, pues los atacantes se beneficiaban de determinadas vulnerabilidades confiables y prevalentes en componentes de terceros, lo que hizo que no fuera necesario usar muchas vulnerabilidades de seguridad. Esta tendencia continuó en el segundo semestre de 2009, cuando la media de vulnerabilidades de seguridad por paquete cayó a 2,3. Pese a ello, algunos atacantes seguían optando por usar grandes cantidades de vulnerabilidades de seguridad; el kit de vulnerabilidades más grande de entre los detectados en el segundo semestre de 2009 contenía 23 vulnerabilidades. Figura 21: Vulnerabilidades de seguridad de los exploradores detectadas en el segundo semestre de 2009, por porcentaje. CVE (Adobe Reader) 10.9% CVE /MS (Microsoft MSVidCtl) 4.9% CVE (RealNetworks RealPlayer) 3.3% CVE (Apple QuickTime) 3.0% CVE (AOL SuperBuddy) 2.9% CVE /MS (Microsoft Internet Explorer) 2.7% CVE /MS (Microsoft Internet Explorer) 15.7% CVE /MS (Microsoft Data Access Components) 2.3% CVE (AOL AmpX) 2.2% CVE (Adobe Reader) 2.1% CVE (Adobe Reader) 33.2% Todos los otros 16.9%

15 CVE , una vulnerabilidad de descarga no autorizada de Adobe Flash Player, la vulnerabilidad de explorador más utilizada en el primer semestre de 2009, cayó a la tercera posición en el segundo semestre y tan sólo comportó el 0,4% de las vulnerabilidades de seguridad. Estos cambios tan importantes pueden estar relacionados con la tendencia de los creadores de kits de vulnerabilidades de seguridad a sustituir con frecuencia estas vulnerabilidades por vulnerabilidades más recientes. Como muestra el gráfico de la derecha de la Figura 21, la incidencia de varias de las vulnerabilidades de seguridad más presentes varió cada mes durante el segundo semestre de Una de las vulnerabilidades incluidas en la Figura 21 recibió un parche en Todas las vulnerabilidades presentes en la Figura 21 disponían de actualizaciones de seguridad con anterioridad al periodo del informe del SIR. Figura 22: Izquierda: Vulnerabilidades de seguridad basadas en explorador dirigidas al software de Microsoft y de terceros en equipos con Windows XP durante el segundo semestre de Derecha: Vulnerabilidades de seguridad basadas en explorador dirigidas al software de Microsoft y de terceros en equipos con Windows Vista y Windows 7 durante el segundo semestre de Microsoft Microsoft Terceros Terceros Si comparamos las vulnerabilidades de seguridad que tienen como objetivo Microsoft con las que tienen como objetivo software de terceros (software producido por otros proveedores), veremos que el panorama de vulnerabilidades de Windows Vista y Windows 7 es muy diferente del de Windows XP. En Windows XP, las vulnerabilidades de Microsoft suponen el 55,3% de todos los ataques estudiados en la muestra. En Windows Vista y Windows 7, la proporción de vulnerabilidades de Microsoft es significativamente menor, suponiendo tan solo el 24,6% de los ataques de la muestra estudiada. La cifra es superior al 15,5% del primer semestre de 2009 (tan sólo incluye Windows Vista) debido al mayor número de ataques en CVE /MS09-002, una vulnerabilidad de Internet Explorer 7 que afecta a Windows Vista RTM y SP1 (pero no a Windows Vista SP2 ni Windows 7). Microsoft solucionó este problema con una actualización de seguridad en enero de Las figuras 23 y 24 de la siguiente página muestran las diez vulnerabilidades más utilizadas en Windows XP (Figura 23) y en Windows Vista y Windows 7 (Figura 24).

16 Figura 23: Las diez vulnerabilidades basadas en explorador más utilizadas en equipos con Windows XP, ordenadas según el porcentaje de todas las vulnerabilidades durante el segundo semestre de % 10% 8% Vulnerabilidades de Microsoft Vulnerabilidades de terceros 6% 4% 2% 0% Figura 24: Las diez vulnerabilidades basadas en explorador más utilizadas en equipos con Windows Vista y Windows 7, ordenadas según el porcentaje de todas las vulnerabilidades durante el segundo semestre de % 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% Vulnerabilidades de terceros Vulnerabilidades de Microsoft

17 Las páginas de descargas no autorizadas suelen estar hospedadas en sitios web legítimos en los que un atacante ha publicado el código de la vulnerabilidad de seguridad. Los atacantes obtienen acceso a los sitios legítimos a través de intrusiones o cuando publican código malintencionado en un formulario web poco protegido, como un campo de comentarios en un blog. El análisis de las vulnerabilidades concretas que son objetivo de los sitios de descargas no autorizadas indica que la mayoría de vulnerabilidades de seguridad utilizadas por estos sitios malintencionados tienen como objetivo exploradores viejos y no son eficaces contra los más nuevos. Como muestra la siguiente figura, las vulnerabilidades de seguridad que afectan a Internet Explorer 6 se reflejaron en más del cuádruple de sitios de descargas no autorizadas durante el segundo semestre de 2009 que las vulnerabilidades de seguridad que afectan a Internet Explorer 7. Figura 25: Sitios de descargas no autorizadas que tuvieron como objetivo Internet Explorer 6 e Internet Explorer 7, indizados según el total de Internet Explorer 7, en el segundo semestre de % 400% 350% 300% 250% 200% 150% 100% 50% 0% Internet Explorer 6 Internet Explorer 7 A medida que Bing indiza la Web, las páginas se evalúan en busca de elementos o comportamientos malintencionados. Bing detecta un gran número de páginas de descargas no autorizadas cada mes y realiza un seguimiento en un momento dado de varios cientos de miles de sitios que hospedan páginas de descargas no autorizadas activas. Dado que los mismos propietarios suelen ser también víctimas de los atacantes, los sitios no son eliminados del índice de Bing. En su lugar, cuando se hace clic en la lista de resultados de la búsqueda, aparece un aviso prominente en el que se informa de que la página puede contener software malintencionado. Durante el segundo semestre de 2009, casi el 0,3% de las páginas que aparecían como resultado de búsqueda en Bing contenían avisos acerca de sitios malintencionados. En general, el número de sitios web afectados registrados por Bing aumentó durante el segundo semestre de 2009; el 0,24% de todos los sitios web hospedan al menos una página malintencionada, cifra superior al 0,16% del primer semestre de Seguramente este aumento se deba en parte a diferentes mecanismos de protección nuevos y mejorados implementados por Bing durante el segundo semestre de A pesar de que Bing ha detectado sitios de descargas no autorizadas por todo el mundo, el riesgo no está extendido de forma equilibrada entre los usuarios de Internet a nivel mundial. Los usuarios de algunas zonas del mundo corren un mayor riesgo que otros. La siguiente imagen muestra la parte de sitios web en cada dominio de nivel superior de código de país (cctld) en los que se detectó que se hospedaban páginas de descargas no autorizadas durante el segundo semestre de Se detectaron páginas de descargas no autorizadas en más del 2,1% de los sitios del cctld.th (asociado con Tailandia) y casi un 1% en el cctld.ch (China).

18 Figura 26: Porcentaje de sitios web de cada dominio de nivel superior de código de país (cctld) que hospedó páginas de descargas no autorizadas durante el segundo semestre de En comparación, los dominios de nivel superior genéricos y patrocinados que no corresponden a una región o un país determinado no muestran el mismo nivel de varianza que los cctld. El TLD.biz, dirigido a las empresas, contiene el mayor número de porcentaje de sitios que hospedan páginas de descargas no autorizadas; el 0,76% de todos los sitios.biz activos contienen páginas de este tipo. A pesar de que se puede encontrar gran cantidad de páginas de descargas no autorizadas en gran parte de los TLD genéricos, patrocinados y de código de país, los servidores de vulnerabilidades de seguridad se concentran en una cantidad mucho menor de TLD, liderados por el.com (33,2%) y el.cn (19%). Durante el segundo semestre de 2008, el servidor de vulnerabilidades de seguridad más utilizado llegó a tener un alcance de unas páginas. Esta cifra aumentó a las más de páginas en el primer semestre de 2009 y casi a las en el segundo semestre del mismo año. A pesar de este aumento, muy pocos de los servidores que ocupaban los primeros puestos de la lista en el primer semestre de 2009 siguen ocupándolos en el segundo semestre del mismo año. Las redes de distribución de malware tienden a ser objetivos en continuo movimiento, con servidores que aparecen y desaparecen constantemente en diferentes ubicaciones. Los atacantes usan cada vez más formatos de archivos comunes como vectores de transmisión para las vulnerabilidades de seguridad (formatos como.doc,.pdf,.ppt y.xls, por ejemplo). Las vulnerabilidades de análisis son un tipo de vulnerabilidad en la que el atacante crea un documento especialmente diseñado para beneficiarse de un error en el procesamiento o el análisis del formato del archivo por parte del código. Muchos de estos formatos son complejos y están diseñados para obtener el máximo rendimiento; un atacante puede crear un archivo con una sección de formato incorrecto que usa la vulnerabilidad de seguridad del programa.

19 Figura 27: Vulnerabilidades de seguridad en archivos con formato de Microsoft Office detectadas en el segundo semestre de 2009, organizadas por porcentaje. CVE MS Vulnerabilidad del puntero de objetos formados incorrectamente de Microsoft Word 75.7% CVE MS % CVE MS % CVE MS % Otros 1.1% CVE MS % CVE MS % La mayoría de vulnerabilidades de seguridad utilizadas en la muestra de datos tenían varios años de vida y todas ellas tenían actualizaciones de seguridad disponibles para evitar su uso; una tercera parte de las mismas fueron identificadas por primera vez en El 75,7% de los ataques utilizaron una única vulnerabilidad de seguridad (CVE , la Vulnerabilidad del puntero de objetos con formato incorrecto de Microsoft Office Word) para la que había disponible una solución de seguridad desde hacía más tres años a finales de Los usuarios que no actualizan las instalaciones de los programas de Office con los Service Packs y las actualizaciones de seguridad correspondientes están expuestos a un mayor riesgo de sufrir ataques. La mayoría de los ataques afectaron a equipos con varias instalaciones de programas de Office no actualizados. Más de la mitad (el 56,2%) de los ataques afectaron a instalaciones de programas de Office que no se habían actualizado desde La mayoría de estos ataques afectó a los usuarios de Office 2003 que no habían aplicado ni un solo Service Pack ni otras actualizaciones de seguridad desde el lanzamiento inicial de Office 2003 en octubre de No es nada raro que las víctimas de ataques de vulnerabilidades de seguridad de programas de Office tengan instalaciones de Windows mucho más actuales. Casi dos tercios (62,7%) de los ataques a Office detectados en el segundo semestre de 2009 afectaron a equipos que utilizaban versiones de Windows que habían sido actualizadas en los 12 meses anteriores. La media de tiempo desde la última actualización del sistema operativo en el caso de los equipos de la muestra fue de 8,5 meses, a diferencia de los 6,1 años de la actualización más reciente de los programas de Office; casi nueve veces más tiempo. Estos datos ayudan a ilustrar el hecho de que los usuarios pueden mantener Windows actualizado de forma rigurosa y a pesar de ello enfrentarse cada vez a más riesgos de vulnerabilidades de seguridad, a menos que actualicen también el resto de programas con regularidad.

20 Incidentes Tendencias de las infracciones de seguridad Incidentes de seguridad que tuvieron consecuencias en la privacidad A lo largo de los últimos años, en diferentes jurisdicciones de todo el mundo se han redactado leyes que requieren que los usuarios afectados sean notificados cuando una organización pierda el control de la información de identificación personal (PII por sus siglas en inglés) de que disponga. Estos avisos obligatorios ofrecen información exclusiva acerca de cómo los trabajos de seguridad de la información deben tratar los problemas debidos a la negligencia o la tecnología 4. Figura 28: Infracciones de seguridad resultantes de ataques y negligencia, desde el primer semestre de 2008 hasta el segundo semestre de Negligencia Ataque S08 2S08 1S09 2S09 4 Desde 2005, unos investigadores de seguridad voluntarios disponen de informes de seguimiento a nivel mundial acerca de estas infracciones de seguridad y las han registrado en la Data Loss Database (DataLossDB) de