Informe de. Cuarto trimestre de Informe. Informe de McAfee Labs sobre amenazas Cuarto trimestre de

Transcripción

1 Informe de McAfee Labs sobre amenazas Cuarto trimestre de 213 Informe Informe de McAfee Labs sobre amenazas Cuarto trimestre de 213 1

2 Acerca de McAfee Labs McAfee Labs es la referencia mundial en investigación sobre amenazas, información sobre amenazas y liderazgo de pensamiento sobre ciberseguridad. Gracias a la información de millones de sensores sobre los principales vectores de amenazas: archivos, la Web, la mensajería y las redes, McAfee Labs proporciona información sobre amenazas en tiempo real, análisis crítico y opiniones de expertos para mejorar la protección y reducir los riesgos. Nos esforzamos para hacer que nuestros informes sobre amenazas sean más atractivos y pertinentes. Esperamos que los cambios sean de su agrado. Introducción Bienvenido al Informe de McAfee Labs sobre amenazas: Cuarto trimestre de 213. Hemos aprovechado esta edición para plasmar el nuevo enfoque que vamos a dar a nuestros informes sobre amenazas a partir de ahora. Presentamos una publicación más breve, con una sección denominada "Principales temas del trimestre" que describe las principales amenazas y problemas de seguridad del trimestre. Cada edición se centrará además (de forma rotativa) en las amenazas y preocupaciones en torno a las cuatro grandes tendencias de TI: la tecnología móvil, los medios sociales, la nube y los grandes volúmenes de datos o "big data". El informe es ahora más atractivo desde el punto de vista visual y resulta también más fácil de consultar. Hay algo que se mantiene invariable: las estadísticas y la completa información sobre amenazas que recopilamos a través de nuestra red McAfee Global Threat Intelligence. Presentados en su mayor parte en forma de series cronológicas, estos datos de gran interés le permitirán comprender mejor el panorama de amenazas, en constante evolución. En la edición de este trimestre, ilustramos la contribución de la industria del malware a los ataques a los terminales punto de venta de los supermercados Target en EE. UU. y otras grandes empresas minoristas. Explicamos cómo los archivos binarios firmados restan valor el sello de confianza que proporcionan las autoridades de certificación. Describimos el impacto del descubrimiento por parte de McAfee Labs de una vulnerabilidad de tipo zero day en Microsoft Office y, por último, analizamos la recopilación excesiva de información de las aplicaciones móviles y su relación con el malware. Vincent Weafer, Vicepresidente Primero, McAfee Labs Informe de McAfee Labs sobre amenazas Cuarto trimestre de 213 2

3 Índice Informe de McAfee Labs sobre amenazas Cuarto trimestre de 213 Este informe ha sido preparado y redactado por: Benjamin Cruz Paula Greve Barbara Kay Haifei Li Doug McLean François Paget Craig Schmugar Rick Simon Dan Sommer Bing Sun James Walter Adam Wosotowsky Chong Xu Resumen ejecutivo 4 TEMAS PRINCIPALES del trimestre La industria de la ciberdelincuencia y su papel en los ataques a terminales punto de venta (TPV) 6 Archivos binarios firmados maliciosos: podemos confiar en el modelo de autoridades de certificación? 9 El exploit de tipo zero-day de Microsoft Office: un descubrimiento de McAfee Labs 11 Malware para dispositivos móviles: la progresión implacable 12 Estadísticas sobre amenazas Malware 15 Amenazas web 19 Amenazas de la mensajería 21 Amenazas a través de la red 22

4 Resumen ejecutivo Resumen ejecutivo La industria de la ciberdelincuencia ha jugado un papel esencial en la ejecución y monetización de los ataques a terminales punto de venta. El rápido crecimiento del número de archivos binarios firmados maliciosos está erosionando la confianza de los usuarios en el modelo de autoridades de certificación Hemos descubierto el primer exploit de tipo zero-day conocido del formato.docx. Los ataques basados en esta vulnerabilidad siguen produciéndose. Parece existir una relación entre las aplicaciones que recopilan excesiva información de datos telemétricos sobre dispositivos móviles y las que contienen o activan malware. El seguimiento de la geolocalización es una preocupación importante. La industria de la ciberdelincuencia y su papel en los ataques a terminales punto de venta (TPV) Nuestro primer artículo está dedicado a las fugas de datos de tarjetas de crédito que han ocupado los titulares este trimestre y sobre cómo el ecosistema de la ciberdelincuencia ha facilitado el trabajo a los autores de estos ataques. Las fugas no tienen precedentes en cuanto a número de registros robados, pero incluso más llamativo resulta la calidad del servicio ofrecido por la industria del malware a sus "clientes". Los agresores compraron malware especialmente diseñado para terminales punto de venta, al que realizaron modificaciones básicas para poder focalizar sus ataques. Es probable que probaran las defensas de sus víctimas y las sortearan utilizando software previamente adquirido. Contaron incluso con un mercado negro dinámico y eficaz, para vender la información de tarjetas de crédito robada, incluido un sistema de pago por TPV con moneda virtual que les garantizaba el anonimato. Materia prima, sistemas de producción, mercado y asistencia para las transacciones, todo listo para que los ladrones puedan realizar su trabajo. Archivos binarios firmados maliciosos: podemos confiar en el modelo de autoridades de certificación? La proliferación rápida de los archivos binarios firmados maliciosos, trimestre tras trimestre y año tras año, pone en cuestión la viabilidad del modelo de autoridades de certificación. No hay que olvidar que el modelo se basa en la presunción de confianza y, sin embargo, hemos contabilizado ocho millones de archivos binarios sospechosos. Aunque es posible que muchos sean programas potencialmente no deseados y no realmente maliciosos, el uso fraudulento de certificados de firma de código legítimos mina la confianza del usuario. Si bien es cierto que la mayoría de los binarios firmados maliciosos son obra de un puñado de "manzanas podridas", no podemos esperar que los usuarios distingan los certificados legítimos de los que no lo son. Nosotros consideramos que el sector de la seguridad debe ayudar a los usuarios a desenrendar este embrollo. De qué certificados nos podemos fiar? Qué nivel de confianza podemos asignarles? El exploit de tipo zero-day en Microsoft Office: un descubrimiento de McAfee Labs En noviembre, McAfee Labs descubrió un exploit 1 de tipo zero-day que aprovechaba una vulnerabilidad de Microsoft Office. Identificamos ataques selectivos dirigidos contra entidades de Oriente Medio y Asia que intentaban apoderarse de datos confidenciales. McAfee Labs trabajó contra reloj con Microsoft para descifrar el exploit y desarrollar las defensas necesarias para neutralizarlo. En este artículo analizamos este exploit en profundidad e ilustramos la dificultad no solo de detectar sino de contener algunos ataques de tipo zero-day. Malware para dispositivos móviles: la progresión implacable Este trimestre nuestro artículo sobre las grandes tendencias de TI está dedicado al malware para dispositivos móviles. Ya tratamos este tema en detalle en el Informe de McAfee Labs sobre amenazas: Primer trimestre de y el correspondiente al tercer trimestre de 213 3, en los que se describieron algunas familias específicas de malware para móviles muy peligrosas y los estragos que causaron. Este trimestre investigaremos la prevalencia de las aplicaciones para móviles que recopilan datos de los usuarios y de telemetría de dispositivos móviles, la relación entre el malware y las aplicaciones que recopilan demasiada información, así como las actividades maliciosas más habituales que lleva a cabo el malware para móviles. McAfee Labs registra 2 nuevas amenazas cada minuto, más de tres por segundo. Informe de McAfee Labs sobre amenazas Cuarto trimestre de 213 4

5 TEMAS PRINCIPALES del trimestre Informe de McAfee Labs sobre amenazas Cuarto trimestre de 213 5

6 temas principales La industria de la ciberdelincuencia y su papel en los ataques a terminales punto de venta (TPV) En diciembre, tuvimos noticias de una serie de ataques a terminales punto de venta (TPV) ocurridos en varias cadenas de tiendas en Estados Unidos. El primer caso atañe específicamente a la empresa Target; este ataque ha sido incluido entre los mayores incidentes de pérdida de datos de la historia 4. Pero no tardaron en aparecer otros casos de cadenas de minoristas afectadas por ataques a TPV. Neiman Marcus, White Lodging, Harbor Freight Tools, Easton-Bell Sports, Michaels Stores y wichcraft sufrieron ataques similares en 213. Aunque no se ha reconocido públicamente que estos ataques estén relacionados o perpetrados por el mismo agresor, en muchos de ellos se empleó el mismo malware comercial para su ejecución. Aunque los acontecimientos de este trimestre no tienen precedentes, el malware para TPV no es una novedad. En los últimos años hemos asistido a un notable incremento, entre otras, de las familias de malware POSCardStealer, Dexter, Alina, vskimmer o ProjectHook, muchas de las cuales se pueden comprar en Internet. CALENDARIO DE ATAQUES DESTACADOS A TERMINALES PUNTOS DE VENTA WHITE LODGING HARBOR FREIGHT NEIMAN MARCUS WICHCRAFT MICHAELS STORES TARGET EASTON-BELL SPORTS Abril de 213 Mayo Junio Julio Agosto Septiembre Octubre Noviembre Diciembre Enero de 214 White Lodging: 3 de marzo de de diciembre de 213 Harbor Freight Tools: 6 de mayo de de junio de 213 Informe de McAfee Labs sobre amenazas Cuarto trimestre de Neiman Marcus: 16 de julio de de octubre de 213 wichcraft: 11 de agosto de de octubre de 13

7 temas principales Target ha confirmado la presencia de malware en sus terminales punto de venta. En cooperación con varias agencias, McAfee Labs ha conseguido identificar con precisión el malware utilizado en este ataque. Hasta la fecha, Target es el único minorista para el que podemos afirmar esto sin temor a equivocarnos. También sabemos que Target emplea una aplicación de TPV personalizada 5. Este detalle es clave, ya que indica que los agresores no pudieron conocer el sistema "offline", a través de filtraciones de aplicaciones de TPV comerciales ampliamente disponibles. Sabemos que, aunque el malware de Target se basaba en BlackPOS, gracias a algunas personalizaciones, permitía un comportamiento específico en el entorno de esta empresa. Los datos relativos a nombres de dominios de Active Directory, cuentas de usuarios y direcciones IP de los recursos compartidos de SMB estaban codificados en secuencias de comandos que introdujeron en los sistemas de las víctimas algunos de los componentes del malware. El malware utilizado para atacar Target incluía secuencias de comandos codificadas para robar nombres de dominio, cuentas de usuario y otros datos. La siguiente secuencia de comandos provocó el envío de los datos de seguimiento de tarjetas de crédito registrados a un servidor remoto. Los comandos de la imagen anterior activaron esta secuencia de comandos. Esta secuencia de comandos que envió datos de tarjetas de crédito a los ciberdelincuentes en el origen de los ataques contra de Target. Observe que esta secuencia de comandos se escribió en texto sin cifrar. Además, tampoco se cifraron ninguno de los datos de la tarjeta transmitidos. Se enviaron a través de FTP en texto plano hasta llegar a su destino, sin cifrar durante todo el trayecto. Todos estos ataques recibieron una gran cobertura mediática y es posible que pase algún tiempo antes de que conozcamos en detalle sus consecuencias. Sin embargo, debemos reconocer que esta clase de ataque dista mucho de los que conocemos como "avanzados". La familia de malware BlackPOS es un kit de exploits comerciales que cualquiera con conocimientos básicos de programación o del funcionamiento del malware puede modificar y redistribuir fácilmente. El código fuente de BlackPOS también se ha filtrado en numerosas ocasiones. Igual que ocurría con Zeus/Citadel, Ghst, Poison Ivy o muchos otros kits, cualquiera puede aprovecharlo, modificarlo y utilizarlo para sus propios intereses. Vendedores ofrecen BlackPOS ("recopilador de datos de volcado y memoria caché") a través de Internet. Informe de McAfee Labs sobre amenazas Cuarto trimestre de 213 7

8 temas principales Florecen los mercados online para la venta de números de tarjetas de crédito robados. Además, evadir las aplicaciones y controles antimalware más conocidos es práctica común. Probar y garantizar que las aplicaciones de seguridad más conocidas no consiguen detectar troyanos generados mediante estos kits es un juego de niños, y los ciberdelincuentes dominan perfectamente esta disciplina. Todos los días descubrimos nuevas utilidades de cifrado, compresión y otros métodos de ocultación destinados a evadir los dispositivos de detección. El software para probar los mecanismos de seguridad de sus víctimas y los kits de exploits para sortear dichas medidas están disponibles en Internet. Qué ocurrió con los millones de números de tarjetas de crédito robados a Target? Nosotros hemos seguido su rastro y observamos que continúan apareciendo en grandes cantidades en los principales mercados negros de tarjetas de crédito (en forma de archivos de volcado de datos incluidos en las bandas magnéticas). En general, los ladrones agrupan los datos en lotes de 1 a 4 millones de números. Un mercado negro de tarjetas de crédito muy popular es Lampeduza Republic. Gracias a su jerarquía perfectamente organizada y su documentada constitución contribuye a un mercado disciplinado y funcional. La red de sitios web de ventas de Lampeduza es muy activa y contiene muchos lotes obtenidos en estos últimos ataques a minoristas. Para pagar las tarjetas de crédito robadas, los ladrones pueden utilizar uno de los numerosos mecanismos de monedas virtuales anónimos, como Bitcoin. Creemos que estos ataques tendrán repercusiones a largo plazo. Esperamos ver cambios en el enfoque de la seguridad y en las obligaciones en materia de conformidad, además de, por supuesto, de procesos judiciales. Pero la conclusión es que nos enfrentamos a una próspera industria de ciberdelincuencia que está en expansión y que jugó un papel esencial en la realización y monetización de estos ataques. Informe de McAfee Labs sobre amenazas Cuarto trimestre de 213 8

9 temas principales Los usuarios ya no pueden simplemente confiar en un certificado. Deben conocer la reputación del proveedor que ha firmado el archivo binario y su capacidad para proteger sus datos. Archivos binarios firmados maliciosos Para garantizar el acceso seguro a la información a través de Internet se requiere un esquema en el que deben participar terceros de confianza conocidos como autoridades de certificación con el fin de proporcionar certificados digitales a los proveedores de servicios que envían la información. En este modelo de confianza, una aplicación (o archivo binario) debe estar "firmada", lo que significa que ha obtenido un certificado de una autoridad de certificación o su representante que demuestra que el proveedor del servicio es el propietario de la aplicación. Si un ciberdelincuente consigue obtener un certificado de una aplicación maliciosa (un archivo binario firmado malicioso), es más fácil llevar a cabo un ataque, ya que con el certificado los usuarios confiarán en el proveedor de servicios. Pero, qué ocurriría si miles o millones de aplicaciones maliciosas obtuvieran certificados? Llegará el momento en el que los usuarios dejarían de confiar en la seguridad de las aplicaciones y se cuestionarían la viabilidad del modelo de autoridades de certificación. McAfee Labs lleva años controlando el crecimiento del malware firmado digitalmente. Esta amenaza no solo crece más rápido que nunca, sino que, además, cada vez es más compleja. Durante este trimestre, hemos descubierto más de 2,3 millones de archivos binarios firmados maliciosos nuevos y exclusivos. Esto representa un aumento del 52 % con respecto al trimestre anterior. En términos anuales, el número de archivos de este tipo descubiertos en 213 (casi 5,7 millones) es más del triple respecto a 212. NUEVOS ARCHIVOS BINARIOS MALICIOSOS FIRMADOS El número de archivos binarios firmados maliciosos que contiene nuestra biblioteca se ha triplicado en 213, y supera ahora los 8 millones Los agresores firman el malware para intentar confundir a los usuarios y administradores de manera que confíen en el archivo y, al mismo tiempo, evadir la detección del software de seguridad y sortear las directivas de protección de los sistemas. Una buena parte de este malware ha sido firmado con certificados comprados o robados, pero otros archivos binarios se autofirman o se firman mediante certificados de prueba. En ocasiones, la firma mediante certificados de prueba forma parte de un ataque de ingeniería social o selectivo. 1 5 T3 T4 T1 T2 T3 T4 T1 T2 T3 T Informe de McAfee Labs sobre amenazas Cuarto trimestre de 213 9

10 temas principales TOTAL DE ARCHIVOS BINARIOS MALICIOSOS FIRMADOS Igualmente, algunos programas firmados por Tuguu SL, Payments Interactive SL y Lunacom Interactive Ltd. llevan a secdls.com, tuguu.com o domaiq.com, que son todos propiedad de la misma entidad. Estas entidades ofrecen paquetes de servicios, pago por instalación, análisis o publicidad, entre otros. Cuando analizamos estos hallazgos, descubrimos que los dos infractores principales del trimestre, Tuguu SL y DownloadMR, representan un tercio del total del malware firmado malicioso. Esta lista no es en absoluto exhaustiva; hay muchos otros certificados asociados con estas redes de distribución de contenido. Sin embargo, la identificación de esta práctica habitual entre los desarrolladores de malware explica el rápido crecimiento del malware firmado T3 T4 T1 T2 T3 T4 T1 T2 T3 T SUJETOS DEL CERTIFICADO EN ARCHIVOS BINARIOS MALICIOSOS FIRMADOS 14 % De dónde procede todo este malware firmado? Aunque el total se compone de certificados robados, comprados o manipulados, la mayor parte de este crecimiento se puede atribuir a turbias redes de distribución de contenido. Se trata de sitios web y empresas que permiten a los desarrolladores de malware cargar sus programas, o de una URL asociada a una aplicación externa que la integra en un programa de instalación firmado. De esta forma, los desarrolladores poco escrupulosos no solo obtienen un canal de distribución, sino que además consiguen ocultarse bajo un manto de legitimidad. El gráfico siguiente muestra los principales sujetos de certificados con archivos binarios firmados maliciosos. Si profundizamos en la investigación, descubrimos que hay distintos sujetos de certificados de archivos binarios firmados maliciosos que llevan a las mismas redes de distribución de contenido sospechosas. Por ejemplo, los archivos binarios firmados por Firseria SL y otros firmados por PortalProgramas extraen contenido de downloadmr.com. 5 % Firseria SL AND LLC Tuguu SL Payments Interactive SL Corleon Group Ltd. 4 % 3 % 3 % 3 % 3 % PortalProgramas ITNT SRL Lunacom Interactive Ltd. Artur Kozak Otros 8 % 6 % 6 % Informe de McAfee Labs sobre amenazas Cuarto trimestre de 213 1

11 temas principales El exploit de tipo zero-day de Microsoft Office A principios de noviembre de 213, McAfee Labs detectó un exploit de tipo zeroday 6 cuyo objetivo era Microsoft Office 7. Observamos las primeras muestras dirigidas contra prominentes organizaciones de Oriente Medio y Asia (incluidas algunas del ejército paquistaní). Estos ataques selectivos intentaban robar datos confidenciales localizando y filtrando tipos de archivos específicos (como.pdf,.txt,.ppt,.doc y.xls) en el entorno de la víctima. Esta vulnerabilidad, CVE , se corrigió en el parche de diciembre de Microsoft como MS Los productos de seguridad de McAfee también se han actualizado para bloquear los ataques que emplean este exploit 9. Este ataque de tipo zero-day aprovecha el formato Word Open XML (docx) 1 y un control ActiveX para eludir determinadas protecciones asociadas a los navegadores ("heap-spraying") 11. Los ataques de tipo "heap-spraying" en Office mediante objetos ActiveX son una novedad. Antes, los agresores elegían Flash Player para llevar a cabo este tipo de ataques en Office. Es una prueba más de que las técnicas de ataque no dejan de evolucionar. Desde que McAfee Labs identificó esta amenaza por primera vez, hemos colaborado con otros investigadores y hemos identificado más de 6 variantes, lo que demuestra que son muchos los ciberdelincuentes que aprovechan esta vulnerabilidad. Incluso observamos variantes del troyano Citadel 12 distribuidas mediante este exploit. Nuestra colección incluye ya casi 5 muestras de malware basadas en este exploit. El ejemplar más antiguo data de mediados de julio de 213. La vulnerabilidad CVE es el primer exploit en circulación que aprovecha Open XML. En el pasado, muchos creían que.docx era un formato muy seguro comparado con el archivo binario Office "roto" 13, pero ahora han cambiado de opinión. Este factor sorpresa podría ser la causa principal por la que nadie detectó la amenaza: los archivos.docx no se consideraban vulnerables, por lo que no se ejecutaban en un entorno aislado (o "sandbox"). El exploit empleaba también una original técnica para efectuar un ataque de tipo "heap-spraying" sin secuencias de comandos, ya que las mejoras de Microsoft Office 27 y las versiones posteriores reconocen y bloquean las acciones de secuencias de comandos con más facilidad. Y lo que es más importante (y preocupante), este fallo está ampliamente documentado y existen exploits de prueba de concepto y reales, lo que simplifica enormemente a otros interesados su incorporación a nuevos ataques, kits de exploits, etc. Durante nuestro análisis, también descubrimos que la función Prevención de ejecución de datos no se activa de forma predeterminada en Office 27 14, lo que aumenta nuestra preocupación. Sin la función Prevención de ejecución de datos, incluso ataques de tipo "heap-spraying" de menor complejidad que el que hemos descrito pueden conseguir su objetivo. Informe de McAfee Labs sobre amenazas Cuarto trimestre de

12 temas principales El malware malicioso aprovecha el consentimiento del usuario para que se compartan datos de aplicaciones móviles para realizar un seguimiento de su ubicación y recopilar información personal. Malware para dispositivos móviles: la progresión implacable En 213 recopilamos 2,47 millones de nuevas muestras de malware para dispositivos móviles, 744 solo en este trimestre. Nuestro "zoológico" de malware alcanzó la cifra de 3,73 millones de muestras al final del año, lo que supuso un impresionante aumento del 197 % respecto a finales de 212. El malware puede llegar hasta un dispositivo móvil prácticamente a través de todos los vectores de ataque asociados a otros tipos de endpoints: normalmente a través de una aplicación descargada, pero también tras visitar sitios web maliciosos, spam, mensajes SMS maliciosos y anuncios. Resulta interesante examinar la prevalencia de las aplicaciones móviles que recopilan datos de los usuarios y telemétricos de los dispositivos móviles, la relación entre aplicaciones que recopilan demasiada información y malware, y las actividades maliciosas que realiza más habitualmente el malware para móviles. NUEVO MALWARE PARA DISPOSITIVOS MÓVILES En 213 se han añadido más de 2,4 millones de muestras de malware para móviles nuevas, lo que supone un incremento del 197 % con respecto a T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T TOTAL DE MALWARE PARA DISPOSITIVOS MÓVILES A partir del Informe de McAfee Labs sobre amenazas: Tercer trimestre de , hemos pasado de un recuento de familias de malware a un recuento de muestras únicas (número de hash) para presentar nuestros informes sobre malware para dispositivos móviles. Hemos tomado esta decisión por dos razones. En primer lugar, queríamos que el método utilizado para informar sobre el malware para móviles fuera coherente con el empleado para todo el malware. En segundo lugar, al indicar el número total de variantes, en lugar del número total de familias de malware para móviles, presentamos una imagen global más precisa del impacto del malware para móviles en los usuarios T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T Informe de McAfee Labs sobre amenazas Cuarto trimestre de

13 temas principales Como se mencionaba en el McAfee Mobile Security Report (Informe de McAfee sobre seguridad para dispositivos móviles) publicado recientemente 16, hemos constatado un increíble porcentaje (el 82 %) de aplicaciones móviles que efectúan un seguimiento de cuándo utilizan los usuarios las redes de datos y Wi-Fi, cuándo encienden su dispositivo, o cuál es su ubicación actual y la más reciente; el 8 % de la aplicaciones recopilan información sobre ubicación y el 57 % controlan el uso del teléfono. Claro está que en la mayoría de los casos ese control es inofensivo. Sacrificamos nuestra vida privada y nuestros datos de identificación a cambio de comodidad, capacidad de acceso y personalización. Pero, qué ocurre si, como excepción, a la hora de recopilar datos el comportamiento de una aplicación no se corresponde con el de otras aplicaciones de su categoría? McAfee Labs dispone de una base de datos de reputación para aplicaciones móviles. Cuando una aplicación se comporta de manera significativamente distinta a otras de su categoría, podemos aumentar el riesgo reflejado en su puntuación de "datos privados compartidos". Cuanto mayor sea la puntuación, más serán los datos privados que comparte en relación a aplicaciones de su categoría. Dentro de cada categoría y para cada aplicación, una puntuación baja significa que la aplicación recopila muy poca información o se comporta de la forma que se esperaría que lo hiciera según la descripción de la misma. También hemos descubierto que parece existir una relación entre las aplicaciones que recopilan una excesiva cantidad de datos telemétricos de dispositivos móviles (según indican nuestras puntuaciones a la hora de compartir datos privados) y las aplicaciones que contienen o activan malware. Cuanto mayor sea la cantidad de datos que recopila una aplicación en comparación con las de su categoría, más debe preocuparse de sufrir una posible pérdida o un robo de datos. De hecho, tras examinar las 1 aplicaciones de nuestra base de datos de reputación de aplicaciones móviles con las puntuaciones más altas a la hora de compartir datos privados, descubrimos que seis contenían malware. Las 1 aplicaciones leían el ID del dispositivo y controlaban su última ubicación conocida. Si profundizamos en el comportamiento del malware para móviles, observamos un par de datos interesantes. En primer lugar, el comportamiento más frecuente observado en más de un tercio del malware es la recopilación y envío de datos telemétricos del dispositivo. El malware envía datos que se pueden utilizar para generar un perfil del comportamiento del propietario del dispositivo móvil. Asimismo, hemos podido constatar una prevalencia elevada de acciones generalmente asociadas al secuestro del dispositivo, como convertirlo en un robot e instalar otro malware incluso más malicioso. En segundo lugar, desde el punto de vista de las tendencias, el malware para móviles parece estar evolucionando: del aprovechamiento de vulnerabilidades a un comportamiento de generación de perfiles y secuestro de dispositivos. Parece ser que se otorga cada vez más valor a los movimientos del propietario del dispositivo. Compartir información de seguimiento con una aplicación móvil puede parecer inofensivo, o como mucho un problema de privacidad, pero tiene profundas implicaciones para la seguridad de las empresas en el mundo del uso de dispositivos personales en el trabajo (fenómeno bautizado como BYOD, literalmente, "trae tu propio dispositivo"). Una muestra de malware inteligente instalada directa o indirectamente en el teléfono del presidente de una empresa por una aplicación móvil de dudosa reputación, y que lo único que hace es controlar la información de geolocalización podría en realidad pasar dicha información a competidores, a proveedores, a analistas financieros, a extorsionadores, o incluso a personas que quieran atentar contra su integridad física. NUEVO MALWARE PARA MÓVILES CON COMPORTAMIENTO DE PIRATERO DE DISPOSITIVOS 45 % 4 % 35 % 3 % 25 % 2 % 15 % Dic 212 Dic % 5 % % Envío de información del dispositivo Spyware Adware Envío de SMS premium Fraude Exploit Malware para dispositivos Android desbloqueados Puerta trasera/ red de bots Herramienta de hacking Downloader/ Instalador Destructivo Spam por SMS Informe de McAfee Labs sobre amenazas Cuarto trimestre de

14 Estadísticas sobre amenazas Informe de McAfee Labs sobre amenazas Cuarto trimestre de

15 ESTADÍSTICAS SOBRE AMENAZAS Malware NUEVO MALWARE T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T MALWARE TOTAL 25 2 El "zoológico" de malware de McAfee Labs aumentó un 15 % durante este trimestre. El número de muestras de malware exclusivas supera ya los 196 millones T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T Informe de McAfee Labs sobre amenazas Cuarto trimestre de

16 ESTADÍSTICAS SOBRE AMENAZAS NUEVO RANSOMWARE El volumen de nuevas muestras de ransomware se ha multiplicado por dos entre el 4.º trimestre de 212 y el 4.º trimestre de 213. McAfee Labs ha añadido 1 millón de nuevas muestras en T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T TOTAL DE RANSOMWARE T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T Informe de McAfee Labs sobre amenazas Cuarto trimestre de

17 ESTADÍSTICAS SOBRE AMENAZAS NUEVOS ROOTKITS 25 2 El número de rootkits ruevos descendió un 73 % durante este trimestre, continuando la tendencia iniciada en T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T TOTAL DE ROOTKITS T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T Informe de McAfee Labs sobre amenazas Cuarto trimestre de

18 ESTADÍSTICAS SOBRE AMENAZAS NUEVAS AMENAZAS CONTRA EL REGISTRO DE ARRANQUE MAESTRO 8 McAfee Labs ha añadido 2,2 millones de nuevas muestras relacionadas con ataques al MBR en T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T Variantes de familias con cargas útiles MBR conocidas Componentes MBR identificados TOTAL DE AMENAZAS CONTRA EL REGISTRO DE ARRANQUE MAESTRO T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T Variantes de familias con cargas útiles MBR conocidas Componentes MBR identificados Informe de McAfee Labs sobre amenazas Cuarto trimestre de

19 ESTADÍSTICAS SOBRE AMENAZAS Amenazas web NUEVAS URL SOSPECHOSAS Hemos registrado un aumento del 4 % en el número de URL sospechosas en T2 T3 T4 T1 T2 T3 T URL Dominios asociados UBICACIÓN DE LOS SERVIDORES QUE ALBERGAN CONTENIDO SOSPECHOSO 3,2 % 31,9 % Norteamérica África Asia-Pacífico,4 % 8,4 % 55,9 % Australia Europa-Oriente Medio Latinoamérica,1 % Informe de McAfee Labs sobre amenazas Cuarto trimestre de

20 ESTADÍSTICAS SOBRE AMENAZAS NUEVAS URL DE PHISHING URL Dominios asociados 1 5 T2 T3 T4 T1 T2 T3 T PRINCIPALES PAÍSES QUE ALBERGAN URL DE PHISHING PRINCIPALES PAÍSES QUE ALBERGAN URL DE SPAM 27 % 24 % 3 % 3 % 4 % 5 % 5 % 6 % 47 % 3 % 4 % 5 % 5 % 12 % 47 % Estados Unidos Brasil Rusia Reino Unido República Checa Francia Japón Otros Alemania Canadá Países Bajos Informe de McAfee Labs sobre amenazas Cuarto trimestre de 213 2

21 ESTADÍSTICAS SOBRE AMENAZAS Amenazas de la mensajería VOLUMEN DE CORREO ELECTRÓNICO MUNDIAL Billones de mensajes T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T Spam Correo electrónico legítimo INFECCIONES POR REDES DE BOTS DE MENSAJERÍA MUNDIALES T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T Informe de McAfee Labs sobre amenazas Cuarto trimestre de

22 ESTADÍSTICAS SOBRE AMENAZAS PREVALENCIA DE REDES DE BOTS DE SPAM A NIVEL MUNDIAL 3 % 4 % 12 % 35 % Cutwall Kelihos 15 % Slenfbot Darkmailer Festi 31 % Otros Amenazas a través de la red PRINCIPALES ATAQUES A REDES Los ataques basados en el navegador, que aprovechan fundamentalmente vulnerabilidades en Internet Explorer y Firefox, han sido las principales amenazas a través de la red durante los últimos seis trimestres. 8 % 9 % 12 % 45 % Navegador Llamada a procedimiento remoto Secuencias de comandos entre sitios Inyección SQL 26 % Otros Informe de McAfee Labs sobre amenazas Cuarto trimestre de

23 ESTADÍSTICAS SOBRE AMENAZAS AMENAZAS CONTRA REDES 16 Ataques al navegador Secuencias de comandos entre sitios Llamada a procedimiento remoto Inyección SQL Otros 2 T1 T2 T3 T4 T1 T2 T3 T TOTAL DE AMENAZAS CONTRA REDES 4 Ataques al navegador Secuencias de comandos entre sitios Llamada a procedimiento remoto Inyección SQL Otros 1 5 T1 T2 T3 T4 T1 T2 T3 T Informe de McAfee Labs sobre amenazas Cuarto trimestre de

24 Acerca de McAfee McAfee, empresa subsidiaria de propiedad total de Intel Corporation (NASDAQ: INTC), permite a las empresas, el sector público y los usuarios particulares disfrutar con seguridad de las ventajas de Internet. La empresa ofrece soluciones y servicios de seguridad proactivos y de eficacia probada para sistemas, redes y dispositivos móviles en todo el mundo. Con su estrategia Security Connected, su innovador enfoque de la seguridad ampliada mediante hardware y su exclusiva red Global Threat Intelligence, McAfee dedica todos sus esfuerzos a la protección de sus clientes Las estimaciones actuales alcanzan los 11 millones de registros de transacciones Ataque de tipo "heap-spraying": método de distribución de la carga últil del malware que inyecta código en una dirección de memoria predecible o reubicable. El código malicioso puede intentar inyectarlo en el espacio de dirección de otro proceso para conseguir el control de un sistema La información de este documento se proporciona únicamente con fines informativos y para la conveniencia de los clientes de McAfee. La información aquí contenida está sujeta a cambio sin previo aviso, y se proporciona "tal cual" sin garantías respecto a su exactitud o a su relevancia para cualquier situación o circunstancia concreta. McAfee y el logotipo de McAfee son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. Las especificaciones y descripciones de productos mencionados en este documento se proporcionan únicamente a título informativo y están sujetos a cambios sin aviso previo; se ofrecen sin garantía de ningún tipo, ya sea explícita o implícita. Copyright 214 McAfee, Inc. 6989rpt_qtr-q4_314_fnl_PAIR Informe de McAfee Labs sobre amenazas Cuarto trimestre de