Registro de Direcciones de Internet para Latinoamérica y el Caribe (LACNIC) Centro Internacional de Investigaciones para el Desarrollo (IDRC)

Transcripción

1 Registro de Direcciones de Internet para Latinoamérica y el Caribe (LACNIC) Centro Internacional de Investigaciones para el Desarrollo (IDRC) Proyecto Amparo You cannot manage what you cannot measure Atribuida a Bill Hewlett ( ), Cofundador de Hewlett-Packard Autores: Patricia Prandini Marcia L. Maggiore Director del Proyecto: Ing. Eduardo Carozo Año 2011

2 Índice Resumen... 5 Capítulo I Presentación del Informe... 6 Introducción...6 Objetivo del informe...7 Principales dificultades...8 Etapas del análisis...9 Estructura del informe...9 Capítulo II Evolución y Marco Conceptual de los Ciberdelitos...11 La prehistoria...11 Actualidad de los ciberataques...12 Quiénes son los delincuentes...13 Objeto del ciberdelito...14 Una cuestión de confianza...15 Capítulo III Panorama General de las Ciberamenazas...16 Introducción...16 Objetivo y alcance del capítulo...17 Metodología...17 Una aproximación sobre la actividad global...18 Correo Electrónico...18 Sitios Web...18 Nombres de dominio...18 Usuarios de Internet...19 Redes Sociales...19 Videos...19 Imágenes...19 Las amenazas en su conjunto...20 Situación global...20 Situación en Latinoamérica...24 Junio 2011 Pág. Nº 2/84

3 Actividad maliciosa discriminada por tipo de amenaza...25 Código malicioso (MALICIOUS CODE)...25 Para qué se usan los códigos maliciosos?...26 Situación global...27 Situación en Latinoamérica...29 Spam...31 Situación Global...31 Situación en Latinoamérica...34 Phishing...35 Botnet...40 Situación global...40 Situación en Latinoamérica...42 Otras actividades maliciosas...43 Código malicioso multiplataforma...43 Búsquedas en la web llevan a sitios maliciosos...44 Las amenazas de las redes sociales...44 Falsos antivirus (rogueware)...45 Violación de datos...45 Explotación de vulnerabilidades...46 Ataque distribuido de denegación de servicio (DDoS DoS)...49 Tendencias Capítulo IV - Impacto Económico...52 Introducción...52 Porqué medir el impacto económico...52 Dificultades para la estimación...53 Costos asociados a los incidentes informáticos...55 Objetivo y alcance del capítulo...55 Informes internacionales...56 Fuentes de datos y metodología...57 Fraudes Financieros...58 Junio 2011 Pág. Nº 3/84

4 Estimaciones...59 Otros valores de interés...61 Fraude en el comercio electrónico...62 Estimaciones...62 Otros valores de interés...63 Fraudes vinculados a la identidad...65 Estimaciones...66 Otros valores de interés...66 Otros tipos de incidentes...67 Los valores de la ciberdelincuencia...68 Capítulo V Conclusiones...71 Capítulo VI Recomendaciones...74 Para los Gobiernos...74 Para la Academia...74 Para el Sector Privado...75 Para los Usuarios...75 Especialistas y Fuentes Consultados...77 Glosario...81 Junio 2011 Pág. Nº 4/84

5 Resumen Latinoamérica ha ingresado al mundo de las Tecnologías de la Información y las Comunicaciones al ritmo de otras sociedades modernas del planeta. Como inevitable consecuencia, se ve obligada a enfrentar un importante desafío para proteger la información de las personas y organizaciones, garantizar la disponibilidad de los servicios y evitar accesos no autorizados a las infraestructuras y sistemas. El presente informe, realizado por iniciativa del Registro de Direcciones de Internet para Latinoamérica y el Caribe (LACNIC) y el Centro Internacional de Investigaciones para el Desarrollo (IDRC), analizó la situación de los países latinoamericanos desde la perspectiva del ciberdelito, considerando la región tanto origen como blanco de ataques. Para ello se consultaron fuentes de datos públicas producidas por entidades gubernamentales y de investigación y empresas proveedores de servicios y productos de seguridad localizadas en la región y en otros países del mundo. El trabajo fue desarrollado con el objetivo de favorecer un mayor conocimiento de la incidencia del ciberdelito en Latinoamérica y de generar un marco para futuras estimaciones y proyecciones, que pueda ser actualizado y mejorado cuando se disponga de información más precisa. Los distintos informes consultados muestran que tanto globalmente como a partir de casos particulares de ataques, Latinoamérica siempre se encuentra presente, representada en primer término por Brasil. Esta situación se aprecia para casos de spam, phishing, código malicioso y botnets, entre otras actividades maliciosas. En general, cuando estos listados se amplían aparecen otros países tales como Argentina, Bolivia, Colombia, Ecuador, Chile, Perú o México. Los casos más resonantes de ataques, como por ejemplo los ocurridos a partir de las botnets Mariposa y Rustock o las infecciones de Conficker o Sality.AE, también se muestran en la región con fuerte incidencia. La tarea de determinar el impacto económico del ciberdelito es sumamente compleja principalmente por la ausencia de reportes concretos de ataques tanto de organizaciones como de usuarios. A pesar de ello, a partir de metodologías empleadas en informes internacionales, pero utilizando datos locales, se realizaron algunas estimaciones de lo que serían las pérdidas anuales en Latinoamérica por phishing tanto para los clientes como para las instituciones bancarias, el fraude en el comercio electrónico y el robo de identidad. Los valores calculados fueron presentados y deben ser interpretados como indicativos ya que ante la ausencia de datos reales, resulta imposible un cálculo más preciso. Los informes y especialistas consultados estiman que el campo de las plataformas móviles, los servicios que soportan las infraestructuras críticas de los países y las redes sociales serán blanco de ataques en el futuro cercano, y que continuará creciendo el robo de identidad a través de ataques combinados. El trabajo concluye con una serie de recomendaciones para países, gobiernos, academia y usuarios y cierra destacando la necesidad de desarrollar estrategias organizacionales, nacionales y regionales para la implementación de instancias de reporte, la generación de confianza entre usuarios y organizaciones en cuanto a la voluntad de combatir el ciberdelito y el establecimiento de condiciones de franca colaboración entre el sector público y el privado y entre los países, favoreciendo de esta manera el desarrollo de una cultura de la ciberseguridad a nivel regional y global. Junio 2011 Pág. Nº 5/84

6 Capítulo I Presentación del Informe Introducción Las sociedades modernas alrededor del mundo funcionan en la actualidad sobre la base de una amplia gama de tecnologías que garantizan su actividad continua, confiable y efectiva. En efecto, servicios esenciales para el bienestar de la población y el desarrollo económico de las naciones se sustentan en un empleo creciente de servicios tecnológicos que mejoran la calidad de vida y facilitan las labores cotidianas de las personas y las organizaciones. Es indudable que el alto nivel de penetración de estas tecnologías de la información y las comunicaciones ha traído múltiples beneficios, extendiendo las posibilidades de incorporación de conocimiento, mejorando la gestión de los gobiernos, agilizando la realización de trámites, facilitando el acceso a servicios bancarios y de comunicaciones, favoreciendo contactos globales y hasta influyendo en las actividades de esparcimiento, solo por nombrar algunas ventajas. Latinoamérica no ha sido ajena a este fenómeno y hoy la habita el 10,4% de los usuarios de Internet del mundo, con una penetración del 34,5% sobre el total de sus habitantes, muy por encima del promedio mundial (28,7%) y del de otras regiones del planeta. Estos valores provistos por Internet World Stats 1 muestran además una tendencia positiva a lo largo de la primera década de este milenio, con un crecimiento del 1.032,8% entre los años 2001 y 2010, superando también a otras áreas geográficas. Un informe de VISA2 del año 2010 concluía que el comercio electrónico en Latinoamérica y el Caribe había registrado un crecimiento de más del 39% durante el año 2009, alcanzando los millones de dólares en dicho período. Diversos informes señalan que Latinoamérica se convirtió en el segundo mercado de telefonía celular más grande del mundo, desplazando a Europa de Este3. Sin embargo, estas mismas tecnologías que facilitan la vida cotidiana y potencian el desarrollo económico, presentan importantes desafíos frente a la necesidad de proteger la información de las personas y organizaciones, garantizar la disponibilidad de los servicios y evitar accesos no autorizados a los datos y sistemas. La naturaleza global de Internet implica que los ataques o las fallas puedan impactar en cualquier punto de su estructura y complejiza la posibilidad de identificar a sus autores y determinar su verdadero alcance e impacto. Como agravante, la tecnología se desarrolla a un ritmo extremadamente rápido y el tiempo que media entre el descubrimiento de una nueva vulnerabilidad y la aparición de las técnicas que la explotan, es cada vez menor. En la mayoría de los casos, la tecnología empleada en los ataques es simple, barata y fácil de conseguir en uno o más sitios de la propia Internet y los mecanismos utilizados pueden 1 Internet World Stats World Internet Users and Population Stats - Consultado el 20/05/ Ecommerce Journal - Artículo del 06/08/ Visa: e-commerce in Latin America and Caribbean has spiked nearing 40% in Consultado el 13/04/ BBC Mundo - Artículo del 07/10/2010 por David Cuen Latinoamérica es el segundo mercado de celulares más grande del mundo - Consultado el 13/04/ Junio 2011 Pág. Nº 6/84

7 automatizarse por lo que aumentan las posibilidades de replicación del daño, a partir de una única acción. Otra característica que acompaña este escenario es el encadenamiento de ataques, de manera que combinando distintas herramientas tecnológicas y mecanismos de engaño, es posible llegar a un número cada vez mayor de personas conectadas, desmaterializando el concepto de fronteras organizacionales o nacionales. Se ha registrado también un desplazamiento del foco hacia las computadoras domésticas que a partir del fuerte desarrollo de la banda ancha, son utilizadas para cometer ataques sobre otros individuos o entidades, sin que la víctima siquiera lo perciba. El usuario común se transforma así en un partícipe involuntario de un ataque informático, pudiendo inclusive verse afectado por acciones legales. Nuevamente, los países de Latinoamérica no son ajenos a este fenómeno y como el resto del mundo, sus organizaciones, gobiernos y población en general, sufren las consecuencias de las actividades ilícitas y de las vulnerabilidades propias de las tecnologías y de Internet. Efectivamente, estos ataques se presentan bajo las mismas formas que en otros países, ya sean casos de robo de identidad, PHISHING 4, denegación de servicio, robo de información, violaciones a la propiedad intelectual, etc. Un informe de la firma Symantec5 indica que Latinoamérica es fuente de una elevada proporción de computadoras infectadas por botnets en el mundo, alcanzando un 15% del total global. La Federación Brasilera de Bancos del Brasil (Febraban)6 por su parte, informó que el volumen de fraudes electrónicos en el primer semestre del 2010 fue de aproximadamente el equivalente a 245 millones de dólares. Frente a este panorama, aparecen diversos interrogantes a la hora de determinar la verdadera dimensión del problema. Cabe preguntarse cuál es la real situación de Latinoamérica frente a este fenómeno, cuál es el impacto que tienen los ataques cibernéticos sobre sus países y las personas que los habitan, cuáles son las pérdidas estimadas a consecuencia de la ciberdelincuencia e inclusive, cómo participa la región en la realización de esos ataques. Objetivo del informe En este contexto, el objetivo general de este trabajo es analizar la situación de los países latinoamericanos desde la perspectiva del ciberdelito, considerando que éstos puedan ser tanto origen como blanco de ataques. En consecuencia, el presente informe se propone: Revisar y exponer el panorama de los ciberdelitos que afectan en mayor medida a los países de la región, compendiando para ello la información disponible en bases de datos de acceso público 4 El formato cursiva y versales identifica a las palabras cuyo significado se encuentra en el Glosario. Cabe señalar que se ha optado por mantener en el idioma de origen aquellas palabras que no tienen una adecuada traducción al Castellano. 5 Symantec Corporation - LAM Bot-Infected Computers by Country for 2010 Consultado el 15/05/ y 6 NOW!DIGITAL BUSINESS Artículo del 31/08/2010 por Renato Rodrigues Fraudes em internet banking deram prejuízo de R$ 900 milhões em 2009 Consultado el 20/05/ Junio 2011 Pág. Nº 7/84

8 Recoger las opiniones de especialistas en cuanto al estado de la ciberdelincuencia en la región Proyectar una serie de indicadores valorizados que permita obtener una idea de la magnitud del impacto económico de los incidentes de seguridad en Latinoamérica Generar un marco para estimaciones futuras del impacto del ciberdelito en la región, que pueda ser actualizado y mejorado cuando se disponga de información más precisa Utilizar un enfoque múltiple que comprenda organizaciones, personas, países, gobiernos y en lo posible, datos globales para toda la región En base al análisis realizado, presentar una serie de recomendaciones y medidas a adoptar a nivel nacional, de las organizaciones y de las personas para mitigar el impacto de estas actividades delictivas en la región. Cabe resaltar que los datos y valores fueron obtenidos de fuentes públicas provenientes de informes producidos tanto por organizaciones públicas como por entidades privadas de la región o de otros países del planeta. Se hace la salvedad que, debido a la escasez de datos concretos sobre casos de incidentes ocurridos, los valores indicados en este trabajo, ya sea en cuanto a volumen de incidentes como en las proyecciones económicas, no deben ser interpretados como estadísticas, sino como compilaciones o recopilaciones de información sobre casos acontecidos. Principales dificultades Como ya fuera planteado precedentemente, resulta difícil en la actualidad formular conclusiones precisas respecto a las consecuencias de fallas, ataques o vulnerabilidades reales o potenciales, que afectan a la información tanto de las personas y entidades como de las naciones. Esto se debe a diversos motivos, entre los que se encuentran: La reticencia a informar los incidentes ocurridos por parte de las organizaciones, los países y las personas La existencia de publicaciones con datos disímiles de entidades nacionales o internacionales y la escasez de cifras de organismos oficiales Las dificultades, e inclusive la imposibilidad en ciertos casos, para determinar el impacto global de algunos tipos de ciberataques En encadenamiento de los incidentes informáticos que resultan en un único ataque, como por ejemplo un caso de denegación de servicio, que podría ser en realidad el resultado de una infección de software malicioso en una serie de equipos que los convierte en ZOMBIES de una botnet, que luego es utilizada para concretar la agresión La necesidad de utilizar supuestos y de efectuar proyecciones respecto al porcentaje de incidentes reportados que pueden tornar impreciso el cálculo Las complejidades para cuantificar el efecto económico o financiero sobre personas y organizaciones, tanto en forma individual como agregada La falta de homogeneidad en la metodología de conteo de los incidentes Junio 2011 Pág. Nº 8/84

9 Las dificultades para valorizar factores tales como pérdida de reputación, imagen, etc. Por otra parte, es dable indicar que la presente revisión tuvo una duración acotada entre los meses de febrero y junio de 2011, por lo que se basó fundamentalmente en fuentes de datos públicas. Estudios futuros que puedan extenderse en un lapso mayor podrán aprovechar el empleo de otras metodologías como por ejemplo, las encuestas, el uso de muestras de ocurrencia real de patrones de ataque, el empleo de señuelos, etc., con el fin de mejorar la precisión de los datos analizados. Etapas del análisis El presente informe fue realizado sobre la base de las siguientes etapas: Relevamiento de información disponible en fuentes públicas de la región, ya sea por país o globales y por tipo de incidente Evaluación de los datos para determinar factibilidad de cuantificación, tanto en cuanto a cantidad de casos como económica Entrevistas personales y virtuales a especialistas Establecimiento de una metodología de análisis Desarrollo conceptual del tema Análisis de datos Formulación de conclusiones y recomendaciones Estructura del informe A continuación de este capítulo que tiene como objetivo presentar las principales características del informe, el Capítulo II resume la evolución de los ataques informáticos en el tiempo y presenta los contenidos conceptuales más importantes vinculados al tema bajo análisis. El Capítulo III por su parte, expone y analiza el panorama general de las ciberamenazas, presentando asimismo valores regionales y por país, recopilados según el tipo de incidente, la cantidad de casos registrados y sus consecuencias. El Capítulo IV es un intento de estimación del impacto económico del ciberdelito a nivel de los países, las organizaciones y de ser posible, la región. Modelar y realizar proyecciones sobre las implicancias económicas de los ciberataques es una tarea compleja, por lo esta sección despliega estimaciones basadas en supuestos justificados, siguiendo en la mayoría de los casos y ante la ausencia de datos locales, los esquemas de cálculo utilizados en otros países para este tipo de análisis. En los casos en que fue posible, se tuvieron en cuenta como base de cálculo, valores y estimaciones regionales. Finalmente los Capítulos V y VI incluyen respectivamente, las principales conclusiones del trabajo y una serie de recomendaciones respecto a las medidas que se deben adoptar para proteger la información, desde el punto de vista de las personas, las organizaciones y los países. Como anexos se agregan la bibliografía consultada y las fuentes de información a las que se tuvo acceso, un listado de los expertos consultados para la preparación del informe y un glosario con las principales definiciones. Junio 2011 Pág. Nº 9/84

10 El presente estudio es realizado por iniciativa del Registro de Direcciones de Internet para Latinoamérica y el Caribe (LACNIC) y el Centro Internacional de Investigaciones para el Desarrollo (IDRC) y se enmarca en los esfuerzos que vienen realizando ambas entidades para fortalecer la capacidad regional de atención y respuesta a incidentes de Seguridad en la Región de Latinoamérica y el Caribe, buscando incrementar las acciones de prevención y la resiliencia frente a los ciberataques que afectan la región. El desarrollo del trabajo fue supervisado por el Ing. Eduardo Carozo, Director Ejecutivo de AMPARO, proyecto de LACNIC cuyo principal objetivo es fortalecer la difusión, el conocimiento y la atención de la problemática de Seguridad de la Información en los países de Latinoamérica y el Caribe, fundamentalmente en el ámbito privado de las empresas y organizaciones sociales. Junio 2011 Pág. Nº 10/84

11 Capítulo II Evolución y Marco Conceptual de los Ciberdelitos La prehistoria La historia de los ciberataques puede rastrease posiblemente a las primeras experiencias de generación de código malicioso. En efecto, el desarrollo de lo que hoy se conoce por tal fue en sus comienzos experimental y no tenía como objetivo realizar un daño sino desafiar a los sistemas operativos de la época. En 1982 se programó el primer virus informático para las computadoras Apple II, aunque aún no se lo denominaba de esa manera, que se propagaba infectando los disquetes del sistema operativo. Sin embargo, existen también antecedentes que dan cuenta de la existencia de casos registrados para el sistema IBM 360, allá por los comienzos de los 70. En 1983 Fred Cohen, un estudiante de posgrado crea uno para UNIX. El primer virus para PC IBM fue creado por dos hermanos pakistaníes en 1986, con la intención de proteger de la piratería los programas de su autoría. Unos años después, en noviembre de 1988 el Gusano de Morris sacó de servicio al 10% de las computadoras VAX y SUN conectadas a INTERNET en los EEUU, afectando a unos equipos en total. De hecho se le atribuye a Andy Sudduth, estudiante de la Universidad de Harvard, la frase Hay un virus suelto en la Internet 7, pronunciada unos minutos después de que se conociera el incidente. El origen de esta primera infección masiva fue un programa de 99 líneas, escrito por Robert Tappan Morris, estudiante de doctorado de la Universidad de Cornell, que llevó a que los equipos infectados se vieran inundados por miles de tareas, forzando a los administradores a desconectarlas directamente de la red. Años después en el 2001, el gusano Código Rojo causó una denegación de servicio de una gran cantidad de sitios web, afectando los servicios de Internet y dejando fuera de línea a las operaciones de varios gobiernos y empresas. Así comenzó esta historia que ha ido cambiando a través de los años para convertirse en una realidad cada vez más preocupante. Hace no muchos años a fines del siglo XX, el software malicioso era muy molesto y peligroso en tanto y en cuanto podía ser la causa de la pérdida de información valiosa como consecuencia de su accionar: destrucción de archivos o discos completos; o bien la imposibilidad de operar o verse obligado o tener que rearmar el sistema operativo y recuperar la información, siempre y cuando se hubiera hecho el correspondiente resguardo. Pero resultaba aún más aterradora su posibilidad de replicarse a través de varios canales como los diskettes o el uso de un aún incipiente sistema de correo electrónico. En las organizaciones, la situación empezaba a tornarse más grave ya que se inundaban las redes produciendo una reducción importante del tiempo de respuesta, más el daño ya mencionado en los equipos. Todo esto conllevaba y conlleva también hoy, sin lugar a dudas, a importantes pérdidas económicas, tanto por el valor de la información en sí, como por el tiempo que absorben las tareas de 7 Traducción de las autoras de la frase: There may be a virus loose on the internet Junio 2011 Pág. Nº 11/84

12 detección del problema y luego de recuperación y reconstrucción de los datos afectados, en los casos en que esto es factible. Esta situación creció en volumen con el masivo uso del correo electrónico que como ya fuera dicho, sirvió como medio de transporte de archivos infectados. Hasta aquí, el daño se circunscribía al hardware y software impactando sobre la operatoria tanto de las organizaciones como de usuarios individuales. Actualidad de los ciberataques A comienzos de este siglo la situación comenzó a cambiar. El auge de Internet, la innovación permanente que requiere la generación de software que probablemente no ha sido lo suficientemente probado en sus aspectos de seguridad, la necesidad de ganar mercados, la inundación de nuevos dispositivos, protocolos, lenguajes, paradigmas de desarrollo, herramientas de automatización, etc., han presentado una cantidad inusitada de oportunidades para quienes buscan algo más que desafiar a la tecnología. Más aún, la expansión del uso de las PC, la computación distribuida, la penetración de Internet con una banda ancha cada vez mayor, la creciente dependencia de las organizaciones respecto de las tecnologías de la información y las comunicaciones y el soporte que éstas brindan a las infraestructuras de servicios esenciales de los países, han creado un panorama complejo para la adopción de medidas adecuadas de protección de la información en formato digital. En este contexto, empiezan a aparecer personas y organizaciones que utilizan toda la tecnología disponible para generar redes con propósitos delictivos de todo tipo, desde obtener ganancias a partir del fraude a producir múltiples daños a compañías específicas o a infraestructuras críticas nacionales. En este sentido, el software malicioso y otros tipos de ataques surgidos a lo largo de estas últimas décadas, han evolucionado hacia la generación de amenazas vinculadas a la comisión de actos ilícitos con el objetivo de obtener beneficios económicos, el mero reconocimiento de la comunidad de ciberatacantes o la venganza respecto a una o varias entidades específicas. En este sentido, actualmente resulta habitual relacionar los ciberataques con el negocio del crimen organizado. Como puede apreciarse, el panorama es completamente diferente al que se presentaba en los primeros tiempos, pudiendo observarse amenazas más complejas y sofisticadas, más agresivas, mejor dirigidas y con intenciones más claras y concretas. A manera de ejemplo, los sitios web y el software maliciosos han aumentado casi seis veces durante los años 2009 y 2010, pudiéndose observar una cantidad de nuevos tipos superior a la surgida en la suma de todos los años anteriores. Un factor que debe tenerse en cuenta es la necesidad de investigar el negocio generado por estas amenazas, la dimensión de su verdadero impacto, las motivaciones que se esconden detrás de su desarrollo y la manera en que operan los ciberdelincuentes, alimentando una economía clandestina que crece exponencialmente día a día. Un modelo de negocio delictivo que en la actualidad es ampliamente explotado a través de Internet y que hoy se conoce como ciberdelito o cibercrimen. Junio 2011 Pág. Nº 12/84

13 Los especialistas opinan que el ciberdelito se está expandiendo en Latinoamérica y que los negocios de estas organizaciones criminales dejan ganancias semejantes a las de otros delitos de gran envergadura.8 Con la creciente amenaza de ciberdelincuentes que buscan información corporativa y sobre los consumidores, la seguridad de la información pasa a ser un aspecto primordial en el uso de las tecnologías. Quiénes son los delincuentes Los delitos han existido prácticamente desde el origen de la humanidad, y quienes los cometen manifiestan motivaciones que van desde la revancha a la curiosidad, la ambición excesiva, la necesidad o el placer de romper las reglas, entre otras. Sin embargo, las maneras en que se cometen han cambiado significativamente en el tiempo. Así, hoy nos enfrentamos a los delitos cometidos usando las tecnologías o bien aquellos que las tienen como blanco. En este contexto, los delincuentes buscan explotar las debilidades de las tecnologías, los vacíos en la legislación y la falta de concientización de los usuarios, así como el alcance global de Internet y su rápida expansión, factores que facilitan la comisión de viejos delitos con nuevas herramientas. El siguiente cuadro es una adaptación del publicado por la Australian Crime Commission9 y compara algunos delitos tradicionales con sus equivalentes en el mundo de las tecnologías. Delitos tradicionales Fraude Hurtos malicioso Ciberdelito equivalente Fraude en línea, subasta fraudulenta, estafa por solicitud de adelanto de fondos a través de Internet menores/daño Hackeos, ataques de software malicioso, denegación de servicios Ofensas contra menores Sitios web pornográficos, creación de perfiles falsos con fines pedófilos Lavado de dinero Sistemas fraudulentos de pago en línea, mulas, engaño nigeriano (Nigerian scam) Robo Robo de identidad, phishing, piratería de software, películas y música, robo de Propiedad Intelectual en soporte electrónico Acoso Ciberacoso a adultos y menores 8 iprofesional.com - El ciber crimen mueve tantos millones como el narcotráfico y se expande en toda la región Fecha de consulta: mayo/ El país.com - Guillaume Lovet: "El cibercrimen es más rentable que el tráfico de heroína" Fecha de consulta: mayo/ elpcibpor_4/Tes 9 Australian Crime Commission Crime Profile Series Cyber Crime Consultado el 06/05/ Junio 2011 Pág. Nº 13/84

14 Una característica del escenario actual del ciberdelito es que plantea una relación asimétrica, donde un número pequeño de personas podría causar un daño enorme en una o varias organizaciones públicas o privadas, con un alto impacto negativo sobre un número potencialmente alto de usuarios. Como con otro tipo de delitos, el perfil del atacante también ha ido cambiando con el tiempo. En el campo de la cibercriminalidad, puede afirmarse que no existe un único tipo de ciberdelincuente, sino varios en base a las motivaciones, la oportunidad y los recursos con los que cuentan. Un informe del Reino Unido10 identifica 4 grandes categorías, a la hora de clasificar a los ciberatacantes: Los servicios extranjeros de inteligencia, que tienden a estar fuertemente organizados y a utilizar técnicas de ataque sofisticadas y amplios recursos. Las grandes redes del crimen organizado, que focalizan cada vez más su atención en la ciberdelincuencia porque ofrece una mayor rentabilidad frente a una inversión mínima y un riesgo relativamente bajo. Las redes más sofisticadas con contactos globales, se concentran en el espionaje industrial mientras que aquellas con menor nivel de organización se vuelcan al robo de datos y a los engaños en línea de gran escala. Las organizaciones legítimas pero de dudosa reputación, que buscan hacerse de datos de propiedad intelectual de otras organizaciones o del espionaje industrial para obtener datos sensibles de otras entidades. Estas actividades pueden ser efectuadas en forma directa o a través de otras organizaciones delictivas, a las que se contrata. En un último peldaño, se ubican las personas o los pequeños grupos de individuos que tienen por objetivo las organizaciones vulnerables o los usuarios comunes y se focalizan en las ganancias que pueden obtenerse del robo de identidad, la sustracción de datos de clientes, los engaños en línea de menor escala, la extorsión o las infecciones por software malicioso. El informe de Australia antes citado por su parte, distingue tres tipo de organizaciones en el campo del ciberdelito: Grupos organizados de delitos tradicionales que emplean las tecnologías de la información y las comunicaciones para potenciar sus actividades criminales Grupos organizados de cibercriminales que operan exclusivamente en línea Grupos organizados de delincuentes motivados por ideologías o posturas políticas extremas Objeto del ciberdelito A diferencia de los delitos convencionales, en los que el dueño o custodio del o los bienes sustraídos pierde la tenencia del bien, en el caso del robo de información, no suele haber pérdida física, por lo que los mecanismos de alerta y detección tienen características distintivas. Otra de las particularidades de este tipo de actividades es la facilidad con que pueden borrarse las evidencias y las dificultades para identificarlas y preservarlas cuando no se es un especialista o no se cuentan con las herramientas adecuadas para su resguardo. Es también un atractivo para la ciberdelincuencia, la desmaterialización de las fronteras nacionales u organizacionales, que habilita al 10 Cabinet Office of United Kingdom - The cost of Cyber crime - A Detica report in partnership with the Office of Cyber Security and Information Assurance in the Cabinet Office Consultado el 24/03/ Junio 2011 Pág. Nº 14/84

15 delincuente a acceder a su blanco sin prácticamente moverse de su silla, a miles de kilómetros de sus eventuales víctimas. Adicionalmente, puede utilizar distintos caminos y recorridos en su afán de dificultar cualquier rastreo. Por otro lado, y dada las asimetrías en las legislaciones, no es clara la tipificación. Todas estas características lo diferencian de los delitos tradicionales y crean un escenario propicio para el desarrollo de las actividades delictivas en el mundo virtual. En el caso de información sustraída a organizaciones, el informe del Reino Unido referido establece que los ciberdelincuentes tienen básicamente cuatro formas de robar la información: Comprar el producto y someterlo a un proceso de ingeniería reversa para reproducirlo Realizar un ciberataque para obtener electrónicamente la información, desde fuera de la red de la organización Realizar un ataque interno, de manera que los datos son obtenidos por alguien que tiene algún nivel de autorización desde dentro de la propia organización Robar la información, mediante el acceso físico al equipamiento donde se encuentra instalado o hurtándola de alguno de los empleados. Una cuestión de confianza Un informe11 de la Empresa CISCO afirma que los ciberdelincuentes cuentan hoy con un arma poderosa: la explotación de la confianza. En efecto, posiblemente desde el origen de los tiempos, las personas han tendido naturalmente a confiar en otras personas, fenómeno que se manifiesta también en Internet y que es aprovechado por el ciberdelito una y otra vez, bajo distintas formas de engaño. En otro sentido pero siempre alrededor del tema de la confianza, las organizaciones tienden a no confiar en otras entidades a la hora de reportar un ataque y ante la posibilidad de que un incidente que comprometa la seguridad pueda trascender, prefieren ocultarlo y no compartir lo acontecido. De esta manera, provocan que un mismo tipo de incidente y eventual delito, pueda ser reiterado en otras organizaciones o afectar a otras personas, favoreciendo sin querer un proceso multiplicador con importantes consecuencias negativas. Pareciera también existir desconfianzas a la hora de trabajar en forma conjunta entre el Sector Público y el Privado, en el combate contra el ciberdelito. De la misma manera, esa desconfianza se manifiesta entre los gobiernos, que si bien en su mayoría reconocen la necesidad de desarrollar estrategias, estándares y normas comunes, tienden a mantener la independencia en cuanto al desarrollo, la reglamentación y el uso de la tecnología dentro de sus fronteras, comprometiendo las posibilidades de una acción coordinada. 11 CISCO CISCO 2010 Annual Security Report Consultado el 06/05/2011 Junio 2011 Pág. Nº 15/84 -

16 Capítulo III Panorama General de las Ciberamenazas Introducción Con el objetivo de conocer la actividad del ciberdelito se accedió a la información que brindan los laboratorios de las empresas proveedoras de soluciones de seguridad, así como la que proveen los investigadores independientes. Son las mencionadas organizaciones las que han desarrollado productos y servicios que permiten la recolección, a través de equipamiento específico, de valiosos datos sobre amenazas y tendencias en Internet, así como sobre la actividad de ataques. Dichos datos son luego analizados por equipos de investigadores, generando reportes sobre la actividad maliciosa global, por región y/o país, enmarcados en diferentes períodos de tiempo. Dichas herramientas son distribuidas a través de todo el mundo utilizando hardware de gran capacidad para el procesamiento de miles de millones de piezas digitales por día. En general participan de esta recolección de datos la extensa comunidad de empresas antifraude, proveedores de seguridad y millones de consumidores. Asimismo, se recolecta MALICIOUS CODE INTELLIGENCE en millones de sistemas cliente, servidores y GATEWAYS, además de capturar amenazas y ataques, muchos de ellos nunca vistos previamente, a través de redes de HONEYPOTS, lo cual permite comprender mejor los métodos utilizados por los atacantes. Otras tecnologías pasibles de ser usadas son los HONEYCLIENTES, REPUTATION SYSTEMS, MACHINE LEARNING y GRID COMPUTING. Es importante destacar que las diferentes compañías cuentan con bases de datos generadas en algunos casos desde hace dos décadas. Por ejemplo, Symantec mantiene una base de datos sobre vulnerabilidades que contiene más de vulnerabilidades registradas que afectan a más de tecnologías provistas por más de proveedores. Panda Security, posee una base de datos de aproximadamente 134 millones de piezas digitales, entre los cuales hay 60 millones de código malicioso. Websense Inc. basa su capacidad en una red internacional que le permite procesar varias decenas de millones de correos electrónicos y sitios webs por hora. A su vez, McAfee Inc. cuenta con una red de millones de sensores en Internet, alrededor del mundo. En general, los resultados de la investigación que las mencionadas organizaciones realizan son expresados en porcentajes y, si bien en algunos casos se aclara que se utiliza registros no duplicados, no se menciona la cantidad resultante. Cabe señalar que esta información que resulta sumamente valiosa, no puede ser considerada estadística ya que no es recolectada según la metodología del muestreo estadístico y tampoco constituye el cien por ciento de las piezas digitales que circulan por las redes extendidas por todo el mundo, ya que esto resulta hoy prácticamente imposible. Sin embargo, dada la magnitud de los Junio 2011 Pág. Nº 16/84

17 volúmenes procesados, sin duda alguna permite una buena aproximación, sobre todo cuando es posible demostrar que diferentes organizaciones llegan a la misma o muy semejante conclusión a pesar de los, algunas veces, diferentes enfoques y distintas capacidades. La tarea de armado de cuadros comparativos entre compañías y de relaciones de los dos años en estudio ha resultado ardua. En general, las compañías e incluso los grupos independientes suelen coincidir en los resultados, si bien en algunas ocasiones, también pueden diferir bastante. La realidad es que se trata de una actividad tan cambiante y dinámica, producto en parte de la acción y reacción de atacantes y defensores, que es bastante difícil conseguir resultados semejantes; fotografías en momentos distintos pueden generar interpretaciones disímiles. Por otro lado, también influye en los resultados la distribución y capacidad de las redes de recolección de datos. Éstas van cambiando a medida que cambian los escenarios. Si bien se entiende que las compañías u organizaciones independientes deben utilizar indicadores proporcionales, no todas lo explican claramente como para validar el criterio. De todos modos, los valores consignados en este informe surgen, en todos los casos posibles, de la obtención de resultados semejantes entre varios investigadores. Además de los métodos de recolección previamente explicados, otras organizaciones como los CERTs o aquéllas dedicadas al servicio de ayuda a las víctimas utilizan metodologías como el análisis de reportes de incidentes recepcionados, o como las consultoras, que realizan encuestas sobre la ocurrencia e impacto de ciertos eventos. Todas las fuentes hasta aquí mencionadas dan base al presente informe. Objetivo y alcance del capítulo El objetivo de este capítulo es presentar las amenazas que generan los ciberdelincuentes para atacar las tecnologías de información, así como señalar los sistemas operativos y productos en los que se ha detectado un mayor número de vulnerabilidades, mostrando en todos los casos cifras representativas de la situación mundial, de la de los países latinoamericanos respecto de aquélla y de Latinoamérica en particular. La investigación se realiza para los años 2009 y 2010 con el objeto de mostrar una etapa de la evolución, descartándose años anteriores por considerar que ante un escenario tan cambiante y vertiginoso, presentarían un panorama que podría ser calificado como antiguo. Por último se realizará una exposición de las tendencias que los expertos han previsto para el año Metodología En primera instancia se relevó la información existente respecto del objeto de estudio y correspondiente a los años que componen el alcance del informe. Posteriormente fue necesario conciliar los datos entre las diferentes fuentes encontradas con el fin de verificar su consistencia, la coincidencia de las amenazas y vulnerabilidades tratadas así como la presentación de las cifras de modo de confirmar que fueran comparables y, en algunos casos convertir o interpretar las diferentes unidades de medida utilizada por las fuentes consultadas. Junio 2011 Pág. Nº 17/84

18 Al mismo tiempo que se analizaba la información se consultó a expertos en la materia con el fin de confirmar o enmendar en caso de ser necesario, las conclusiones formuladas. El modo de presentación de los resultados consiste en mostrar información obtenida de diferentes compañías por cada año con el fin de que el lector pueda hacer sus propias comparaciones. En todos los casos se incluye la definición de la amenaza, las cifras encontradas y un comentario respecto de los efectos, estados o bien situaciones más significativas. Asimismo, siempre se incluye información sobre los países latinoamericanos; ya sea la posición en el ranking mundial o el detalle del ranking de la región. Una aproximación sobre la actividad global Como se ha mencionado en la introducción, las cifras resultantes de las investigaciones realizadas por los expertos, en general son expresadas en porcentajes. Con el objeto de que el lector pueda establecer alguna relación respecto de la magnitud de las ciberamenazas, a continuación se incluye valores sobre la actividad en Internet durante 2010, publicados por Pigdom12 el 12 de enero de Correo Electrónico 107 billones Número de correos electrónicos enviados en Internet durante mil millones Promedio de número de correos electrónico por día 1.88 mil millones Número de usuarios de correos electrónicos en el mundo 480 millones Nuevos usuarios de correo electrónico desde el año anterior 2.9 mil millones Número de cuentas de correo electrónico en el mundo Sitios web 255 millones Número de sitios web a diciembre de millones Creados durante Nombres de dominio 88.8 millones.com al finalizar el año millones.net al finalizar el año millones.org al finalizar el año millones Número de dominios de nivel superior por código de país (ej..cn,.uk,.de, etc.) 202 millones Número total de nombres de dominio de nivel superior a Octubre de Pingdom Compañía Sueca que se dedica al monitoreo de los sitios web de las organizaciones que la contratan con el fin de detectar cualquier posible caída del mismo Consultado el 28/05/ Junio 2011 Pág. Nº 18/84

19 7% Incremento de nombres de dominio desde el año anterior Usuarios de Internet 1.97 mil millones Número de usuarios de Internet en del mundo a junio de % Incremento de usuarios de Internet desde el año anterior millones Número de usuarios de Internet en Asia millones Número de usuarios de Internet en Europa millones Número de usuarios de Internet en America del Norte millones Número de usuarios de Internet en América Latina y el Caribe millones Número de usuarios Internet en África 63.2 millones Número de usuarios de Internet en el Oriente Medio 21.3 millones Número de usuarios de Internet en Oceanía / Australia. Redes sociales 152 millones Número de blogs en Internet según BlogPulse ( 25 mil millones Número de mensajes por Twitter durante millones Número de nuevas cuentas creadas en Twitter durante millones Número de personas en Twitter a Setiembre de millones Número de personas en Facebook al finalizar el año millones Número de nuevos usuarios de Facebook en mil millones Trozos de contenidos (links, notas, fotos, etc.) compartidos en Facebook por mes 70% Porcentaje de usuarios de Facebook localizados fuera de los Estados Unidos 20 millones Número de aplicaciones de Facebook instaladas por días Videos 2 mil millones Número de videos mirados por día en YouTube 35 Horas de video cargadas en YouTube cada minuto 2+ mil millones Número de videos mirados en Facebook por mes. 20 millones Número de videos cargados en Facebook por mes Imágenes 5 mil millones Número de fotos cargadas en Flickr a Setiembre de millones Número de fotos cargadas por mes en Flickr. 3+ mil millones Número de fotos cargadas en Facebook por mes Junio 2011 Pág. Nº 19/84

20 Las amenazas en su conjunto Situación global En este punto se muestra la situación respecto de algunas actividades maliciosas analizadas en forma agregada y a nivel global por país. Se ha seleccionado información de diferentes compañías para obtener una conclusión de la comparación entre ellas. En cada caso se menciona la fuente de la información. Symantec Corporation - Actividad maliciosa global por país Symantec Corporation - Actividad maliciosa global por país Symantec Corporation - Government Internet Security Threat Report Trends for 2010 Consultado el 20/04/ Symantec Corporation - Global Internet Security Threat Report Trends for 2009 Consultado el 20/04/ RS_CP / _GA_RP T_ISTR15_Global_0410.pdf Junio 2011 Pág. Nº 20/84

21 Websense Inc. - Actividad maliciosa en el mundo, Websense Inc 2010 Threat Report A Websense White Paper Consultado el 25/04/ Junio 2011 Pág. Nº 21/84

22 Websense Inc. - Actividad maliciosa en el mundo, Websense Inc - A Websense White Paper Websense Security Labs State of Internet Security, Q3 Q4, 2009 Consultado el 20/04/ Junio 2011 Pág. Nº 22/84

23 Panda Security - Actividad maliciosa en el mundo, Panda Security - Actividad maliciosa en el mundo, De los gráficos anteriores es posible concluir que Latinoamérica se encuentra entre los cinco (5) o diez (10) primeros puestos en el mundo, representada por Brasil. En el caso de Panda Software que toma los primeros veinte (20) puestos, incluye también Argentina, Bolivia, Ecuador, Chile, Perú y México. 17 Panda Security Informe Anual PandaLabs 2010 Consultado el 27/04/ Panda Security Informe Anual Pandalabs 2009 Consultado el 27/04/ Junio 2011 Pág. Nº 23/84

24 Situación en Latinoamérica A continuación se presenta el resultado de las diez (10) primeras posiciones obtenidas del análisis realizado por Symantec, única compañía encontrada que provee esta información, sobre países latinoamericanos. Symantec Corporation - Actividad maliciosa por país, Latinoamérica, 2010 Symantec Corporation - Actividad maliciosa por país, Latinoamérica, Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos América Latina Consultado el 04/05/ Symantec Corporation - Informe de Symantec sobre las Amenazas a la Seguridad en Internet Hallazgos América Latina Consultado el 05/05/ Junio 2011 Pág. Nº 24/84

25 Como es posible observar en los cuadros anteriores, Brasil ocupó el primer lugar en las actividades maliciosas de la región consideradas en la evaluación, tanto en el año 2009 como en Ello fue consecuencia del aumento de su participación en todas las mediciones de categorías específicas, en virtud del rápido y continuo crecimiento de su infraestructura de Internet y del uso de banda ancha. Asimismo ha tenido un aumento significativo en su clasificación de códigos maliciosos, ocupando el quinto lugar a nivel mundial. Esto probablemente se debe a la propagación de las infecciones del GUSANO Downadup (también conocido como Conficker) ocurridas en 2009 y en las que Brasil ocupó el cuarto lugar a nivel mundial. Una explicación de la expansión de Downadup en Brasil es que, como parte de su funcionalidad, el gusano puede centrarse específicamente en regiones con base en su capacidad para identificar la configuración del idioma de una computadora atacada, de los cuales uno es el "portugués (brasilero). También ocupó el tercer puesto a nivel mundial en posibles infecciones por virus y cuarto por posibles infecciones por gusanos. En el 2010, Brasil tuvo una presencia mundial del 5%. Además de ser el país con la mayor cantidad de conexiones de banda ancha en la región, su participación en las grandes BOTNETS tales como Rustock, Maazben, y Ozdok (Mega-D), contribuye en su alto rango de computadoras infectadas (BOTS), emisoras de SPAM y repositorios de phishing. Actividad maliciosa discriminada por tipo de amenaza Bajo este acápite se realizará un análisis global y específico para Latinoamérica por cada tipo de amenaza de las consideradas por Symantec Corporation en su cuadro global, con el objetivo de que, si el lector está interesado, pueda establecer relaciones o comparaciones. Código malicioso (MALICIOUS CODE) Los códigos maliciosos adquieren infinitas formas, aumentan y varían su funcionalidad, desde infectar los equipos para que puedan ser controlados remotamente hasta robar información, atacan diferentes plataformas y cada vez son más sofisticados. Las compañías investigadoras determinan las familias de códigos maliciosos más relevantes, recolectando datos obtenidos para el período en estudio y analizando muestras de códigos malintencionados nuevas y pre-existentes para determinar qué tipos de amenazas y vectores de ataque se emplean con mayor frecuencia. El código malicioso es clasificado en familias basándose en variantes de FIRMAS cuando el código es identificado. Las variantes aparecen cuando los atacantes modifican o mejoran los códigos maliciosos para agregar o cambiar funcionalidades. Estas alteraciones modifican los códigos maliciosos existentes de manera suficiente para que los sensores de los antivirus no puedan detectar la amenaza a partir de una firma preexistente. El mercado en general clasifica los códigos maliciosos por el tipo de acción que realizan. Symantec propone cuatro categorías básicas21: PUERTAS TRASERAS (BACKDOORS), TROYANOS, VIRUS y gusanos. 21 Symantec Corporation - Symantec Government Internet Security Threat Report Trends for 2010 Consultado el 20/04/ Junio 2011 Pág. Nº 25/84