White paper Cómo defenderse de los peligros del malware en 2012

Transcripción

1 White paper Cómo defenderse de los peligros del malware en 2012

2 Índice Resumen ejecutivo Peligros existentes: introducción Análisis de los ataques 1. Inserciones de SQL Ataques con JavaScript y scripts de sitios (o XSS) Secuestro de clics e ingeniería social Ataques de autoridad de certificación Envenenamiento de optimización de motores de búsqueda Phishing Anuncios maliciosos Amenazas avanzadas persistentes (APT) Cookies Cómo defender la empresa de los peligros

3 Resumen ejecutivo Cada vez que usted o uno de sus empleados se conecta a Internet, su empresa corre el riesgo de infectarse con software malicioso: el llamado malware. Hay métodos de conexión más seguros que otros, pero los principales vectores de un ataque de este tipo son los instrumentos que los empleados y clientes usan todos los días: la navegación por Internet y el correo electrónico. Los hackers buscan constantemente nuevas vulnerabilidades o puntos débiles en el sitio web de una empresa. Si logran aprovechar las vulnerabilidades y llevar a cabo la infección con malware, podrían poner en peligro la información sobre los clientes. De este modo, antes de que su empresa tenga tiempo para reaccionar, es posible que los motores de búsqueda introduzcan su sitio web público en una lista negra, la confianza de los clientes podría verse afectada y el proceso de limpieza podría causar estragos en su marca. Ahora que las infecciones con malware cada vez son más inteligentes, con las pérdidas de datos en línea que esto implica, su empresa no puede limitarse a reaccionar cada vez que se produzcan problemas de seguridad en su sitio web. En este white paper, describimos las amenazas existentes hoy en día y explicamos qué pueden hacer las empresas para inspirar confianza en línea en todo momento mediante una serie de soluciones de seguridad complementarias. Lea este documento para saber cómo proteger su reputación y garantizar la seguridad de sus clientes con los certificados SSL y con evaluaciones de seguridad frecuentes, que detectan y analizan posibles problemas y avisan del peligro. 3

4 Peligros existentes: introducción Las amenazas cambian constantemente: en 2011, los hackers no dejaban de sondear los sistemas de defensa para buscar nuevas formas de infiltrarse en las empresas y robar datos. Los ataques se llevan a cabo de distintas formas: en muchos de ellos, se usan técnicas cada vez más avanzadas de ingeniería social con las que se logra que los empleados (ya sea de forma deliberada o sin darse cuenta) abran puertas en el sistema de seguridad de la empresa. Para ello, uno de los recursos consiste en insertar malware en la red empresarial. Al mismo tiempo, no han desaparecido instrumentos de ataque consolidados desde hace tiempo, como los rootkits, los scripts de sitios y las vulnerabilidades de día cero, y los hackers siguen desarrollando y mejorando este tipo de ataques para sortear los mecanismos de detección. Aunque la cantidad de mensajes de correo electrónico de spam se ha reducido con el tiempo, al menos el 68 % de los mensajes sigue siendo spam, según los cálculos de Symantec 1. Además, este tipo de mensajes cada vez parecen más auténticos y son más eficaces a la hora de lograr que los destinatarios hagan clic en enlaces dañinos. Estos ataques ya son difíciles de combatir por sí solos, pero, además, se suelen llevar a cabo combinados entre sí. Por ejemplo, el ataque Trojan.Hydraq lanzado contra Google en 2010 no se limitó a usar una técnica, sino que combinó varios archivos y vectores de ataque para poner en peligro la red. Dado que el malware cada vez es más avanzado y que cada vez se pierden más datos en línea, es imprescindible aplicar parches y actualizar las soluciones de seguridad periódicamente. Para mantener la confianza en línea, los gestores informáticos deben abordar la seguridad del sitio web de forma global, proactiva y en tiempo real. Pero qué infecciones son más peligrosas para la presencia de una empresa en Internet? En este documento, presentamos nueve de las infecciones con malware más peligrosas y habituales capaces de causar estragos en la empresa. 1 Symantec Intelligence Report, febrero de

5 Análisis de los ataques 1. Inserciones de SQL Con frecuencia, detrás de un sitio web hay una base de datos SQL, así que estos ataques se suelen usar para que las bases de datos descarguen la información que contienen y así obtener números de tarjetas de crédito o bloquear el sitio web. Este ataque suele consistir en introducir instrucciones SQL mal formadas en campos que no han sido diseñados para este tipo de instrucciones. Entre los ataques más graves de este tipo que han tenido lugar recientemente, destacan Lizamoon y LulzSec. En 2010, el malware Lizamoon infectó miles de sitios web al conseguir que los usuarios descargaran e instalaran un software antivirus falso e inútil. El grupo LulzSec se declaró responsable de un ataque de inserción de SQL llevado a cabo en 2011 en la red de PlayStation de Sony. Además de descargar contraseñas y datos de administración, el ataque dejó la red inutilizada durante un mes, lo que provocó pérdidas que, según Sony, ascendieron a millones de yenes (aproximadamente 125 millones de euros) Ataques con JavaScript y scripts de sitios (o XSS) Las vulnerabilidades de scripts de sitios permiten a los atacantes sortear los sistemas de seguridad en el cliente de la mayor parte de los navegadores. Los sitios infectados se infiltran en el ordenador del usuario, que a su vez infecta otros sitios web vulnerables cuando el usuario navega en Internet. El navegador no puede saber que el script malicioso, tal vez procedente de un sitio web de confianza para el usuario, en realidad constituye una amenaza. Los scripts pueden acceder a todos los datos a los que tenga acceso el navegador, incluidas las contraseñas y las cookies. Con estos scripts, que pueden ser de JavaScript, ActiveX, Flash o cualquier otro tipo de archivo ejecutable, se ha atacado a numerosos sitios web de éxito, como Facebook 3 y Twitter 4. Estos ataques son muy habituales 5 según los estudios de Symantec los scripts de sitios constituyen el 80 % de todas las vulnerabilidades de seguridad y pueden producirse siempre que un sitio web acepte los datos introducidos por el usuario sin validar por completo los resultados que generan. 3. Secuestro de clics e ingeniería social El secuestro de clics a veces se denomina «reparación de interfaz de usuario». En este tipo de ataques, los hackers superponen en una página web legítima una o varias páginas transparentes u ocultas, con botones y enlaces situados en los mismos lugares que los de la página legítima que está debajo. Así, los visitantes del sitio web creerán que están haciendo clic en un botón o enlace legítimo cuando en realidad están llevando a cabo acciones en una página oculta. De este modo, el usuario puede provocar consecuencias distintas de las deseadas. Han sufrido ataques de este tipo los sitios web de redes sociales como Twitter y Facebook. Por ejemplo, estos enlaces ocultos han hecho que los usuarios publicaran en sus perfiles de Facebook más datos de los deseados, que siguieran a alguien en Twitter sin querer 6 ; o que compartieran enlaces en Facebook sin darse cuenta 7. Cuando esta técnica se usa en los botones «Me gusta» de Facebook, por ejemplo, el malware hace que el usuario indique que «le gusta» una página o producto para recibir una recompensa, cupón o regalo que en realidad no existe. Lo único que quieren los hackers es que los usuarios visiten la página, y a veces reciben comisiones por ello. 4. Ataques de autoridad de certificación Las autoridades de certificación (o CA) son un elemento central de la Public Key Infrastructure (PKI), una tecnología de uso muy habitual que permite a los usuarios comunicarse en Internet de forma segura. Las CA son un blanco muy atractivo para los hackers, pues la emisión de certificados falsos les permite crear sitios web dañinos que parecen de confianza

6 El cometido de las CA es emitir certificados digitales que demuestran que una clave pública pertenece al propietario del certificado. Por ejemplo, el mecanismo SSL (Secure Sockets Layer o «capa de sockets seguros») empleado para cifrar el tráfico web comprueba las identidades mediante la certificación. Para poder comprobar las identidades, deben confiar en la CA tanto el titular del certificado como la persona que lo visualiza. Si se rompe esa relación de confianza, la tecnología PKI no funcionará 8. En 2011 dio mucho que hablar una infracción de seguridad que se produjo en la autoridad de certificación DigiNotar, con sede en los Países Bajos, que firmó un primer lote de 283 certificados falsos y, a continuación, un segundo lote de 248. Este episodio mermó muchísimo la fiabilidad de la CA, que tuvo que revocar los certificados y, poco después, se vio obligada a cerrar 9. Una autoridad de certificación que no gestiona su infraestructura de seguridad de forma rigurosa supone un peligro no solo para sus clientes, sino para toda la comunidad de usuarios de comercio electrónico. Por lo tanto, para protegerse a sí mismas y a sus clientes, las CA deben adaptar continuamente sus sistemas de seguridad y salir al paso de cualquier nueva amenaza. Desde un punto de vista estratégico, esto significa que tienen que respetar los estándares más estrictos en cuanto a seguridad de las infraestructuras y prácticas recomendadas, con el fin de garantizar que están a salvo de estas amenazas. 5. Envenenamiento de optimización de motores de búsqueda El objetivo de los hackers es lograr que los usuarios entren en sitios web destinados a infectar sus ordenadores con malware. Una forma de lograrlo es recurrir al Black hat SEO (técnicas ilícitas de optimización de motores de búsqueda), que consiste en llenar las páginas de palabras clave y enlaces que hacen que a los motores de búsqueda les parezcan sitios web legítimos. Este «envenenamiento» de los índices de los motores de búsqueda hace que los sitios web maliciosos aparezcan por delante de los sitios web legítimos más populares. Si el usuario no examina el enlace con atención, podría llegar a un sitio web que, por ejemplo, lleve a cabo un ataque con JavaScript. 6. Phishing Este tipo de infección abarca una amplia gama de Este ejemplo de phishing es una falsificación de un correo electrónico de Better Business Bureau, un actividades, pero, en pocas palabras, se trata de reconocido servicio de arbitraje y mediación empresarial de Estados Unidos 10. una forma de convencer a los usuarios para dar datos personales (sobre todo de tipo financiero) a una entidad supuestamente fiable. Según los informes de Symantec 10, estos ataques aumentan todos los meses. Las consecuencias del phishing van desde el robo de datos personales, que puede traducirse en pérdidas considerables, hasta la denegación del acceso al correo electrónico. Entre los ataques de este tipo, cabe mencionar el envío de mensajes de correo electrónico que simulan proceder de sitios web de uso habitual, sitios de subastas, procesadores de pagos por Internet, instituciones públicas o incluso los administradores informáticos internos de una empresa. Estos mensajes parecen legítimos, pero no suelen incluir datos personales y el saludo suele ser «Estimado/a cliente de <nombre del banco>». Con frecuencia, este saludo genérico va seguido de una advertencia que dice que la cuenta del titular está en peligro. A continuación, tal vez le pidan al destinatario que haga clic en un enlace que le permitirá indicar su contraseña o PIN, con el fin de demostrar su identidad. Si hace clic en el enlace, entrará en un sitio web malicioso, que podría infectar su equipo e incluso robar los datos de inicio de sesión Symantec Intelligence Report, febrero de

7 Tasa global de phishing en febrero de 2012, según el informe de Symantec. 7. Anuncios maliciosos Este malware hace que aparezcan ventanas emergentes que parecen anuncios (sobre todo aquellos que advierten de que el equipo del usuario podría estar infectado) y piden a los usuarios que hagan clic en ellos. Si el usuario se preocupa y hace clic en el llamado scareware (código malicioso que trata de asustar), el sitio web al que llegará tal vez trate de infectar su equipo o pedirle dinero a cambio de eliminar la amenaza, que en realidad no existe. Esta tabla, extraída del informe de Symantec de febrero de 2012, muestra el aumento en la media diaria de casos de publicidad no deseada y programas espía bloqueados en febrero en comparación con el número equivalente de sitios web con malware bloqueados cada día. Este tipo de ataque se ha usado en Facebook. Cuando el usuario hacía clic en un anuncio malicioso, llegaba a un sitio web que contenía malware. Las tecnologías que hacen posible estos procesos son principalmente JavaScript y ActiveX, que se habilitan en la configuración del navegador para hacer posible una interactividad más avanzada (por ejemplo, para permitir el uso de ventanas emergentes y complementos). Sin embargo, los hackers pueden explotar los puntos débiles del código y aprovechar esta configuración para instalar y ejecutar malware que borra datos importantes o roba información confidencial. 7

8 8. Amenazas avanzadas persistentes (APT) Este término en realidad no se refiere a un tipo de tecnología concreto, sino a los perpetradores del ataque en cuestión. Dicho de otro modo, las APT proceden de un grupo de hackers o incluso de un gobierno que ataca a otra entidad, la cual puede ser una empresa o un país. Por ejemplo, Stuxnet es un tipo de APT. Este gusano fue el primero de su género que se usó para atacar de forma muy específica sistemas de control industrial, en concreto los fabricados por Siemens para controlar la infraestructura de enriquecimiento de uranio de Irán. 9. Cookies Las cookies son pequeños archivos de texto que permiten identificar a los usuarios de sitios web. En un principio, se diseñaron para que la navegación fuese más práctica, pues reducen la necesidad de iniciar una sesión cada vez que se visita un sitio web y proporcionan una mayor continuidad tanto durante una misma sesión como entre una y otra. Por ejemplo, gracias a las cookies, se conservan parámetros como el idioma y otras preferencias cuando un usuario accede de nuevo a un sitio web que ya ha visitado previamente. Sin embargo, esta mayor comodidad tiene un precio, pues al transmitir las cookies por la red sin cifrar, es posible robar la información contenida para usarla con fines indebidos. Como las cookies identifican al usuario, los internautas ya no se fían de ellas y no se atreven a compartir sus datos personales con los sitios web. El problema es que numerosos sitios web no permiten el acceso sin cookies, así que hoy en día por lo general se consideran necesarias. 8

9 Cómo defender la empresa de los peligros Para combatir estas peligrosas infecciones, la clave está en saber qué puntos débiles aprovecha el malware. De todos modos, como los hackers combinan varios métodos para superar los sistemas de seguridad, no basta con una solución. En cambio, el sistema de seguridad debe abarcar varias capas. Además, siempre habrá que informar a los usuarios de las formas en que los hackers usan la ingeniería social para conseguir que hagan clic en enlaces maliciosos o que respondan a mensajes de correo electrónico falsos. Para defender bien la empresa, es fundamental que los usuarios sepan a grandes rasgos en qué consisten técnicas como el secuestro de clics, el envenenamiento de optimización de motores de búsqueda, los anuncios maliciosos y el phishing. De este modo, serán más conscientes de las amenazas que existen y sabrán cómo detectar un mensaje de correo electrónico, enlace o sitio web peligroso. En cualquier caso, no hay una solución válida en todos los casos para proteger el sitio web público y los datos en línea, y hasta el empleado con más conocimientos de informática podría caer en la trampa de un hacker en un momento dado. Para combatir el malware de forma constante y en tiempo real, toda empresa debe recurrir a varias soluciones distintas, que permitan tanto prevenir los ataques como tomar medidas después de que se produzcan. Seguridad proactiva y constante Si su empresa cuenta con un sitio web seguro y de confianza, le resultará más fácil ampliar la clientela y lograr que los internautas completen sus transacciones electrónicas. Para saber si están en un lugar seguro, sus clientes buscarán indicios de fiabilidad, como que el nombre de la empresa aparezca en color verde en la barra de direcciones. Esta barra verde es una señal clara y ampliamente reconocida que demuestra que un sitio web es legítimo y está protegido con certificados Extended Validation SSL, que garantizan un alto nivel de seguridad. La tecnología SSL (Secure Sockets Layer o «capa de sockets seguros») permite cifrar información en línea confidencial, como los datos personales y de inicio de sesión. Las autoridades de certificación comprueban una serie de datos exclusivos sobre su empresa para establecer las credenciales de su sitio web. Los certificados EV SSL, que brindan un método de autenticación más riguroso, constituyen una defensa férrea y permiten a los clientes usar el sitio web con toda tranquilidad. Symantec, una autoridad de certificación de confianza líder en el mercado, propone los certificados EV SSL para garantizar al máximo la seguridad de los sitios web. Además del cifrado SSL seguro, también hay soluciones para que a sus clientes les quede claro, incluso antes de entrar en su sitio web, que pueden realizar transacciones con su empresa sin correr ningún riesgo. Como los La barra verde es una de las formas más claras y reconocibles de demostrar la autenticidad y seguridad de un internautas son conscientes del peligro sitio web. Informa de que está rigurosamente protegido mediante certificados SSL con Extended Validation (EV). que suponen los secuestros de clics y el envenenamiento de optimización de motores de búsqueda, buscarán indicios de fiabilidad y validez en los resultados de las búsquedas. Si aparece un indicador visual, como un sello de confianza, en los motores de búsqueda más habituales, en las páginas de compra o en cualquier sección del sitio web en la que la seguridad sea especialmente importante, se despejarán todas las dudas que puedan tener los clientes acerca de la seguridad. Según los estudios realizados por Symantec, los clientes reconocen este tipo de sellos y, de hecho, el 65 % de los consumidores afirman que, si en un sitio web aparece el sello Norton Secured, se puede navegar en él sin peligro y sin correr el riesgo de infectarse con un virus. 9

10 Seguridad proactiva en tiempo real Cualquier sitio web, desde el blog más sencillo hasta una tienda electrónica, puede tener miles de posibles vulnerabilidades que varían a medida que cambia el sitio web. Desde el punto de vista tecnológico, las defensas en tiempo real identifican con rapidez posibles puntos de entrada por los que se pueda dañar, descargar o manipular los datos o las funciones de un sitio web. Un buen complemento de la protección existente es el análisis y la elaboración de informes automatizados sobre las vulnerabilidades de un sitio web y las posibles amenazas que lo atañen. El objetivo de un sistema de evaluación de vulnerabilidad es detectar los puntos débiles de su sitio web que suelen sufrir ataques e informar sobre ellos. Por ejemplo, el sistema debería avisar sobre los puntos de entrada que suelen ser blanco de scripts de sitios y de inserción de SQL. Los informes de vulnerabilidad deberían clasificar los problemas por tipos y nivel de riesgo, así como proponer medidas correctivas. De este modo, podrá detectar y solucionar con rapidez problemas de seguridad críticos, con lo que le resultará más fácil proteger su sitio web. Los certificados Symantec Premium SSL incluyen una herramienta de evaluación de vulnerabilidad gratis. El análisis contra software malicioso es otra forma de proteger el sitio web en tiempo real, pues avisa si detecta una infección. El código malicioso, como el que se introduce mediante los scripts de sitios, se puede ocultar en el código fuente del sitio web y puede resultar difícil detectarlo sin llevar a cabo un análisis exhaustivo línea a línea. Además, una de las consecuencias de la infección podría ser que su sitio web acabara en una lista negra y que los motores de búsqueda lo excluyeran. Según una encuesta de Symantec, el 65 % de los consumidores reconocen las búsquedas con Seal-in-Search y saben que en los sitios con el sello NortonTM Secured pueden navegar sin peligro y no corren el riesgo de que su equipo si infecte con virus. Este tipo de protección debería sumarse al uso de programas tradicionales contra software malicioso, que se centran en el dispositivo de acceso, es decir, el equipo. La mayoría de las soluciones de análisis están diseñadas para impedir que los empleados descarguen o instalen malware, y no para evitar que el sitio web de la empresa lo distribuya. El servicio de análisis contra software malicioso de Symantec, que también se incluye con los certificados SSL, supervisa las páginas web públicas a diario y proporciona una lista de las que están infectadas, indicando el código que causa el problema. A continuación, podrá aplicar la medida correctiva pertinente en el sitio web. Conclusión Si su empresa aborda la seguridad del sitio web de forma global, podrá inspirar confianza en línea en todo momento al tiempo que se defiende de los hackers. Si tenemos en cuenta que el gasto mundial en informática en 2011 superó los 3,7 billones de dólares, parece evidente que es fundamental mantener una buena reputación en Internet 11. Existe una serie de servicios complementarios, como el cifrado SSL, la función Seal-in-Search, la evaluación de vulnerabilidad y el análisis contra software malicioso, que detectan posibles problemas, los analizan, avisan de su existencia y le defienden de ellos, con lo que garantizan la seguridad de sus clientes y protegen la reputación de su empresa. Como estos servicios inspiran una mayor tranquilidad y confianza, los internautas visitarán su sitio web sin temor, lo cual a su vez se traducirá en un aumento de las transacciones y una mejora de los resultados comerciales de la empresa. 11 Gartner, Forecast Alert: IT Spending, Worldwide, , actualización del cuarto trimestre de

11 Más información Visite nuestro sitio web Para contactar con un especialista en productos Llame al o al (+41) Sobre Symantec Symantec es líder mundial en soluciones de gestión de sistemas, almacenamiento y seguridad. Su objetivo es ayudar a empresas y particulares a gestionar y proteger sus datos en un mundo cada vez más dominado por la información. Nuestros servicios y programas protegen contra una mayor cantidad de riesgos en más puntos y de una forma más completa y eficaz, lo que brinda tranquilidad independientemente de dónde se utilice o almacene la información. Symantec Spain S.L. Parque Empresarial La Finca Somosaguas Paseo del Club Deportivo, Edificio 13, oficina D1, 28223, Pozuelo de Alarcón Madrid, España 2012 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, el logotipo de la marca de comprobación, Norton Secured y el logotipo de Norton Secured son marcas comerciales o marcas comerciales registradas en los Estados Unidos y en otros países por Symantec Corporation o sus filiales. VeriSign y otras marcas relacionadas son marcas comerciales o registradas de VeriSign, Inc. o sus empresas asociadas o filiales en los EE. UU. y en otros países, y Symantec Corporation tiene licencia para su uso. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios. 11