92 % USO INDEBIDO INTERNO ERRORES VARIOS ATAQUES DOS ROBO Y PÉRDIDAS FÍSICAS CRIMEWARE SKIMMERS DE TARJETAS DE PAGO CIBERESPIONAJE

Transcripción

1 Resumen ejecutivo Informe sobre Investigaciones de Brechas en los DATOS de 2014 USO INDEBIDO INTERNO ATAQUES DOS ERRORES VARIOS ROBO Y PÉRDIDAS FÍSICAS CIBERESPIONAJE CRIMEWARE SKIMMERS DE TARJETAS DE PAGO ATAQUES CONTRA APLICACIONES WEB 92 % EL UNIVERSO DE AMENAZAS PUEDE PARECER INFINITO, PERO NUESTROS ANÁLISIS DEMUESTRAN QUE EL 92% DE LOS INCIDENTES OCURRIDOS EN LOS ÚLTIMOS 10 AÑOS SE ENGLOBAN EN NUEVE PATRONES BÁSICOS. INTRUSIONES POS Llevado a cabo por Verizon con contribuciones de 50 organizaciones de todo el mundo.

2 Informe sobre Investigaciones de Brechas en los Datos de 2014 Resumen ejecutivo 50 ORGANIZACIONES DE TODO EL MUNDO APORTARON DATOS INCIDENTES DE SEGURIDAD ANALIZADOS BRECHAS EN LOS DATOS ESTUDIADAS. La seguridad de los datos debe importarle sea cual sea su papel en la organización. Por qué? Porque las consecuencias de una brecha de cualquier tipo afectan a toda la empresa, ya se trate de que el atacante use un skimmer para robar datos de tarjetas de crédito o de que un empleado se olvide un pendrive lleno de proyectos en un taxi. Cuando el incidente se hace público, como suele suceder a menudo, la empresa puede enfrentarse a multas y demandas. Igualmente grave es que los clientes y socios pueden perder la confianza en la capacidad de su organización para proteger sus intereses, lo que puede tener un impacto directo en la reputación y los resultados financieros. A esto se añaden los gastos que conlleva el descubrir en qué falló el sistema y de cerrar las grietas en las defensas. Las consecuencias económicas de una brecha en los datos pueden ser enormes. No se trata solo de los gastos de remediación y las posibles multas, sino que los daños a la reputación y la pérdida de la confianza de los clientes pueden impactar a la empresa durante años. Muchas empresas no se recuperan de una brecha en los datos. En quién puede confiar? La variedad de las amenazas que pueden afectar los datos y los sistemas puede resultar abrumadora. Por este motivo, puede ser un error fiarse de los instintos o incluso de la experiencia. Los medios de comunicación han creado una imagen distorsionada de las brechas en los datos. Las víctimas no son solo comercios importantes, sino que la realidad es que nuestros datos indican que los ataques contra sistemas de punto de venta (POS) han disminuido en los últimos años. Por el contrario, los ataques de espionaje no dejan de crecer y afectan a todo tipo de empresas, no solo a organismos gubernamentales y contratistas militares. Está claro que cuando se trata de seguridad no es conveniente fiarse de los instintos. El panorama de amenazas cambia constantemente y estar al día supone un reto continuo. Para poder construir las defensas adecuadas y proteger a la empresa, es necesario conocer a fondo las amenazas reales a las que tiene que enfrentarse. El DBIR de Verizon ha sido durante muchos años la mejor fuente de información sobre el panorama de amenazas. El informe de este año cubre más de incidentes de seguridad de 95 países, entre los que se encuentran brechas confirmadas. Por primera vez, se incluyen ataques de denegación de servicio (DoS); aunque estos ataques no suelen implicar la pérdida de datos, siguen siendo una amenaza importante para su organización. 95 El conjunto de datos del DBIR de 2014 incluye incidentes en organizaciones grandes y pequeñas de 95 países y 19 sectores, desde la agricultura hasta los servicios profesionales. 2 Verizon Enterprise Solutions

3 Un enfoque innovador El volumen y la variedad de las amenazas no dejan de crecer, por lo que proteger a la empresa nunca ha sido tan importante. Por eso hemos hecho que este DBIR sea el más instructivo y práctico hasta la fecha. Los datos sobre brechas e incidentes que hemos recopilado durante más de diez años nos sirven para obtener una imagen clara de los distintos elementos que componen una brecha. Víctima Culpable Objetivo ATAque Persecución Podría ser usted. Los incidentes de seguridad representan una amenaza para empresas y sectores de todos los tamaños. Aunque piense que el riesgo de un ataque externo contra su organización es mínimo, aún queda la posibilidad de un uso indebido o errores por parte de los empleados que puedan dañar los sistemas y dejar los datos expuestos. Los responsables de la mayoría de los ataques son personas ajenas a la empresa y no los empleados ni los socios. Los principales culpables de los ataques externos siguen siendo las bandas delictivas con móviles financieros, aunque cada vez se observan más casos de espionaje. A pesar del énfasis que la prensa pone en el hacktivismo, los ataques ideológicos siguen siendo un porcentaje muy pequeño del total. El principal objetivo de los atacantes son los datos de pago y bancarios, porque los pueden convertir rápidamente en dinero en efectivo. Las credenciales de usuario también son un blanco muy popular, pero principalmente como puerta para obtener otro tipo de datos o como puente a otros sistemas. El incremento en el robo de secretos y datos internos refleja la multiplicación de los ataques de espionaje. Los métodos de ataque más populares son el hacking y el malware. Los principales blancos son los servidores y los dispositivos de los usuarios, como pueden ser las máquinas PC. La manipulación física es menos común, pero han aumentado los ataques sociales. Los atacantes encuentran modos de infiltrarse en los sistemas más rápidamente que nunca y aunque los defensores también reaccionan con rapidez, se están quedando atrás. Muchas de las brechas las detectan terceros, como por ejemplo la policía, organizaciones especialistas en detección de fraudes e incluso los mismos clientes. Cuando hay un excesivo enfoque en las brechas que provienen de fuera, es fácil olvidarse de otros riesgos que amenazan a los datos. Un problema constante es la pérdida de datos debido a errores en los procesos o al extravío de dispositivos. Además, los atacantes utilizan cada vez más ataques de denegación de servicio, que aunque no pretenden robar datos, pueden resultar igual de dañinos para las operaciones del negocio. Pero usted necesita mucho más que una idea general de la situación. Por eso el mayor cambio ocurrido este año es el uso de métodos estadísticos para identificar agrupaciones de incidentes y brechas. Estábamos seguros de que podíamos encontrar patrones en los incidentes, es decir, grupos de métodos, objetivos y atacantes que se repetían una y otra vez. Entre toda la complejidad y diversidad que caracteriza al panorama de amenazas, hemos descubierto que el 92% de los incidentes de seguridad que hemos analizado a lo largo de los últimos diez años y el 94% de las brechas observadas el año pasado pueden clasificarse en solo nueve patrones. Esto se conoce como patrón de clasificación. 92% Intrusiones POS Ataques contra aplicaciones web Uso indebido interno Robo/pérdidas físicas Errores varios Crimeware Skimmers de tarjetas <1% 2% 4% Brechas de 2013 = % 8% 9% 35% 1% 1% Incidentes % 19% 16% 27% 19% DE LOS INCIDENTES DE LOS ÚLTIMOS 10 AÑOS Y EL 94% DE LAS BRECHAS DE 2013 PUEDEN DESCRIBIRSE CON NUEVE PATRONES. Ataques DoS 0% 2% Ciberespionaje 22% 1% Resto 6% 8% INFORME SOBRE INVESTIGACIONES DE BRECHAS EN LOS DATOS DE 2014 DE VERIZON resumen ejecutivo 3

4 La perspectiva sectorial Estos nueve patrones sirven para clasificar casi todos los ataques que puede sufrir un sector dado. Esto le ayudará a entender las amenazas y a priorizar los esfuerzos de seguridad. Esto ha permitido entender mejor el panorama de amenazas, lo que a su vez le servirá para enfocar su estrategia y priorizar las inversiones en seguridad de una forma más eficaz. El gráfico siguiente muestra la frecuencia con la que surgen los patrones en los distintos sectores económicos. Los nueve patrones no solo cubren el 92% de más de incidentes, sino que una media del 72% de los incidentes de cada sector se engloban en solo tres de ellos. LOS TRES PATRONES PRINCIPALES CUBREN UNA MEDIA DEL 72% DE LOS INCIDENTES 72% Hoteles Administración 25% 50% 100% 43% 82% 93% Construcción 33% 59% DE LOS INCIDENTES EN UN SECTOR PUEDEN DESCRIBIRSE CON TRES DE LOS NUEVE PATRONES. Educación Finanzas Sanidad Información Gestión 22% 27% 46% 41% 44% 61% 73% 88% 66% Producción 30% 68% Entretenimiento 32% 66% Minería 40% Profesional Sector público 34% 37% 79% En la mayoría de los sectores, más del 50% de los incidentes se engloban en solo tres de los nueve patrones. Sector inmobiliario Sector minorista Comercio Transporte Servicios públicos Otros 37% 33% 30% 24% 38% 29% 48% 55% 59% 70% 74% 83% 4 Verizon Enterprise Solutions

5 LOS NUEVE PATRONES En las siguientes páginas se resumen los nueve patrones y nuestras recomendaciones para responder a ellos. Errores varios Es simplemente cualquier error que ponga en peligro la seguridad; puede tratarse de poner datos privados en un sitio público por accidente, enviar información a las personas equivocadas o no destruir documentos y bienes de forma segura. Todo el mundo comete errores, sea cual sea el sector. Pero las que más sufren este problema son las empresas que comunican información, como las del sector público, administración, educación y sanidad. Instale DLP. Es recomendable instalar software de prevención de pérdida de datos para bloquear la información confidencial que pueda enviarse, quizás por error, por correo electrónico. Refuerce los controles de publicación. Reduzca los errores de publicación con controles más estrictos para publicar documentos en sitios web. Explore la web con regularidad en busca de datos confidenciales. Enseñe al personal a desechar documentos correctamente. Es importante que los empleados entiendan que los documentos y las máquinas PC no pueden simplemente tirarse a la basura. 49% de los errores VARIOS estaban RELACIONADOS con documentos impresos. Crimeware La categoría de programas delictivos o crimeware es muy amplia y se refiere al uso de cualquier tipo de malware, con frecuencia basado en la web, para infiltrar sistemas tales como servidores y máquinas PC. Dentro de este patrón se encuentra el phishing. Los sectores más afectados son: información, servicios públicos, producción y sector público. Instale parches en antivirus y navegadores. Esto podría bloquear muchos ataques. Desactive Java en el navegador. Debido a sus muchas vulnerabilidades, siempre que sea viable no utilice plugins de Java en el navegador. Utilice autenticación de dos factores. Esto no evitará el robo de credenciales, pero limitará los daños causados. Supervise los cambios de configuración. Muchos métodos pueden detectarse con facilidad con solo vigilar ciertos indicadores clave. Uso indebido de privilegios y origen interno La mayoría de los incidentes con programas DELICTIVOS se inician con una actividad en la web y no con enlaces o archivos adjuntos a un mensaje de correo electrónico. Esto se debe principalmente al uso indebido por parte de empleados, pero también son factores las personas ajenas a la empresa, por colusión, y los socios, porque se les conceden privilegios. Los potenciales culpables se encuentran en todos los niveles de la organización, desde recepción hasta la junta directiva. En este patrón se encuentra representada una amplia gama de sectores, como son el inmobiliario, sector público, minería, administración y otros. Este riesgo está presente siempre que una empresa deposita su confianza en una persona. Conozca los datos. El primer paso para proteger los datos es saber dónde se encuentran y quiénes disponen de acceso a ellos. Revise las cuentas de los usuarios. Una vez haya identificado a las personas que disponen de acceso a los datos confidenciales, ponga en marcha un proceso para revocar el acceso a los empleados que abandonen la empresa o cambien de puesto. Vigile las salidas. Establezca controles para vigilar los datos que salen de la organización. Publique los resultados de las auditorías de forma anónima. El que los empleados vean que se vigila el cumplimiento de las directrices tiene un efecto disuasorio. 85% de los ataques de uso indebido de privilegios y origen interno utilizan la LAN CORPORATIVA. INFORME SOBRE INVESTIGACIONES DE BRECHAS EN LOS DATOS DE 2014 DE VERIZON resumen ejecutivo 5

6 ROBO Y PÉRDIDAS FÍSICAS Es la pérdida o robo de portátiles, pendrives, documentos impresos y otra información, generalmente en la oficina, pero también en vehículos y residencias. Los accidentes pueden ocurrir en cualquier parte, pero en el caso del sector de la sanidad, el 45% de los incidentes corresponden a este patrón. Este patrón también afectó al sector público en gran manera. Cifre los dispositivos. Aunque el cifrado no evitará que se extravíen los dispositivos, protegerá los datos que contienen. Haga copias de seguridad. Hacer copias de seguridad periódicas servirá para evitar la pérdida de datos valiosos, reducirá el tiempo de inactividad y facilitará el análisis forense si se produce una brecha. Bloquee los equipos. Sujete los equipos de TI a mobiliario fijo y guarde los documentos confidenciales, incluidos los impresos, en un área separada y protegida. 43% DE TODOS LOS ROBOS Y PÉRDIDAS OCURREN EN EL TRABAJO. ATAQUES contra aplicaciones web En este caso los atacantes utilizan credenciales robadas o explotan vulnerabilidades en las aplicaciones web, como por ejemplo en los sistemas de gestión de contenido (CMS) o las plataformas de comercio electrónico. Aunque la mayoría de los sectores tienen sus aplicaciones abiertas a la web, los principales objetivos son empresas de información, servicios públicos, producción y minoristas. Utilice autenticación de dos factores. Una posibilidad es el uso de tokens de software y datos biométricos. Utilice un CMS estático. No es necesario que estos sistemas ejecuten código en cada solicitud, lo que reduce las posibilidades de que se utilicen exploits. Implemente directivas de bloqueo Una forma de atajar los ataques de fuerza bruta es bloquear las cuentas después de varios intentos fallidos de entrar al sistema. Supervise las conexiones de salida. Lo más seguro es que no exista un buen motivo para que el servidor envíe millones de paquetes a los sistemas de un gobierno extranjero, así que bloquee esa posibilidad. LOS ATAQUES CONTRA APLICACIONES WEB SE DIRIGEN CON FRECUENCIA CONTRA SISTEMAS CMS COMO Wordpress y DRUPAL. ATAQUES de denegación de servicio Estos no son intentos de crear una brecha, sino simplemente ataques. Los atacantes utilizan botnets de máquinas PC y servidores potentes para desbordar los sistemas y aplicaciones de una organización y parar en seco sus operaciones. Los ataques suelen estar dirigidos a los sistemas de transacciones críticos de empresas financieras, minoristas y similares. Instale parches en los servidores lo antes posible. Otorgue acceso solo a las personas que lo necesitan. Aísle los servidores clave. Adquiera un pequeño circuito de reserva y defina el espacio de IP. De esta manera, si se produce un ataque los sistemas principales no se verán afectados. Someta a prueba el servicio anti-dos. Este no es un servicio que pueda instalarse y olvidarse. Tenga un plan Los equipos de operaciones deben saber lo que tienen que hacer si se produce un ataque. Sepa cuál es la alternativa si falla el servicio anti-dos. +115% Botnets más POTENTES y ATAques más elaborados han hecho que los ataques DDOS suban en un 115% desde Verizon Enterprise Solutions

7 Ciberespionaje Esto ocurre cuando un atacante patrocinado por un gobierno se infiltra en una organización, a menudo mediante un ataque de phishing, en busca de propiedad intelectual. El espionaje no solo es un problema para organizaciones públicas y militares. También se ven muy afectadas las empresas de transporte, producción, minería, servicios profesionales y el sector público. Instale parches lo antes posible. Uno de los primeros pasos más comunes es explotar las vulnerabilidades del software. Utilice programas antivirus y actualícelos. No le protegerán contra los ataques nuevos, pero lo cierto es que muchos programas antivirus siguen fallando aunque se trate de peligros conocidos. Informe a los usuarios. Enséñeles a reconocer y comunicar signos de peligro. Mantenga buenos registros cronológicos. Registre las actividades de los sistemas, la red y las aplicaciones. Este es un excelente fundamento para la respuesta a incidentes y puede servir de base a muchas contramedidas proactivas. 3x Los datos de este año muestran que los ataques de espionaje se MULTIPLICAN por tres cada año. Intrusiones en el punto de VENTA Esto ocurre cuando los atacantes infiltran las máquinas y servidores que ejecutan las aplicaciones POS de punto de venta con la intención de capturar datos de pago. Las empresas de hostelería y los comercios son los principales blancos, lo que es ninguna sorpresa porque son las que más sistemas de punto de venta tienen. Pero también están expuestos otros sectores que procesan pagos, como puede ser el de la sanidad. Skimmers de TARjetas de pago Es la instalación física de un skimmer en un cajero automático, un surtidor de gasolina o un terminal de punto de venta para leer los datos de las tarjetas. Sus blancos principales son los bancos, los comercios y las empresas de hostelería. Limite el acceso remoto. Limite el acceso remoto por parte de terceros a los sistemas de punto de venta. Ponga en práctica directrices estrictas sobre contraseñas. Nuestro informe de cumplimiento PCI indica que más del 25% de las empresas no cambian las credenciales predeterminadas. Reserve los sistemas de punto de venta para las actividades de venta. No permita que se utilicen para navegar por Internet, mirar el correo o jugar. Utilice autenticación de dos factores. El tener contraseñas más complejas puede resolver el problema, pero el uso de dos factores es aún más recomendable. Utilice terminales resistentes a la manipulación. Algunos terminales son más susceptibles al skimming que otros. Busque signos de una manipulación indebida. Enseñe a los empleados a detectar skimmers y a reconocer conductas sospechosas. Utilice controles que evidencien la manipulación. Puede ser simplemente un sello en el terminal de un surtidor de gasolina o algo más sofisticado como la vigilancia automatizada por video para detectar anomalías. 85% DE INTRUSIONES POS TARDARON SEMANAS EN DESCUBRIRSE. 87% DE LOS ATAQUES DE skimming FUERON CONTRA CAJEROS AUTOMÁTICOS. INFORME SOBRE INVESTIGACIONES DE BRECHAS EN LOS DATOS DE 2014 DE VERIZON resumen ejecutivo 7

8 BANK BANK UTILITIES RETAIL attacks. Hotel Resumen El DBIR contiene muchos más detalles y recomendaciones, que pueden resumirse en siete temas claros: Manténgase vigilante. Muchas organizaciones solo descubren que han sufrido una brecha en la seguridad cuando se lo comunica la policía o un cliente. Los registros y los sistemas de gestión de cambios pueden contener los primeros signos de un ataque. Haga que sus empleados sean su primera barrera defensiva. Hágales entender lo importante que es la seguridad, cómo detectar las señales de un ataque y qué hacer si observan algo sospechoso. Limite el acceso a los datos a las personas que lo necesitan. Limite el acceso a los sistemas a las personas que lo necesitan para hacer su trabajo y ponga en práctica un sistema que revoque dicho acceso cuando el empleado cambie de puesto o abandone la empresa. Instale parches lo antes posible. Con frecuencia, los atacantes entran al sistema mediante métodos muy sencillos, contra los que podría protegerse con un entorno de TI bien configurado y teniendo al día los programas antivirus. Cifre los datos confidenciales. De esta forma si se pierden o los roban, será mucho más difícil que un delincuente pueda aprovecharse de ellos. Utilice autenticación de dos factores. Esto no reducirá el riesgo de robo de las contraseñas, pero limitará las consecuencias del robo o pérdida de las credenciales. No se olvide de la seguridad física. No todos los robos ocurren en Internet. Los delincuentes también pueden manipular máquinas PC o terminales de pago, o llevarse cajas de documentos impresos. Desea más información? Este resumen ejecutivo es solo parte de la información que contiene el Informe sobre Investigaciones de Brechas en los Datos de 2014 de Verizon. El análisis que contiene le ayudará a entender las amenazas específicas contra su sector y a reforzar sus defensas. Descargue el informe completo y otros recursos del DBIR en verizonenterprise.com/es/dbir/2014 VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT CYBER-ESPIONAGE 92 % DOS ATTACKS CRIMEWARE WEB APP ATTACKS THE UNIVERSE OF THREATS MAY SEEM LIMITLESS, BUT 92% OF THE 100,000 INCIDENTS WE VE ANALYZED FROM THE LAST 10 YEARS CAN BE DESCRIBED BY JUST NINE BASIC PATTERNS. Conducted by Verizon with contributions from 50 organizations from around the world. INSIDER MISUSE MISCELLANEOUS ERRORS PHYSICAL THEFT AND LOSS PAYMENT CARD SKIMMERS Public Sector The most frequent incidents are errors (34%), insider misuse (24%), crimeware (21%) and lost/stolen assets (19%). Healthcare Physical theft and loss of assets occur most often in the office not from personal vehicles or homes. Hospitality Three-quarters of the attacks target POS devices and systems a good argument for PCI compliance Energy/Utilities Just two patterns web app attacks and crimeware cover 69% of all incidents. HEALTHCARE PUBLIC SECTOR 98% Just four patterns account for almost all attacks. 46% of security incidents are the result of lost or stolen assets. Data Breach Investigations Report Most attacks come from point-of-sale intrusions highest for all industries. HOSPITALITY 38% Web app attacks are responsible for the highest number of incidents. 92% of all security incidents we analyzed over a ten-year period fit into nine basic patterns. 33% DOS attacks are most frequent, followed by point-of-sale intrusions (31%). FINANCIAL SERVICES A majority of incidents come from web app attacks, DOS and card skimming. 54% Combined number of attacks from cyber-espionage and DOS. 37% Number of incidents attributed to DOS PROFESSIONAL SERVICES MANUFACTURING Point-of-Sale Intrusions Web Application Attacks Insider Misuse Physical Theft/Loss Miscellaneous Errors Crimeware Card Skimmers Denial of Service Attacks Cyber-Espionage Everything else 2014 Verizon. All Rights Reserved. The Verizon name and logo and all other names, logos, and slogans identifying Verizon s products and services are trademarks and service marks or registered trademarks and service marks of Verizon Trademark Services LLC or its affiliates in the United States and/or other countries. All other trademarks and service marks are the property of their respective owners. POINT-OF-SALE INTRUSIONS Conducted by Verizon with contributions from 50 organizations from around the world. Nine classification patterns cover the majority of all security incidents. In 2013, we analyzed over 63,000 incidents and more than 1,300 confirmed breaches to provide new insight into your biggest threats and to help improve your defenses against them. This year s report identifies nine basic patterns that cover 92 percent of all security incidents we ve looked at over the past 10 years. Download the Verizon 2014 Data Breach Investigations Report today. verizonenterprise.com/dbir/2014 ACERCA DE VERIZON Nuestra empresa diseña, construye y opera las redes, los sistemas de información y las tecnologías móviles que ayudan a las empresas y administraciones públicas de todo el mundo a aumentar el alcance, incrementar la productividad, mejorar la agilidad y asegurar la longevidad. Nuestras soluciones de seguridad, máquinas conectadas, nube dinámica, redes inteligentes y fuerza laboral móvil se han diseñado para ayudar a las empresas a descubrir nuevas posibilidades y crear fuentes de ingresos de una forma más eficiente y segura que nunca. Creemos firmemente que las empresas y las personas pueden cambiar el mundo con la ayuda de la tecnología. Esta creencia sirve de base a nuestras soluciones; nuestra empresa se plantea constantemente la exigencia de habilitar, hacer avanzar y abrir el camino a nuevas posibilidades en todos los sectores de la economía. verizonenterprise.com/es 2014 Verizon. Todos los derechos reservados. El nombre y logotipo de Verizon, además de todos los demás nombres, logotipos y lemas que identifican los productos y servicios de Verizon, son marcas comerciales o registradas de Verizon Trademark Services LLC o sus filiales en Estados Unidos y otros países. Todas las demás marcas comerciales o de servicio son propiedad de sus dueños respectivos. ES15921 ES 6/14