Microsoft Security Intelligence Report

Transcripción

1 Microsoft Security Intelligence Report Volumen 16 Julio a diciembre de 2013 Resumen de resultados clave La finalidad de este documento es únicamente informativa. MICROSOFT NO OTORGA GARANTÍAS, NI EXPRESAS NI IMPLÍCITAS NI ESTATUTARIAS SOBRE LA INFORMACIÓN DE ESTE DOCUMENTO. Este documento se proporciona tal cual. La información y puntos de vista que se expresan en él, incluidas las direcciones URL y demás referencias a sitios web de Internet, pueden modificarse sin aviso previo. El usuario asume el riesgo de utilizarlo. Copyright 2014 Microsoft Corporation. Reservados todos los derechos. Los nombres de las compañías y productos reales mencionados en el presente documento pueden ser marcas comerciales de sus respectivos propietarios.

2 Microsoft Security Intelligence Report, volumen 16 En el volumen 16 del informe Microsoft Security Intelligence Report (SIRv16) se proporcionan perspectivas detalladas sobre las vulnerabilidades en software de Microsoft y de terceros, vulnerabilidades de seguridad y amenazas de código malintencionado. Microsoft ha desarrollado estas perspectivas a partir de análisis detallados de las tendencias en los últimos años, especialmente en la segunda mitad de En este documento se resumen las principales conclusiones del informe. En el sitio web de SIR también se incluye un análisis exhaustivo de las tendencias encontradas en más de 100 países y regiones de todo el mundo, y se ofrecen sugerencias para afrontar los riesgos de su organización, el software y las personas. Usted puede descargar SIRv16 desde MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 16, JULIO - DICIEMBRE DE

3 Vulnerabilidades Las vulnerabilidades son puntos débiles del software que permiten a un atacante poner en peligro la integridad, la disponibilidad o la confidencialidad de los datos o el software que los procesa. Algunas de las vulnerabilidades más graves permiten a los atacantes aprovechar el sistema en peligro al provocar que ejecute código malintencionado sin el conocimiento del usuario. Figura 1. Tendencias de la gravedad de la vulnerabilidad (CVE), complejidad de la vulnerabilidad, divulgaciones por tipo y divulgaciones de productos de Microsoft y no de Microsoft, en todo el sector del software, 1S11-2S13 1 Industrywide vulnerability disclosures 1,600 1,400 1,200 1, ,400 Medium (4 6.9) 1,200 1, High (7 10) Industrywide vulnerability disclosures M edium complexity (medium risk) Low complexity (highest risk) 200 Low (0 3.9) 200 High complexity (lowest risk) 0 1H11 2H11 1H12 2H12 1H13 2H13 0 1H11 2H11 1H12 2H12 1H13 2H13 1,800 3,000 1,600 Industrywide vulnerability disclosures 1,400 1,200 1, H11 2H11 1H12 2H12 1H13 2H13 Other applications Core operating syst em Operating syst em applications Web browsers Vulnerability disclosures 2,500 2,000 1,500 1, H11 2H11 1H12 2H12 1H13 2H13 Non-Microsoft Microsoft Las divulgaciones de vulnerabilidades en el sector durante el 2S13 aumentaron un 6,5 % con respecto al 1S13 y un 12,6 % con respecto al 2S12. Este aumento se debe en gran medida al incremento de las divulgaciones de vulnerabilidades de aplicación. No obstante, en general, las divulgaciones de vulnerabilidades estuvieron por debajo del nivel pico reciente del 1S12 y bastante por debajo de las observadas antes de 2009, cuando era habitual alcanzar totales de o más divulgaciones por semestre. 1 A lo largo del informe, se hace referencia a los periodos de tiempo semestrales y trimestrales con los formatos nsaa o ntaa, donde aa indica el año y n el semestre o trimestre. Por ejemplo, 2S13 representa el segundo semestre de 2013 (del 1 de julio al 31 de diciembre) y 4T12 representa el cuarto trimestre de 2012 (del 1 de octubre al 31 de diciembre). 2 RESUMEN DE RESULTADOS CLAVE

4 Vulnerabilidades de seguridad Una vulnerabilidad de seguridad es código malintencionado que aprovecha las vulnerabilidades de software para infectar, interrumpir o tomar el control de un equipo sin el consentimiento del usuario y, normalmente, sin su conocimiento. Las vulnerabilidades de seguridad se dirigen a vulnerabilidades de sistemas operativos, exploradores web, aplicaciones o componentes de software que están instalados en un equipo. La Figura 2 muestra la difusión de los distintos tipos de vulnerabilidades de seguridad detectados por los productos antimalware de Microsoft en cada trimestre de 2013, por tasa de presencia. La tasa de presencia es el porcentaje de los equipos que ejecutan productos de seguridad en tiempo real de Microsoft que notifican la presencia de malware. Por ejemplo, la tasa de presencia para los intentos de vulnerabilidad de seguridad de Java en el 4T13 fue del 1 %, lo que significa que el 1 % de los equipos que ejecutan software de seguridad en tiempo real de Microsoft en el 4T13 sufrió intentos de vulnerabilidad de seguridad de Java y el 99 %, no sufrió. Es decir, un equipo seleccionado al azar hubiera tenido un 1 % de posibilidades de sufrir un intento de vulnerabilidad de seguridad de Java en el 4T13. Figura 2. Tasas de presencia para los distintos tipos de intentos de vulnerabilidad de seguridad en % Percent of all reporting computers (encounter rate) 1.8% 1.6% 1.4% 1.2% 1.0% 0.8% 0.6% 0.4% 0.2% 0.0% 1Q13 2Q13 3Q13 4Q13 Java HTM L/ JavaScript Operating system Adobe Flash (SWF) Documents MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 16, JULIO - DICIEMBRE DE

5 Los equipos que notifican más de un tipo de vulnerabilidad de seguridad se cuentan por cada tipo detectado. Las detecciones de vulnerabilidades de seguridad individuales a menudo aumentan y disminuyen considerablemente de un trimestre a otro debido a que los distribuidores de kits de vulnerabilidades de seguridad agregan o quitan diferentes vulnerabilidades de seguridad de sus kits. Esta variación también puede afectar a la difusión relativa de diferentes tipos de vulnerabilidades de seguridad, tal como se muestra en la Figura 2. A pesar de la disminución cada trimestre, las vulnerabilidades de seguridad de Java son el tipo que más presencia tuvo en el 2S13. La presencia de amenazas basadas en web (HTML/JavaScript) se redujo en más de la mitad en el 2S13, hasta convertirse en el segundo tipo más habitual de vulnerabilidades de seguridad. Las detecciones de vulnerabilidades de seguridad de sistema operativo, Adobe Flash y documentos se mantuvieron prácticamente estables durante el segundo semestre del año. En el 2S13 aumentó la divulgación de vulnerabilidades en el sector pero disminuyeron las vulnerabilidades de gravedad alta. Familias de vulnerabilidades de seguridad La Figura 3 enumera las familias relacionadas con las vulnerabilidades de seguridad que se detectaron con más frecuencia durante el segundo semestre de Figura 3. Tendencias de las tasas de presencia trimestrales correspondientes a las principales familias de vulnerabilidades de seguridad que detectaron y bloquearon los productos antimalware en tiempo real de Microsoft en el 2S13, según su difusión relativa Vulnerabilidad de seguridad Plataforma o tecnología 1T13 2T13 3T13 4T13 CVE Java 0,72 % 0,47 % 0,55 % 0,32 % CVE (CplLnk) Sistema operativo 0,31 % 0,33 % 0,35 % 0,37 % CVE Java 0,01 % 0,20 % 0,43 % 0,24 % HTML/IframeRef* HTML/JavaScript 0,82 % 0,92 % 0,35 % 0,30 % CVE Java 0,35 % 0,27 % 0,29 % 0,18 % CVE Java 0,39 % 0,25 % 0,18 % 0,17 % Blacole HTML/JavaScript 0,88 % 0,35 % 0,17 % 0,17 % CVE Java 0,12 % 0,19 % 0,14 % 0,20 % CVE Java 0,10 % 0,15 % 0,10 % CVE Java 0,16 % 0,13 % 0,11 % 0,10 % En los totales de las vulnerabilidades individuales no se incluyen las vulnerabilidades de seguridad que se detectaron como kits de vulnerabilidades de seguridad. *En los totales solo se incluyen las variantes de IframeRef clasificadas como vulnerabilidades de seguridad. 4 RESUMEN DE RESULTADOS CLAVE

6 En general, las tasas de presencia de vulnerabilidades de seguridad se redujeron considerablemente en el 2S13. CVE , una vulnerabilidad de Java Runtime Environment (JRE), fue la más atacada en el 2S13, aunque se redujo con respecto a su nivel máximo del 1T13. Las vulnerabilidades de seguridad dirigidas a CVE pueden usar la vulnerabilidad para descargar y ejecutar programas a elección del atacante en el equipo. La vulnerabilidad CVE suele aprovecharse a través de descargas ocultas. (Vea la página 19 para obtener más información acerca de los sitios de descargas ocultas.) CVE , la segunda vulnerabilidad más atacada en el 2S13, es una vulnerabilidad del shell de Windows. Las detecciones se suelen identificar como variantes de la familia Win32/CplLnk, aunque hay otras familias de malware que intentan aprovechar la vulnerabilidad. A mediados de 2010, se descubrió por primera vez que la vulnerabilidad la usaba la familia de malware Win32/Stuxnet. Desde entonces, la han aprovechado otras familias, muchas de las cuales eran anteriores a la divulgación de la vulnerabilidad y, por consiguiente, se adaptaron para intentar aprovecharla. Microsoft publicó el boletín de seguridad MS en agosto de 2010 para corregir el problema. Blacole es el nombre de detección de Microsoft para los componentes del kit de vulnerabilidades de seguridad del tipo Blackhole, que distribuye software malintencionado a través de páginas web infectadas. Los atacantes potenciales compran o alquilan el kit Blacole en foros de hackers y a través de otros medios ilegítimos. Cuando el atacante carga el kit Blacole en un servidor web malintencionado o vulnerable, los visitantes que no tienen instaladas las actualizaciones de seguridad adecuadas están expuestos a la infección mediante un ataque de descarga oculta. Blacole se encontró en el 0,88 % de todos los equipos de notificación en el 1T13, pero después la tasa de presencia descendió bruscamente, hasta el 0,17 % en el 3T13 y 4T13. El autor del kit Blacole, conocido como Paunch, era famoso por actualizar frecuentemente el kit con nuevas vulnerabilidades de seguridad y técnicas, pero el desarrollo del kit se detuvo de repente en octubre de 2013, después de que las autoridades rusas arrestaran a un hombre acusado de ser Paunch. 2 En general, las tasas de presencia de vulnerabilidades de seguridad se redujeron considerablemente en el 2S13. 2 Arrestado el sospechoso de crear el kit de vulnerabilidades de seguridad de malware Blackhole, bbc.com, 9 de octubre de 2013, MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 16, JULIO - DICIEMBRE DE

7 Malware La mayoría de los intentos de malware para infectar equipos no tiene éxito. Más de tres cuartas partes de los equipos personales conectados a Internet en todo el mundo están protegidos por software de seguridad en tiempo real que supervisa constantemente el equipo y el tráfico de red en busca de amenazas y, si es posible, las bloquea antes de que puedan infectar el equipo. Por lo tanto, para entender plenamente el panorama del malware, es importante tener en cuenta tanto los intentos de infección que se bloquean como las infecciones que se eliminan. Por este motivo, Microsoft usa dos métricas distintas para medir la difusión del malware: 3 La tasa de presencia es, sencillamente, el porcentaje de los equipos que ejecutan productos de seguridad en tiempo real de Microsoft que notifican la presencia de malware. Por ejemplo, la tasa de presencia de la familia de malware Win32/Sefnit en Alemania durante el 3T13 fue del 1,73 %. Estos datos significan que, de los equipos en Alemania que ejecutaban software de seguridad en tiempo real de Microsoft en el 3T13, el 1,73 % notificó la presencia de la familia Sefnit y el 98,27 %, no. (Solo se tienen en cuenta en el cálculo de las tasas de presencia los equipos cuyos usuarios han aceptado proporcionar datos a Microsoft). Equipos limpiados por cada mil, o CCM por sus siglas en inglés, es una métrica de tasa de infección. Se define como el número de equipos limpiados por cada mil equipos únicos que ejecutan la Herramienta de eliminación de software malintencionado (MSRT, por sus siglas en inglés), una herramienta gratuita distribuida a través de los servicios de actualización de Microsoft que elimina de los equipos más de 200 amenazas de gran difusión o gravedad. Como no se trata de una herramienta en tiempo real, MSRT solo detecta y elimina las amenazas que ya están en el equipo. No bloquea los intentos de infección en el momento en que se producen. 3 Microsoft examina y perfecciona periódicamente su metodología de recopilación de datos para mejorar el alcance y la precisión. Por ello, las estadísticas presentadas en este volumen del informe SIR pueden variar ligeramente con respecto a estadísticas equivalentes de volúmenes anteriores. 6 RESUMEN DE RESULTADOS CLAVE

8 La Figura 4 ilustra la diferencia entre estas dos métricas. Figura 4. Tasas de presencia y de infección en todo el mundo en 2013, por trimestre 25% 250 Percent of all reporting computers (encounter rate) 20% 15% 10% 5% Computers cleaned per 1,000 scanned (CCM) 0% 1Q13 2Q13 3Q13 4Q13 Encounter rate Infection rate (CCM) 0 Tal como se muestra en la Figura 4, y como sería de esperar, la presencia de malware es mucho más habitual que las infecciones por malware. De media, un 21,2 % de los equipos de notificación en todo el mundo ha encontrado malware en cada trimestre de Al mismo tiempo, la herramienta MSRT ha quitado el malware de 11,7 de cada equipos, o el 1,17 %. La información combinada de las tasas de presencia y de infección puede contribuir a ofrecer una visión más amplia del panorama de malware al ofrecer distintas perspectivas del modo en que se propaga el malware y la forma en que se infectan los equipos. Difusión del malware en todo el mundo Para disponer de una perspectiva de los patrones de amenazas a nivel mundial, la Figura 5 muestra las tasas de infección y de presencia en todo el mundo en el 4T13. MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 16, JULIO - DICIEMBRE DE

9 Figura 5. Tasas de presencia (arriba) y de infección (abajo) por país o región en el 4T13 Uso del software de seguridad Aproximadamente, tres cuartas partes de los equipos de todo el mundo ejecutan software de seguridad en tiempo real de forma sistemática. Las versiones recientes de la herramienta MSRT recopilan y comunican los detalles sobre el estado del software antimalware en tiempo real en el equipo, si el administrador del equipo ha aceptado proporcionar datos a Microsoft. Con esta telemetría es posible analizar los patrones de uso del software de seguridad en el mundo y establecer relaciones con las tasas de infección. La Figura 6 muestra el porcentaje de los equipos en todo el mundo que la herramienta MSRT ha encontrado protegidos o desprotegidos por el software de seguridad en tiempo real cada trimestre de RESUMEN DE RESULTADOS CLAVE

10 Figura 6. Porcentaje de los equipos en todo el mundo protegidos por el software de seguridad en tiempo real en % Percent of computers running the MSRT 80% 70% 60% 50% 40% 30% 20% Always protected Intermittently protected 10% 0% 1Q13 2Q13 3Q13 4Q13 Unprotected Tasas de infección por sistema operativo Las características y las actualizaciones que están disponibles con las distintas versiones del sistema operativo Windows y las diferencias en la forma en que las personas y las organizaciones usan cada versión afectan a las tasas de infección de las diferentes versiones y Service Pack. La Figura 7 muestra la tasa de infección por cada combinación compatible de sistema operativo/service Pack de Windows. MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 16, JULIO - DICIEMBRE DE

11 Figura 7. Tasa de infección (CCM) por sistema operativo y Service Pack en 3T13 y 4T13 Computers cleaned per 1,000 scanned (CCM) SP3 SP2 SP1 RTM RTM SP2 SP2 RTM SP1 RTM Windows XP Windows Vista Windows 7 Windows 8 Windows 8.1 Windows Server 2003 Windows Windows Server 2008 R2 Server 2008 Windows Server Q13 4Q13 SP = Service Pack. RTM = versión RTM. El soporte técnico de Windows XP finalizó el 8 de abril de 2014, después del final del 4T13. Se prevé que las cifras de CCM vuelvan a niveles más típicos en Las tasas de infección en el 4T13 fueron mucho más altas en todas las plataformas debido a Rotbrow. Familias de amenazas Estos datos están normalizados, es decir, la tasa de infección por cada versión de Windows se calcula mediante la comparación de un número igual de equipos por versión (por ejemplo, equipos de Windows XP SP3 con equipos de Windows 8 RTM). Las tasas de infección en 4T13 fueron mucho más altas en todas las plataformas de cliente de Windows que en 3T13, debido a la influencia de Win32/Rotbrow. Se prevé que las cifras de CCM vuelvan a niveles más típicos en La Figura 8 muestra las tendencias de detección para una serie de familias que han aumentado o disminuido considerablemente en los últimos cuatro trimestres. 10 RESUMEN DE RESULTADOS CLAVE

12 Figura 8. Tendencias de detección para una serie de familias de malware destacadas en % Percent of all reporting computers (encounter rate) 6% 5% 4% 3% 2% 1% 0% 1Q13 2Q13 3Q13 4Q13 Win32/Rotbrow Win32/ Brantall Win32/ Wysotot Win32/ Obfuscator INF/Autorun Win32/ Gamarue Win32/ Sefnit Win32/Sality Cuatro de las familias cuya presencia se ha detectado más habitualmente en el 2S13 (Win32/Rotbrow, Win32/Brantall, Win32/Wysotot y Win32/Sefnit) eran nuevas o volvieron a aparecer después de un periodo significativo de letargo. Vea la entrada Rotbrow: The Sefnit distributor (10 de diciembre de 2013) en el blog de MMPC en blogs.technet.com/mmpc. Wysotot es una familia de troyanos que cambia la página de inicio del explorador web del usuario. Normalmente se instala mediante un conjunto de programas de software que anuncia software o juegos gratuitos. Wysotot se detectó por primera vez en octubre de 2013 y las firmas de detección se agregaron a la herramienta MSRT en marzo de Para obtener más información acerca de Wysotot, vea la entrada MSRT March 2014 Wysotot (11 de marzo de 2014) en el blog de MMPC en blogs.technet.com/mmpc. Amenazas para el hogar y la empresa Los patrones de uso de los usuarios domésticos y de los usuarios empresariales suelen ser muy distintos. El análisis de estas diferencias puede ofrecer información sobre las distintas formas en que los ataques se dirigen a los usuarios empresariales y domésticos, así como las amenazas que se ejecutan con mayor facilidad en cada entorno. Cuatro de las familias principales en el 2S13 eran nuevas o volvieron a aparecer después de un periodo significativo de letargo. MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 16, JULIO - DICIEMBRE DE

13 Figura 9. Tasas de presencia de malware para equipos domésticos y empresariales en % Percent of all reporting computers (encounter rate) 20% 15% 10% 5% Consumer Enterprise 0% 1Q13 2Q13 3Q13 4Q13 Los entornos empresariales normalmente implementan medidas de defensa en profundidad, como los firewalls empresariales, que impiden que determinado malware llegue a los equipos de los usuarios. Por lo tanto, la tasa de presencia de malware en los equipos empresariales tiende a ser menor que en los equipos domésticos. Como se muestra en la Figura 9, la tasa de presencia en los equipos domésticos fue 2,2 veces más alta que la tasa para los equipos empresariales tanto en el 3T13 como en el 4T13. La Figura 10 y La Figura 11 enumeran las diez familias principales detectadas en equipos unidos y no unidos a un dominio, respectivamente, en el 2S RESUMEN DE RESULTADOS CLAVE

14 Figura 10. Tendencias trimestrales de las 10 familias principales detectadas en equipos unidos a un dominio en el 2S13, por porcentaje de equipos en cada familia Percent of all reporting computers (encounter rate) 1.6% 1.4% 1.2% 1.0% 0.8% 0.6% 0.4% 0.2% 0.0% Win32/Conficker INF/Autorun Win32/Gamarue Win32/Sirefef HTML/IframeRef Win32/Obfuscator Win32/Rotbrow Win32/Brantall Win32/ Zbot Java/CVE Q13 4Q13 Worms Miscellaneous Trojans Trojan Downloaders & Droppers PW Stealers & Mon. Tools Exploits Figura 11. Tendencias trimestrales de las 10 familias principales detectadas en equipos no unidos a un dominio en el 2S13, por porcentaje de equipos en cada familia Percent of all reporting computers (encounter rate) 7% 6% 5% 4% 3% 2% 1% 0% Win32/Obfuscator Win32/Sefnit Win32/Wysotot Win32/Sirefef Win32/Rotbrow Win32/Brantall INF/Autorun Win32/Gamarue Win32/Dorkbot Win32/Sality 3Q13 4Q13 Miscellaneous Trojans Trojan Downloaders & Droppers Worms Viruses MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 16, JULIO - DICIEMBRE DE

15 Cinco amenazas (INF/Autorun, Win32/Brantall, Win32/Gamarue, Win32/Obfuscator y Win32/Rotbrow) estaban presentes en ambas listas. Todas se encontraron con más frecuencia en equipos no unidos a un dominio que en los que estaban unidos a un dominio. Vea Familias de amenazas en la página 10 para obtener más información acerca de estas familias. Win32/Conficker, la familia que más se ha Los patrones de uso de los usuarios domésticos y de los usuarios empresariales suelen ser muy distintos. encontrado en los equipos unidos a un dominio en el 2S13, es un gusano que se propaga al aprovechar una vulnerabilidad corregida por el boletín de seguridad MS También se puede propagar a través de recursos compartidos de red y de unidades extraíbles, que se usan habitualmente en entornos con dominios. Win32/Sefnit, la sexta familia que más se ha encontrado en equipos que no están en dominios en el 2S13, estuvo considerablemente más activa en el 3T13 después de un largo periodo de letargo. Sefnit es un bot que permite a un atacante remoto usar el equipo para llevar a cabo diversas actividades utilizando la red de anonimato Tor para enviar comandos a la botnet. 14 RESUMEN DE RESULTADOS CLAVE

16 Amenazas de correo electrónico Más del 75 % de los mensajes de correo electrónico enviados por Internet es no deseado. Este correo no deseado no solo ocupa las bandejas de entrada de los destinatarios y los recursos de los proveedores de correo electrónico, sino que también crea un entorno en el que pueden proliferar los ataques de malware y los intentos de suplantación de identidad (phishing) enviados por correo electrónico. Mensajes de correo no deseado bloqueados La información de esta sección del informe Microsoft Security Intelligence Report se recopila a partir de los datos de telemetría que proporciona Protección en línea de Exchange, que ofrece servicios de filtrado de correo no deseado, suplantación de identidad (phishing) y malware. Decenas de miles de clientes empresariales de Microsoft que procesan decenas de miles de millones de mensajes cada mes usan Protección en línea de Exchange. Figura 12. Mensajes bloqueados por Protección en línea de Exchange en 2013, por mes Spam messages blocked (in billions) Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 16, JULIO - DICIEMBRE DE

17 Figura 13. Mensajes bloqueados por Protección en línea de Exchange cada semestre, 1S10 2S13 Spam messages blocked (in billions) H10 2H10 1H11 2H11 1H12 2H12 1H13 2H13 Los volúmenes de correo bloqueado en el 2S13 son similares a los del 1S13 y son bastante inferiores a los observados antes de finales de 2010, tal como se muestra en la Figura 13. La drástica reducción del correo no deseado observado desde 2010 se ha debido al cierre de una serie de grandes redes de bots para el envío de este tipo de correo, especialmente Cutwail (agosto de 2010) y Rustock (marzo de 2011). 4 En el 2S13, Protección en línea de Exchange determinó que alrededor de 1 de cada 4 mensajes de correo electrónico no requirió bloqueo o filtrado, a diferencia de 2010, que era 1 de cada 33 mensajes. Figura 14. Mensajes entrantes bloqueados por Protección en línea de Exchange, julio-octubre de 2013, por categoría St ock 1.3% Other 1.9% Pharmacy (non-sexual) 43.1% Dating/sexually explicit material 1.4% Phishing 4.1% Financial 2.5% Non-pharmacy product ads 4.2% Malware 7.1% 419 scams 14.0% Image-only 20.5% 4 Para obtener más información acerca del cierre de Cutwail, vea el informe Microsoft Security Intelligence Report, volumen 10 (julio - diciembre de 2010). Para obtener más información acerca del cierre de Rustock, vea Battling the Rustock Threat, disponible en el Centro de descarga de Microsoft. 16 RESUMEN DE RESULTADOS CLAVE

18 Sitios web malintencionados Los atacantes suelen usar sitios web para llevar ataques de suplantación de identidad (phishing) o distribuir malware. Los sitios web malintencionados suelen parecer totalmente legítimos y no presentan indicios externos de su naturaleza malintencionada incluso para usuarios informáticos con experiencia. Distribución global de sitios de suplantación de identidad (phishing) Los sitios de suplantación de identidad (phishing) se hospedan en todo el mundo en sitios de hospedaje gratuitos, en servicios web vulnerables y en otros muchos contextos. Al realizar búsquedas geográficas de las direcciones IP en la base de datos de sitios de suplantación de identidad (phishing) notificados se pueden crear mapas que muestran la distribución geográfica de los sitios y analizar los patrones. Figura 15. Sitios de suplantación de identidad (phishing) por hosts de Internet en diferentes lugares del mundo en el 4T13 El filtro SmartScreen detectó 5,5 sitios de suplantación de identidad (phishing) por hosts de Internet en todo el mundo en el 4T13. MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 16, JULIO - DICIEMBRE DE

19 Los lugares con concentraciones de sitios de suplantación de identidad (phishing) superiores a la media son Ucrania (14,2 por hosts de Internet en el 4T13), Indonesia (12,8) y Sudáfrica (12,5). Los lugares con una concentración baja de sitios de suplantación de identidad (phishing) son Taiwán (1,4), Japón (1,4) y Corea (1,6). Sitios de hospedaje de malware El filtro SmartScreen en Internet Explorer proporciona protección contra los sitios que se sabe que hospedan malware, además de los sitios de suplantación de identidad (phishing). El filtro SmartScreen usa los datos de reputación de archivos y direcciones URL, así como las tecnologías antimalware de Microsoft, para determinar si los sitios distribuyen contenido no seguro. Distribución global de sitios de hospedaje de malware Figura 16. Sitios de distribución de malware por hosts de Internet en diferentes lugares del mundo en el 4T13 En el 2S13, los sitios que hospedaban malware eran considerablemente más habituales que los sitios de suplantación de identidad (phishing). El filtro SmartScreen detectó 18,4 sitios de hospedaje de malware por hosts de Internet en todo el mundo en el 4T13. China, que tenía una concentración de sitios de suplantación de identidad (phishing) inferior a la media (2,3 sitios por hosts de Internet en el 4T13), también tenía una concentración muy alta de sitios de hospedaje de malware (35,8 sitios por hosts en el 4T13). Otros lugares con grandes concentraciones de sitios de hospedaje de malware son Ucrania (59,2), Rumanía (57,8) y Rusia (41,0). Lugares con concentraciones bajas de sitios de hospedaje de malware son Japón (6,7), Nueva Zelanda (7,6) y Finlandia (8,8). 18 RESUMEN DE RESULTADOS CLAVE

20 Sitios de descargas ocultas Un sitio de descargas ocultas es un sitio web que hospeda una o varias vulnerabilidades de seguridad que atacan vulnerabilidades en exploradores web y en complementos de explorador. Los usuarios con equipos vulnerables se pueden infectar con malware tan solo con visitar un sitio web de este tipo, incluso sin intentar descargar nada. Figura 17. Páginas de descargas ocultas indizadas por Bing a finales del 4T13 por direcciones URL en cada país o región En este documento se resumen las principales conclusiones del informe. En el sitio web de SIR también se incluye un análisis exhaustivo de las tendencias encontradas en más de 100 países y regiones de todo el mundo, y se ofrecen sugerencias para afrontar los riesgos de su organización, el software y las personas. Usted puede descargar SIRv16 desde MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUMEN 16, JULIO - DICIEMBRE DE

21 One Microsoft Way Redmond, WA microsoft.com/security