Informe de Symantec sobre las amenazas para la seguridad de los sitios web I 2015 Primera parte
ÍNDICE Introducción Resumen ejecutivo menazas en Internet Ciberdelincuencia y malware Consejos y prácticas recomendadas Perfil de Symantec 3 4 5 21 36 40 2 I Symantec Website Security Solutions
INTRODUCCIÓN Symantec cuenta con la fuente de datos más completa que existe sobre las amenazas en Internet: Symantec Global Intelligence Network, un sistema compuesto por más de 41,5 millones de sensores de ataque que registra miles de incidencias por segundo. Esta red supervisa las amenazas existentes en más de 157 países y regiones mediante una combinación de productos y servicios de Symantec, como: Symantec DeepSight Threat anagementsystem Symantec anaged Security Services Productos de Norton Symantec Website Security Solutions Otras fuentes de datos externas Symantec también mantiene una de las bases de datos sobre vulnerabilidades más completas del mundo. En este momento, hay registradas más de 60 000 vulnerabilidades que afectan a más de 54 000 productos de más de 19 000 proveedores. Los datos sobre spam (envío de correo no deseado), phishing (suplantación de la identidad) y malware (código dañino) se registran a través de distintos recursos, como : Symantec Probe Network, un sistema que abarca más de cinco millones de cuentas señuelo Symantec.cloud Symantec Website Security Solutions y los productos de protección frente al malware y las vulnerabilidades Otras tecnologías de seguridad de Symantec La tecnología heurística patentada de Symantec. cloud, denominada Skeptic, detecta los ataques dirigidos más nuevos y avanzados antes de que lleguen a la red del cliente. 14 centros de datos procesan más de 8400 millones de mensajes de correo electrónico al mes y filtran más de 1 700 millones de solicitudes por Internet al día. Symantec también recopila información sobre phishing a través de una amplia comunidad antifraude de empresas, proveedores de seguridad y más de 50 millones de consumidores. 19 000 54 000 60 000 14 proveedores productos centros de datos vulnerabilidades registradas 1700 ILLONES 8400 ILLONES 157 Symantec mantiene una de las bases de datos sobre vulnerabilidades más completas del mundo Skeptic, la tecnología heurística patentada de Symantec.cloud de solicitudes de correos electrónicos Symantec Website Security Solutions funciona sin interrupción, permite comprobar si un certificado digital X.509 se ha revocado o no mediante el protocolo de estado de certificados en línea (OCSP) y procesa a diario más de 6000 millones de consultas de este tipo en todo el mundo. Gracias a estos recursos, los analistas de Symantec cuentan con fuentes de información insuperables para detectar, analizar e interpretar las nuevas tendencias en materia de ataques, malware, phishing y spam. Todos estos datos nos han servido para elaborar el informe sobre amenazas para la seguridad de los sitios web de Symantec, que ofrece a empresas y consumidores información esencial para proteger sus sistemas de forma eficaz tanto ahora como en el futuro. 3 I Symantec Website Security Solutions
RESUEN EECUTIVO El incidente más sonado de 2014 fue, sin duda, la vulnerabilidad Heartbleed, que sacudió los cimientos de la seguridad en Internet. En este caso, el quid del problema no era la sagacidad de los ciberdelincuentes, sino otra verdad incómoda: que ningún programa es infalible y, por lo tanto, hay que cuidar al máximo la seguridad de los sitios web con sistemas más avanzados y eficaces. Por supuesto, mientras Heartbleed acaparaba titulares, los ciberdelincuentes seguían buscando nuevas maneras de atacar, robar y perjudicar a sus víctimas. En 2014, recurrieron a tácticas más profesionales, avanzadas y agresivas que afectaron tanto a empresas como a consumidores. Las vulnerabilidades, un riesgo que pone en peligro a todos Heartbleed no fue la única vulnerabilidad descubierta en 2014. Los ciberdelincuentes también se sirvieron de Poodle y Shellshock para infiltrarse en servidores, robar datos e instalar malware. Curiosamente, el número de sitios web con malware se redujo a la mitad (uno de cada 1 126), pese a que el porcentaje con vulnerabilidades fue el mismo que en 2013: tres cuartos del total analizado. No está claro si esta tendencia se debe en parte a que los sitios web están mejor protegidos o si, por el contrario, podría indicar el avance de otras vías de distribución de malware, como las redes sociales y la publicidad dañina (malvertising). Por desgracia, quienes quisieron aprovechar las vulnerabilidades lo tuvieron muy fácil porque muchísima gente no se molestó en actualizar el software. Sin los parches pertinentes, un dispositivo o servidor están desprotegidos frente a los droppers, herramientas de ataque habituales que buscan vulnerabilidades sin resolver y, si las encuentran, provocan una infección con descargas no autorizadas u otras técnicas, como las estafas en las redes sociales. De profesión, ciberdelincuente En 2014, los atacantes perfeccionaron sus métodos y siguieron «profesionalizándose». La ciberdelincuencia ya es un negocio con mercados paralelos a los del sector tecnológico y con sus correspondientes especialidades y proveedores de servicios. Por ejemplo, alquilar un kit de herramientas web que infecte a las víctimas con descargas no autorizadas cuesta entre 100 y 700 dólares estadounidenses por semana, con derecho a actualizaciones y asistencia a todas horas. El precio de los ataques distribuidos de denegación de servicio (DDoS) oscila entre los diez y los mil dólares al día 1 ; los datos de tarjetas de crédito se venden a entre 0,50 y 20 dólares por tarjeta; y mil seguidores en una red social cuestan entre dos y doce dólares solamente. Los métodos de ataque, cada vez más amorales y agresivos Los ciberdelincuentes nunca han mostrado especial compasión por sus víctimas, pero en 2014 fueron aún más implacables. Según lo observado por Symantec, la incidencia del cryptoware se multiplicó por catorce de mayo a septiembre 2. Esta variante del ransomware cifra los archivos de la víctima fotos, contratos, facturas o lo que se tercie y pide un rescate a cambio de las claves privadas necesarias para descodificarlos. Normalmente, el pago debe realizarse en bitcoins a través de una página web de la red Tor, lo que impide seguir la pista de los atacantes y les permite continuar con sus fechorías. Las redes sociales y el phishing también se usaron para explotar los miedos de la gente, como el temor al hacking y a ciertas situaciones de alarma sanitaria. En algunos casos, los delincuentes se sirvieron de enlaces relacionados con estos temas para obtener clics y registros (y luego sacarles partido económico mediante programas de afiliación). En otros, recurrieron a las descargas de malware para infectar a las víctimas o crearon sitios web de phishing con formularios diseñados para el robo de datos. 1. http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services 2 http://www.symantec.com/connect/blogs/australians-increasingly-hit-global-tide-cryptomalware Symantec Website Security Solutions I 4
ENZS EN INTERNET 5 I Symantec Website Security Solutions
RESUEN 1 En abril, los datos de aproximadamente un millón de sitios web considerados fiables corrieron peligro a consecuencia de la vulnerabilidad Heartbleed 3. 2 raíz de lo sucedido con Heartbleed, muchos aprendieron la lección y tomaron medidas para que las tecnologías SSL y TLS fueran más seguras. 3 Los ciberdelincuentes aprovechan la tecnología y la infraestructura de las redes publicitarias legítimas para sus estafas y ataques. 4 En 2014, las páginas de navegación anónima pasaron a representar el 5 % del total de sitios web infectados, un salto que las sitúa entre las diez categorías con mayor número de infecciones. 5 Desde 2013, el total de sitios web con malware se ha reducido prácticamente a la mitad. 3 http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html Symantec Website Security Solutions I 6
INTRODUCCIÓN En 2014, Internet se llenó de amenazas de mayor envergadura y peligrosidad. Se descubrió que algunas herramientas y protocolos de cifrado de uso corriente no eran tan seguros como se creía, y las víctimas tuvieron más dificultades para zafarse de las garras de sus atacantes. Todo esto convirtió a Internet en un auténtico campo de minas, y no hay razón para pensar que esta tendencia vaya a invertirse en 2015. Tanto las vulnerabilidades como los nuevos tipos de malware dejaron claro que las empresas deben volcarse por completo en mejorar la seguridad de los sitios web. En el momento en que se redactó este documento en 2015, varios investigadores de seguridad habían identificado una nueva vulnerabilidad en la tecnología SSL/TLS, denominada «FREK» 4, que permitía hacer ataques de interposición «an-in-the-iddle» para interceptar y descifrar las comunicaciones entre un sitio web y sus visitantes, robar contraseñas e información personal y, en ciertos casos, volver a atacar el sitio web afectado posteriormente. 4 http://www.symantec.com/connect/blogs/freak-vulnerability-can-leave-encrypted-communications-open-attack 7 I Symantec Website Security Solutions
LS VULNERBILIDDES ÁS SONDS Heartbleed Heartbleed se hizo noticia en abril, fecha en la que se descubrió que, en caso de ataque, esta vulnerabilidad en la biblioteca de software criptográfico OpenSSL permitía acceder a los datos almacenados en la memoria de un servidor web y descodificar la información transmitida durante una sesión cifrada. Esto ponía en peligro datos confidenciales de gran valor, como contraseñas, información de tarjetas de crédito e incluso claves privadas. 5 En su día, se calculó que Heartbleed podría haber afectado al 17 % de los servidores web SSL, que utilizan certificados SSL y TSL emitidos por autoridades de certificación de confianza. 6 Ni que decir tiene que el incidente fue un duro golpe para empresas y consumidores. No solo quedó desprotegida una gran cantidad de datos confidenciales, sino que las empresas tuvieron que pasar por el mal trago de pedir a los clientes que cambiaran sus contraseñas, no sin antes tomar otras medidas: actualizar los servidores de sus sitios web con la versión más reciente de OpenSSL, instalar certificados SSL nuevos y revocar los antiguos. Por suerte, la respuesta fue rápida. los cinco días, ninguno de los mil sitios web más visitados según lexa seguía siendo vulnerable a Heartbleed (y de los 50 000 con más visitas, solo el 1,8 % aún no había resuelto el problema). 7 ShellShock y Poodle Heartbleed no fue la única vulnerabilidad que salió a la luz en 2014. En septiembre se descubrió «Bash Bug» (también llamada «ShellShock»), que afectaba a la mayoría de las versiones de Linux y Unix, incluido ac OS X. ShellShock es un buen ejemplo de lo rápido que puede cambiar todo cuando se tiene un sitio web. unque se instalen todas las revisiones, si se descubre que son insuficientes, los servidores dejarán de estar protegidos de un día para otro y habrá que instalar otras. En este caso, los atacantes podían usar la interfaz de entrada común (CGI, por sus siglas en inglés), con la que se genera contenido web dinámico, para infiltrarse en los servidores y añadir un comando malicioso a una variable de entorno. Con esta técnica se consigue que Bash el componente del servidor afectado por la vulnerabilidad interprete y ejecute la variable en cuestión. 8 Pronto surgieron multitud de amenazas diseñadas para explotar esta vulnerabilidad. Los servidores (y las redes a las que se conectaban) quedaron a merced del malware, y aumentó el riesgo de espionaje e infección en un gran número de dispositivos. En octubre, Google descubrió Poodle, que volvió a poner en entredicho el cifrado. Esta vulnerabilidad dejaba desprotegidos los servidores compatibles con la versión 3.0 de SSL, interfiriendo con el handshake (el proceso que comprueba qué protocolo admite el servidor) y obligando a los navegadores web a establecer una conexión mediante el protocolo SSL 3.0 en vez de usar una versión más reciente. 9 Un ataque de interposición «an-in-the-iddle» realizado en estas condiciones permite descifrar las cookies HTTP seguras y, de este modo, robar datos o apropiarse de cuentas de servicios en Internet. Por suerte, Poodle no era tan grave como Heartbleed, ya que, para explotarla, el atacante debía tener acceso a la red entre el cliente y el servidor (como ocurre cuando se utiliza un punto de acceso Wi-Fi público). 5 http://www.symantec.com/connect/blogs/heartbleed-bug-poses-serious-threat-unpatched-servers 6 http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html 7 http://www.symantec.com/connect/blogs/heartbleed-reports-field 8 http://www.symantec.com/connect/blogs/shellshock-all-you-need-know-about-bash-bug-vulnerability 9 http://www.symantec.com/connect/blogs/poodle-vulnerability-old-version-ssl-represents-new-threat Symantec Website Security Solutions I 8
LS VULNERBILIDDES ÁS SONDS La importancia de aplicar pronto las revisiones cuando se detectan vulnerabilidades de gran repercusión mediática Tras el anuncio de estas vulnerabilidades, no tardaron en sucederse los ataques lo que, por supuesto, también fue noticia, aunque no por el mismo motivo que las vulnerabilidades de día cero. l no poner en peligro los dispositivos de acceso, sino los servidores, Heartbleed y ShellShock se consideraron un nuevo tipo de vulnerabilidad. El software al que afectaban estaba instalado en un gran número de sistemas y dispositivos, lo que les dio notoriedad e hizo que los ataques empezaran a arreciar apenas unas horas después de hacerse público el problema. Los picos del gráfico indican que, poco después de anunciarse las vulnerabilidades, el número de ataques ya era muy elevado, si bien las firmas de Symantec los detectaron y bloquearon casi de inmediato. las cuatro horas de conocerse la vulnerabilidad Heartbleed, los ciberdelincuentes ya la habían aprovechado para atacar. Los certificados SSL y TLS no han perdido vigencia Cabe destacar que, aunque la seguridad web pasó por horas bajas en 2014, los certificados SSL y TLS (sus equivalentes más modernos) siguen siendo esenciales y ofrecen la misma protección que antes. De hecho, Heartbleed demostró lo rápido que se puede responder a los ataques. Gracias al esfuerzo y la vigilancia de organizaciones como el C/Browser Forum, al que pertenece Symantec, los estándares del sector mejoran constantemente. Los mecanismos básicos que garantizan la protección de un sitio web y sus visitantes no solo siguen siendo válidos, sino que cada vez son más eficaces. NÚERO DE TQUES HERTBLEED Y SHELLSHOCK EN EL UNDO, DE BRIL NOVIEBRE DE 2014 40 35 30 25 taques Heart Bleed taques Shellshock ILES 20 15 5 0 S O N Fuente: Symantec 9 I Symantec Website Security Solutions
VULNERBILIDDES: PNOR GENERL El número de vulnerabilidades varía ligeramente de un año a otro, pero sigue observándose una tendencia al alza. La mayoría de las vulnerabilidades conocidas tienen solución si se instalan revisiones o se toman otras medidas, pero los creadores de malware saben que vale la pena tratar de aprovecharlas porque mucha gente no hace nada por remediarlas. En muchos casos, se utiliza un dropper que busca vulnerabilidades conocidas sin resolver para usarlas como puerta trasera y propagar el malware. Instalar las actualizaciones resulta, por tanto, trascendental. Esta es la razón por la que, con la ayuda de kits de ataque web como Sakura y Blackhole, es tan fácil aprovechar vulnerabilidades que se hicieron públicas meses o años atrás. Lo primero que hacen estos kits es analizar el navegador por si hubiera algún complemento vulnerable. En caso de detectar alguno, pasan a determinar el mejor método de ataque, ya que puede que existan varios para cada vulnerabilidad. uchos kits de herramientas no emplean el método de ataque más reciente si basta con utilizar otro anterior. demás, la mayoría de los ataques no pretenden aprovechar las vulnerabilidades de día cero, aunque estas tienen especial interés para los ciberdelincuentes porque permiten realizar ataques de abrevadero o watering hole. VULNERBILIDDES NUEVS 2014 6 549 2013 6 787 2012 5 291-3,6 % +28 % Fuente: Symantec Deepsight Symantec Website Security Solutions I 10
Número total de vulnerabilidades, 2006 2014 Vulnerabilidades por buscador, 2011 2014 2006 4 842 2011 351 2008 2007 4 644 5 562 2012 891 2009 4 814 2013 591 2011 2010 6 253 4 989 2014 639 2012 5 291 Opera ozilla Firefox 2013 6 787 icrosoft Internet Explorer 2014 6 549 Google Chrome pple Safari Fuente: Symantec I Deepsight Fuente: Symantec I Deepsight Vulnerabilidades de los complementos por mes, 2013-2014 80 70 60 50 71 54 54 45 53 48 48 ava pple dobe ctivex 40 30 20 10 35 27 5 8 17 4 2 29 11 29 8 31 13 30 36 23 37 E F S O N D E F S O N D Fuente: Symantec I Deepsight 2013 2014 Las vulnerabilidades de día cero aquellas que solo se descubren tras haberse explotado son mucho más peligrosas que las ya conocidas. En el capítulo sobre los ataques dirigidos se profundiza más en este tema. 11 I Symantec Website Security Solutions Plug-in Vulnerabilities by onth
SITIOS WEB INFECTDOS En 2014, unos tres cuartos de los sitios web analizados por Symantec presentaban vulnerabilidades, una cifra muy similar a la del año anterior. Sin embargo, el porcentaje clasificado como «crítico» pasó del 16 al 20 %. La proporción de sitios con malware se redujo a uno de cada 1 126 (en 2013, eran uno de cada 566). También disminuyó el total de ataques web bloqueados al día, pero solo en un 12,7 %, de lo que se deduce que el número de ataques por cada sitio web infectado fue mayor en 2014. Estas cifras se deben en parte a que algunos kits de herramientas de ataque web se utilizan en la nube con un modelo de software como servicio (SaaS). Los ataques ya no siempre provienen del malware de un sitio web infectado, sino que pueden realizarse con un kit de herramientas de ataque basado en SaaS que inyecte el código dañino con una etiqueta iframe de HTL o código avascript camuflado. La generalización de estos kits también explica que el número de nuevos dominios web con malware se haya reducido en un 47 % (de 56 158 en 2013 a 29 927 en 2014). Los kits de herramientas de ataque web analizan los equipos de las víctimas para buscar complementos vulnerables y, en caso de hallarlos, determinar el mejor método de ataque. Los basados en SaaS suelen encontrarse en servicios de alojamiento muy difíciles de identificar y desmantelar, con direcciones IP que cambian con rapidez y nombres de dominio que se generan de forma dinámica. demás, permiten controlar cuándo y cómo se llevará a cabo el ataque. Por ejemplo, para que ni los motores de búsqueda ni los analistas detecten el código dañino, puede especificarse como condición de ataque que se haya definido una cookie para el sitio web infectado. Los kits de herramientas de ataque web se analizan más detenidamente en otro apartado de este capítulo. Entre las diez categorías de sitios web más atacados destacan los sitios web de navegación anónima, que no aparecían en años anteriores. Como en otras ocasiones, los delincuentes se limitan a seguir la corriente. Hoy en día, cada vez más consumidores quieren navegar de forma confidencial sin que su proveedor de servicios de Internet controle lo que hacen. PRINCIPLES VULNERBILIDDES SIN RESOLVER DETECTDS EN LOS SERVIDORES WEB NLIZDOS Puesto Nombre 1 Vulnerabilidad POODLE (protocolos SSL y TLS) 2 taques de secuencias de comandos entre sitios 3 Compatibilidad con SSL v2 4 Compatibilidad con conjuntos de cifrado SSL poco seguros 5 Cadena de certificados SSL no válida 6 Detección de una cookie de sesión SSL cifrada sin el atributo «Secure» 7 Vulnerabilidad en el proceso de renegociación de los protocolos SSL y TLS 8 Vulnerabilidad relacionada con la divulgación de información por medio de la función PHP strrchr() 9 taque http TRCE XSS 10 Tratamiento del error de OpenSSL bn_wexpend() (vulnerabilidad sin especificar) Fuente: Symantec I Website Security Solutions Symantec Website Security Solutions I 12
SITIOS WEB NLIZDOS QUE PRESENTBN VULNERBILIDDES PORCENTE DE VULNERBILIDDES CRÍTICS 76 % 2014-1 % 77 % 2013 +25 % 55 % 2012 20 % 2014 +4 % 16 % 2013 +8 % 24 % 2012 Fuente: Symantec I Website Security Solutions Fuente: Symantec I Website Security Solutions En In 2014, 2014, 20 el 20 percent % de (1 las in vulnerabilidades 5) of all vulnerabilities detectadas discovered (una de on cada legitimate cinco) se websites consideraron were considered críticas porque, critical, en that caso could de ser allow descubiertas, attackers access habrían to sensitive permitido data, a un alter atacante the website s acceder content, a datos or confidenciales, compromise visitors alterar computers. el contenido del sitio web o infectar los equipos de quienes visitaran sus páginas. SITIOS WEB EN LOS QUE SE DETECTÓ LWRE 1 250 1 000 1 126 1 de cada 750 500 250 532 566 2012 2013 2014 Fuente: Symantec I Website Security Solutions 13 I Symantec Website Security Solutions Plug-in Vulnerabilities by onth
TIPOS DE SITIOS WEB ÁS TCDOS EN 2013 Y 2014 Puesto Categorías atacadas con más frecuencia en 2014 Porcentaje del total de sitios web infectados en 2014 Categorías de 2013 Porcentaje en 2013 1 Tecnología 21,5 % Tecnología 9,9 % 2 lojamiento 7,3 % Empresas 6,7 % 3 Blogs 7,1 % lojamiento 5,3 % 4 Empresas 6,0 % Blogs 5,0 % 5 Sitios web de navegación anónima 5,0 % Sitios web ilegales 3,8 % 6 Ocio 2,6 % Comercio electrónico 3,3 % 7 Comercio electrónico 2,5 % Ocio 2,9 % 8 Sitios web ilegales 2,4 % utomoción 1,8 % 9 Sitios web temporales 2,2 % Educación 1,7 % 10 Comunidades virtuales 1,8 % Comunidades virtuales 1,7 % Fuente: Symantec SDP, Safe Web, Rulespace TQUES WEB BLOQUEDOS L ES, 2013-2014 iles 900 800 700 600 500 400 300 200 100 Línea de tendencia (2013) Línea de tendencia (2014) E F S O N D E F S O N D Fuente: Symantec SDP 2013 2014 Plug-in Vulnerabilities by onth Symantec Website Security Solutions I 14
NUEVOS DOINIOS WEB CON LWRE 2014 2013 29 927 56 158 2012 74 001 2011 55 000-47 % -24 % +34 % Fuente: Symantec.cloud En 2014, se detectó un 47 % menos de dominios web con código dañino, lo que indica que se usan más kits de herramientas con un modelo de software como servicio (SaaS) basado en la nube. TQUES WEB BLOQUEDOS L DÍ 2014 2013 496 657 568 734 2012 464 100 2011 190 000-12.7 % +23 % +144 % Fuente: Symantec SDP El descenso del 12,7 % en la media de ataques bloqueados a diario se concentró principalmente en la segunda mitad de 2013. En 2014, el ritmo de disminución fue mucho menor. unque la mayoría de los sitios web siguen presentando vulnerabilidades, muchos de sus propietarios prestan menos atención a las evaluaciones de vulnerabilidad que a los análisis contra software malicioso. Sin embargo, prevenir es mejor que curar y, por lo general, quien infecta con malware un sitio web ha encontrado antes una vulnerabilidad que explotar. Los sitios web presentan tantas vulnerabilidades que resulta muy fácil atacarlos. En 2014, los delincuentes hicieron su agosto gracias a las vulnerabilidades relacionadas con la tecnología SSL y TLS, pero también empezaron a utilizar otras técnicas de distribución de malware, como las estafas en las redes sociales y el uso de publicidad dañina (malvertising), cuya incidencia va en aumento. 15 I Symantec Website Security Solutions
CINCO PRINCIPLES HERRIENTS DE TQUE, 2012 CINCO PRINCIPLES HERRIENTS DE TQUE, 2013 17 % 3 % 5 7 % 10 % 22 % 41 % 8 % 10 % 26 5 14 % 19 % % 23 % Blackhole Otros Sakura Phoenix Redkit Nuclear G01 Pack Blackhole Sakura Styx Otros Coolkit Fuente: Symantec I SDP, Wiki Fuente: Symantec I SDP, Wiki CINCO PRINCIPLES HERRIENTS DE TQUE, 2014 Cronología del uso de los cinco principales kits de herramientas de ataque, 2014 100 % 50 % 5 23 % 10 % 7 % 5 %5 % 0 % E F S O N D Sakura Nuclear Styx Orange Kit Blackhole Otros Otros Blackhole Orange Kit Styx Nuclear Sakura Fuente: Symantec I SDP, Wiki Fuente: Symantec I SDP, Wiki Plug-in Vulnerabilities by onth Symantec Website Security Solutions I 16
PUBLICIDD DÑIN (LVERTISING) En 2014, el ransomware y el malvertising cruzaron sus caminos. lo largo del año, el número de internautas a los que se redirigió al sitio web de Browlock alcanzó cifras récord. Browlock es uno de los tipos de ransomware menos agresivos que existen. En lugar de infectar con malware el equipo de la víctima, utiliza avascript para impedir que cierre una pestaña del navegador. El sitio web determina la localización geográfica del internauta y lo redirige a una página en la que se solicita el pago de una multa a la policía local por visitar sitios pornográficos ilegales. Quienes usan esta técnica suelen comprar publicidad en redes legítimas con la intención de atraer visitas a su sitio web. El anuncio conduce a una página web pornográfica que, a su vez, lleva al sitio web de Browlock. El tráfico comprado con este sistema proviene de distintas fuentes, pero sobre todo de redes publicitarias de contenido pornográfico 10. En realidad, para salir indemne de esta trampa basta con cerrar el navegador, pero si los delincuentes hacen un desembolso a cambio de este tipo de tráfico es porque hay gente que paga. Quizá se deba al sentimiento de culpabilidad, ya que para llegar a la página de Browlock hay que haber hecho clic en el anuncio de un sitio web pornográfico. Otros usos de la publicidad dañina La publicidad dañina no solo sirve para propagar ransomware. También puede conducir a las víctimas a sitios web desde los que se instalan troyanos. En algunos casos, los dispositivos se infectan mediante una descarga no autorizada, sin que sea necesario hacer clic en los anuncios. El malvertising tiene un gran atractivo para los ciberdelincuentes porque, si los anuncios se muestran en sitios web legítimos muy conocidos, puede atraer una gran cantidad de tráfico. demás, las redes publicitarias utilizan técnicas de segmentación muy precisas, lo que permite dirigir el engaño a víctimas concretas (por ejemplo, personas que hagan búsquedas relacionadas con servicios financieros). En ocasiones, las redes publicitarias legítimas se convierten en un medio al servicio de los delincuentes, cuya actividad no es fácil de detectar porque sus tácticas cambian con frecuencia. Por ejemplo, un anuncio inofensivo que lleve semanas publicándose para parecer fiable puede volverse dañino de repente. Por eso es importante que las redes publicitarias hagan análisis con regularidad, y no solo cuando se publica un anuncio nuevo. Para los propietarios de sitios web no es fácil protegerse del malvertising, ya que las redes publicitarias y sus clientes son ajenos a su control. Sin embargo, los administradores pueden elegir redes que, al restringir determinadas funciones, impidan que los anunciantes incluyan código dañino en sus promociones. Hay que documentarse y estudiar a fondo las características de cada red. Página web de Browlock en la que se exige el pago de una multa por haber visitado sitios web de pornografía ilegal 10 10 http://www.symantec.com/connect/blogs/massive-malvertising-campaign-leads-browser-locking-ransomware 11 Ibid 17 I Symantec Website Security Solutions
TQUES DE DENEGCIÓN DE SERVICIO Los ataques distribuidos de denegación de servicio (DDoS) existen desde hace tiempo, pero ahora son más intensos y frecuentes. 12 Se dirigen a empresas u organizaciones concretas en las que bloquean el acceso al correo electrónico, al sitio web o a otros sistemas esenciales, lo que interrumpe las operaciones y puede suponer grandes pérdidas. Por ejemplo, de enero a agosto de 2014, Symantec observó un aumento del 183 % en el número de ataques de amplificación DNS 13. Según una encuesta de Neustar, el 60 % de las empresas fueron víctimas de un ataque DDoS en 2013, y el 87 % sufrieron varios. En algunos casos, se trata de una forma de extorsión, pero a veces los motivos son otros, como el hacktivismo, la venganza o el deseo de desviar la atención de otros ataques. demás, los interesados en realizar ataques DDoS recurren cada vez más al mercado negro de Internet, donde se pueden alquilar servicios de ataque de distinta duración e intensidad por entre 10 y 20 dólares. TRÁFICO DE TQUES DDOS OBSERVDO POR SYNTEC GLOBL INTELLIGENCE NETWORK Total de ataques DDoS ILLONES 8 7 6 5 4 3 2 1 0 taque de amplificación DNS taque genérico de inundación de ICP taque genérico de denegación de servicio a través de inundación de SYN del TCP E F S O N D Fuente: Symantec I DeepSight Symantec Global Intelligence Network 12 http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong 13 http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong 14 http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-continued-rise-of-ddos-attacks.pdf Symantec Website Security Solutions I 18
EL UENTO DE LS VULNERBILIDDES Tim Gallo En los últimos años, se ha hablado mucho de la gestión de vulnerabilidades. Sin embargo, hay una cierta tendencia a considerarla como una incomodidad o como un proceso menos interesante que la respuesta a incidentes o la necesidad de seguir la pista de los posibles atacantes. En 2014, quedó claro que las vulnerabilidades debían pasar a un primer plano. Poodle, ShellShock y Heartbleed no solo fueron noticia en la prensa especializada, sino también en los medios de comunicación de masas. En todos estos casos, los procesos de gestión de vulnerabilidades resultaron insuficientes porque el origen del problema no era el acostumbrado. Últimamente, los ordenadores portátiles y los servidores están bien controlados porque empresas como dobe y icrosoft notifican las vulnerabilidades más recientes con regularidad y tardan muy poco en sacar revisiones. unque seguirá habiendo vulnerabilidades que afecten a equipos y servidores, los procesos de notificación de incidencias y aplicación y gestión de revisiones han mejorado mucho. Con frecuencia, los sistemas operativos y los proveedores de aplicaciones aplican las revisiones de forma automática, así que es natural que los atacantes hayan cambiado de tácticas. hora, están volviendo a centrarse en buscar nuevas vulnerabilidades, y sus exhaustivas técnicas de análisis ya les han servido para encontrarlas en lugares que antes se consideraban seguros. Para ver lo que nos depara el futuro, detengámonos un momento en otra de estas vulnerabilidades, ShellShock. Durante más de 25 años, nadie reparó en esta función fallida (o error de diseño) del shell Bourne gain (BSH) 15. Y, de repente, se descubrió que podría explotarse y se hizo pública su existencia. Shellshock ha formado parte de Internet durante una buena parte de la historia de esta. De hecho, no solo ha permitido atacar routers o servidores web de Linux, sino también Heartbleed incluso tiene su propio logotipo servidores de correo electrónico e incluso bots DDoS que utilizan el shell (es decir, cualquier componente basado en Unix que utilice BSH). 15 Un shell de Unix para quienes no conozcan la terminología es una interfaz de usuario de la línea de comandos a través de la cual se interactúa con el sistema operativo. BSH es uno de los shells más usados en UNIX y LINUX. 19 I Symantec Website Security Solutions
En los próximos años, posiblemente sigan apareciendo vulnerabilidades de este tipo por varias razones. En primer lugar, ya se ha visto que los atacantes no tienen pensado usar eternamente sus viejos trucos; ahora les interesa buscar nuevas vulnerabilidades en infraestructuras más antiguas que estén muy extendidas y les permitan ampliar el radio de ataque. Poodle, ShellShock y Heartbleed demostraron que algunos de los componentes básicos de la infraestructura de Internet no eran seguros, pero también que los desarrolladores emplean prácticas dudosas, como la reutilización del código. veces, parte del código de una aplicación nueva se copia de otras aplicaciones existentes. Es algo que los desarrolladores han hecho desde siempre, pero también la causa de que existan vulnerabilidades en sistemas que, aparentemente, no tienen relación entre sí. Heartbleed es un perfecto ejemplo de lo que puede ocurrir cuando se reutiliza el código, aunque sea de manera legítima. El código de la biblioteca OpenSSL se consideraba fiable desde hacía mucho y no se analizaba con frecuencia porque se pensaba que era «un problema resuelto». Sin embargo, cuando se descubrió que no era así, los desarrolladores de todo el mundo tuvieron que arreglárselas para determinar si el código que habían reutilizado era vulnerable. acuse de querer lucrarse o de divulgar información de forma irresponsable. Sin embargo, es de esperar que también mejoren las medidas de seguridad y los métodos de resolución de problemas. Cualquier informático que se pase unas cuantas semanas sin dormir comprobará en sus propias carnes la importancia de ser previsor. Es vital que en toda la infraestructura se sigan las mismas directrices y los mismos procedimientos de configuración y aplicación de revisiones. Trasladar la infraestructura a la nube también ahorra tiempo al personal informático, que a menudo está desbordado con otras tareas. hora que las vulnerabilidades han vuelto con fuerzas renovadas, se está viendo que «detectar y solucionar» no es un buen enfoque. Para ser mejores profesionales de la seguridad, también hemos de pensar en cómo «proteger y responder» e «informar y evaluar». Tenemos que planificar mejor, optimizar los procedimientos de prueba, estar al tanto de lo que ocurre y conocer el entorno lo suficiente como para saber si la información es aprovechable. En Internet quedan muchos fallos por descubrir y, si queremos un futuro mejor, es nuestra responsabilidad estar atentos para responder a las vulnerabilidades más recientes de forma sistemática y programada. Por otro lado, han aumentado los programas de recompensas por la detección de errores, y los gobiernos han dejado de amenazar con penas de cárcel a quienes se dedican a destapar vulnerabilidades. 16 sí pues, no solo hay mayores incentivos para buscar vulnerabilidades, sino que quienes las encuentran ya no temen que se les 16 http://www.wired.com/2013/03/att-hacker-gets-3-years Symantec Website Security Solutions I 20